Datatilsynet: Google Analytics er ulovligt i Danmark. Hvad gør du nu?
Så faldt dommen. I onsdags, den 21. september 2022, har Datatilsynet stemplet standardversionen af Google Analytics (som langt de fleste, sikkert også du, bruger) som ulovlig i Danmark. I hvert fald for nu. I indlægget her får du den viden, du skal bruge for at lægge en plan, der holder jer flydende, indtil vi får en endegyldig dom for det transatlantiske datasamarbejde, USA og EU imellem. Samtidig kommer en opfordring til at tage det store perspektiv i betragtning og bruge anledningen til at gå jeres tracking-setup efter i sømmene, med værdi og respekt for brugerne i centrum.
I pressemeddelelsen 21. september skriver Datatilsynet:
… at værktøjet [Google Analytics, red.] ikke kan benyttes lovligt uden videre.
Datatilsynet d. 21. september 2022
Værd at bemærke er, hvad de videre skriver:
En lovlig brug forudsætter implementering af en række supplerende foranstaltninger ud over de indstillinger, Google stiller til rådighed.
Datatilsynet d. 21. september 2022
Er det så et endegyldigt farvel til Google Analytics?
Google Analytics – også Google Analytics 4 – er altså ude af spillet. For nu.
I hvert fald hvis du ønsker at overholde loven (og det gør du jo nok) og ikke allerede har implementeret de nødvendige foranstaltninger (hvad de færreste har).
At hælde din Google Anaytics-konto ud med badevandet er dog ikke nødvendigvis svaret lige nu. Det er der tre grunde til. De to vigtigste er juridiske, mens den tredje er praktisk.
1. En GDPR-compliant dataoverførselsaftale mellem EU og USA er, ifølge parterne, på vej
En sådan aftale kan gøre Google Analytics (og de mange andre værktøjer, der ligeledes overfører data til USA, men ikke er udpeget af Datatilsynet) lovlig igen. Hvornår den lander, er der dog ikke et bindende svar på. Seneste opdatering på området for nuværende, fra denne Politico-artikel d. 27. september, melder marts 2023.
Ulovliggørelsen af Google Analytics beror på afgørelsen om, at dataoverførselsaftalen mellem USA og EU, Privacy Shield, blev erklæret ugyldig den 16. juli 2020. Der er dog opnået principiel enighed om etableringen af Trans-Atlantic Data Privacy Framework (TADPF), meddelte Europakommissionen den 25. marts i år. Et samarbejde, der sikrer dataoverførsel mellem EU og USA i overensstemmelse med GDPR.
Holder tidsrammen, kan vi altså allerede indenfor relativt kort tid stå i en virkelighed, hvor Google Analytics er fuldt lovligt igen.
2. Datatilsynet har ikke givet danske virksomheder en klar deadline for en GDPR-compliant løsning
Datatilsynet skriver, at ”… hvis man bruger Google Analytics, skal man lægge en plan for at lovliggøre sin brug ved at træffe supplerende foranstaltninger.” (Pressemeddelelse 21. sep. 2022, Datatilsynet)
Det er vigtigt, at dette ikke forstås som et smuthul eller en sovepude. Ønsker du i udgangspunktet at fortsætte med at anvende Google Analytics, skal du beslutte, hvad du vil gøre, indtil aftalen nævnt i punkt 1 falder på plads. Der er ingen garantier for, at aftalen kommer (eller hvornår), ligesom der er en risiko for, at en ny aftale kan blive udfordret og dømt ugyldig ligesom den foregående.
Ønsker du at lovliggøre din brug af Google Analytics nu og her, kan du implementere ”…en effektiv pseudonymisering ved hjælp af en såkaldt reverse proxy.” Datatilsynet supplerer med en vejledning, du kan finde her.
Her er tale om en server-side tracking-løsning, hvor data ”vaskes” for personhenførbar information, inden den sendes til Googles servere. Bemærk at server-side tracking ikke i sig selv lovliggør Google Analytics. Det er selve databearbejdningen, der har betydning i denne henseende.
Mens det er prisværdigt, at Datatilsynet netop leverer denne vejledning, vil implementeringen af tilgangen i praksis bl.a. betyde, at du ikke længere kan se, hvor din trafik kommer fra. Hvilket gør tilgangen meget lidt attraktivt i et digitalt performance-perspektiv. Du mister med andre ord en vigtig del af den data, der er hele årsagen til at tracke website-adfærden.
3. Den praktiske: Det kræver ressourcer at flytte dit tracking-setup
At udskifte dit tracking-setup er ikke en helt enkel proces. Foruden tiden, du skal bruge på at undersøge og tage den rette beslutning samt implementere et nyt setup, er der tiden til at oplære dig selv og dine kollegaer i et nyt system. Det kræver ofte ekstern hjælp, herunder både tracking- og udviklerressourcer.
En beslutning af den kaliber bør bero på overvejelser, der tager højde for en række spørgsmål.
Hvad gør du så? Her kommer vores aktuelle tracking-anbefalinger
Først og fremmest vil jeg anbefale dig at gentænke jeres brug af tracking og data helt overordnet.
