GPDR & Compliance i Google Analytics – det här behöver du veta!
Google Analytics Universal kommer att ersättas fullt ut av Google Analytics 4 (GA4)
Från och med den 1:a juli 2023 kommer Google Analytics Universal sluta samla in data från webbplatser. I takt med denna förändringen ökar även restriktionerna för hur mycket, och vilken information, företag får samla in när en användare besöker deras webb. GDPR (dataskyddsförordningen) har aldrig varit så aktuellt som nu och nu väljer flera länder att strama åt användningen och insamlingen av besöksinformation.
Frågorna kring just detta har redan varit uppe för diskussion i länder som Frankrike och Italien. Och nu har även Danmark gått ut med att Google Analytics inte längre kan användas lagligt utan vissa ändringar. Vill ni djupdyka i vad detta egentligen innebär för verksamheter i Danmark? Läs Datatilsynets pressmeddelande här!
I artikeln skriver Datatilsynet att Google Analytics är olagligt med standardinställningarna, men att det finns saker man kan göra för att inte bryta mot GDPR. Ett sätt de hänvisar till i sitt pressmeddelande är att använda sig av effektiv pseudonymisering* (med hjälp av en så kallad omvänd proxy*).
*Med pseudonymisering menas “behandling av personuppgifter på ett sådant sätt att personuppgifterna inte längre kan hänföras till en specifik individ utan användning av ytterligare information, förutsatt att sådan ytterligare information förvaras separat och är föremål för tekniska och organisatoriska åtgärder för att säkerställa att personuppgifterna inte hänförs till en identifierad eller identifierbar fysisk person”.
*Med omvänd proxy menas “istället för att ansluta direkt till en webbplats som serverar innehåll kan en omvänd proxy sitta i mitten, när den tar emot en förfrågan från en användare kommer den vidarebefordra denna till den ultimata servern, denna servern kallas ursprungsservern efter som att denna kommer besvara förfrågan. Ursprungsservern har ingen direkt anslutning till användaren och ser bara vissa förfrågningar som kommer från den omvända proxyns ip-adress”.
Vi får just nu många frågor kring huruvida det är okej att fortsätta använda Google Analytics i sin marknadsföring, med tanke på GDPR och ePrivacy-förordningen (EPR – kan ses som syskon till GDPR som reglerar skyddet av den personliga integriteten i elektronisk kommunikation, exempel innehåll i chatt, e post och annan kommunikation läs mer här). Så..
Kan du fortsätta använda Google Analytics?
Google Analytics & GDPR
- Undersök vilken data du samlar in
Det är inte tillåtet att skicka personupplysningar till Google! Vissa åtgärder behövs för att följa GDPR.
Vad innebär personupplysningar?
Vi rekommenderar en genomlysning av samtlig datainsamling för att se om ditt företag samlar in information som kan kopplas till en individ – “Personally Identifiable Information”.
Exempel på sådana uppgifter är:
- E-postadresser
- Adresser
- Namn
- Telefonnummer
- Annan data som tillsammans med data från annan källa kan kopplas till en individ
Ett exempel för att förstå detta är “en personbils registreringsnummer kan vara en sådan data som med hjälp av annan data kan kopplas till en fysisk person, ägs istället bilen av en firma så är detta inte fallet eftersom bilen inte kan kopplas till en specifik individ”.
En sida kan också inhämta så kallade pseudonyma identifierare så som client-ID. Dessa typer av uppgifter kan inte kopplas till en individ utan kompletterande data. Men, vid tillgång till denna kompletterande data räknas fortsatt client-ID som personuppgifter.
Behöver du hjälp med er setup i Google Analytics, läs hur vi kan hjälpa er här!
Anonymisera IP – hur gör man?
För att anonymisera IP adresser så kan du följa Googles egna guide för Universal Analytics, för Google Analytics 4 är anonymisering automatiskt påslaget.
Man kan också genom att använda sig av Google Tag Manager server side först skicka sin data till denna server och använda filter innan datan sedan sänds vidare till Googles servrar och på detta säatt undvika att bryta mot GDPR. Läs mer här!
Avtal mellan byrå & leverantör
Om du jobbar med en byrå som har tillgång till ditt Analytics-konto, är det viktigt att ni skriver ett avtal som kallas för personuppgiftsbiträdesavtal. I avtalet bestäms hur data från ditt företag ska hanteras av leverantören. Läs mer på IMY:s hemsida.
Uppdatera integritetspolicy – tydlig information för dina besökare!
Det är viktigt att uppdatera informationen ut mot besökaren i er integritetspolicy.
Säkerhetsställ att ni har tydlig information om hur ni hanterar data från era besökare för att säkra compliance inom GDPR.
Här finns mängder av åtgärder man kan implementera för att undvika att bryta mot GDPR och dataskyddsförordningen.
Viktigast är att hela tiden tänka på att personliga uppgifter inte skall inhämtas och skickas vidare i Google Analytics. Hur det ser ut kan vara väldigt olika från företag till företag, och därmed finns det ingen “allt-i-ett” guide hur man följer GDPR inom detta fält.
Vi hjälper gärna till om ni har svårt att navigera i denna täta djungel. Hör av er till oss för att komma igång!