Udviklingen på området går hurtigt, og selvom det ikke er i Datatilsynets interesse at gøre livet surt for de danske virksomheder, er det svært helt at undgå. Uanset hvad det aktuelle udfald bliver, er datatilgængeligheden under forandring, og det skal din organisation være gearet til. Tillad derfor dig selv og dit team at tage det store perspektiv i betragtning, når I graver jer ned i den aktuelle problematik. Hvilke data har vi faktisk brug for og til hvad? Hvordan bruger vi data forsvarligt?
Husk på, at målet er at gøre vores fælles digitale færden sikrere og virksomheders/organisationers indhentning og brug af data mere gennemsigtig. Det kan I bidrage til.
Klarlæg jeres brug af og behov for data
Samler I en hel masse data op, I ikke bruger til noget? (Det er der en vis sandsynlighed for.) Og er der data, I ville ønske I havde – som I ikke samler op i dag? (Det er der også en ret stor sandsynlighed for).
Overvej, hvad det er for spørgsmål I gerne vil kunne belyse med data. Hvilke data arbejder I aktivt med i det? Handler det om annonceringsperformance på forskellige KPI’er? Om hvordan forskellige kanaler og kampagner konverterer? Om optimering af brugeradfærd og konverteringsrater på jeres website? Om prioritering af indsatser og investeringer?
Klarlæg dernæst, specifikt hvad I bruger jeres Google Analytics-data til. Og fastslå, om de data udgør et retvisende grundlag at evaluere performance og træffe beslutninger ud fra. For mange vil svaret på det sidste være nej; der skal tages en masse forbehold, for at man kan bruge sin Analytics-data (30-40% siger måske nej til tracking-cookies, mange flere siger nej til tracking i iOS etc.). Man ser således kun en brøkdel af den trafik og de konverteringer, der reelt finder sted, i Analytics – og man risikerer at danne forkerte konklusioner ved primært eller udelukkende at læne sig op ad disse data. Måske kan I benytte lejligheden til at få bedre data?
For vores kunder gælder det, at performance evalueres og optimeres – og beslutninger træffes – på baggrund af data fra et væld af kilder ud over Google Analytics. Data fra Meta, Google Ads, LinkedIn, Pinterest etc. Kombineret med førstepartsdata, eksempelvis fra CMS eller CRM-systemer, og visualiseret i dashboard-løsninger kan disse data give et mere fyldestgørende billede af performance, end Google Analytics kan alene. Der skal dog også her tages forbehold, og man kommer nemt til at overattribuere værdien af de enkelte kanaler. Det holistiske perspektiv er afgørende, og man bør have øje for ’spillover-effekten’ kanalerne imellem.
Overvejelserne er vigtige af flere grunde (foruden den gode gamle sunde fornuft, ”leverer det ingen værdi, så lad være”):
- Det dataetiske perspektiv: Samler du en masse persondata op, du ikke bruger? Lad være med det.
- Ressource-/klimaperspektivet: Din data bor på servere, der bruger strøm. Sluk for det, hvis ikke det er vigtigt.
Udarbejd en plan for jeres fremtidige data-setup.
Denne er svær, men den er vigtig. Både for jeres virksomheds digitale performance, men også helt juridisk i denne sammenhæng. Du skal nemlig have en plan ved hånden, der viser, at du er klar.
- Hvilken data har vi brug for, og hvordan kan vi indsamle den data etisk forsvarligt og i tråd med gældende lovgivning?
- Hvad er den data værd for os – og hvad vil vi betale for den?
- Kan vi indsamle den data, vi drømmer om, med et lovligt Google Analytics-setup?
- Hvis nej – hvilke relevante alternative løsninger er der? Der findes mange (GDPR compliant) alternativer til Google Analytics. Piwik Pro og Matomo fremhæves ofte. Min anbefaling: Start med at definere dine behov frem for at lade dig forføre af systemernes mange muligheder. Måske kan du nøjes med noget lettere (og billigere), end du tror.
- Bør vi blive bedre til at bruge de data, vi indsamler? For mange vil det at blive tvunget til at tage stilling til (og betale for) dataindsamling fordre overvejelser om netop dette.
Snuden op af sporet: Hvor er vi på vej hen?
Som digital performance-professionel er det let at falde i en opgivenhedssump, hvad data angår. Det må du ikke gøre. Og slet ikke her, for der er mange nye veje at gå. Veje som kan gøre både livet som privat borger – og livet som marketer – bedre. På den anden side af alt dette står vi nemlig på en meget sikrere grund på begge sider af transaktionen. Som leverandør kan du ende med en bedre og mere værdiskabende løsning – og dine kunders rettigheder er blevet styrket på vejen.
Det står også klart for mig, at vi, når stormen har lagt sig, står op til en digital performance-virkelighed, hvor brugeroplevelse og værdiskabelse i marketing og e-commerce igen kommer i højsædet. Det glæder jeg mig personligt til.
Artiklen her er ikke et juridisk dokument og kan ikke bruges som rygdækning i konkrete sager. Formålet er at perspektivere Datatilsynets afgørelse i et digitalt marketing- og performance-perspektiv.