Indholdsfortegnelse
Er Google Analytics ulovlig?
Der har længe været meget diskussion omkring Google Analytics og om hvorvidt det var lovligt at bruge i Danmark jf. GDPR.
Den 21. september, offentliggjorde Datatilsynets deres dom over brugen af Google Analytics. Kan læses her.
På baggrund af deres gennemgang, konkluderede de at en lovlig brug af værktøjet kræver implementering af en række tekniske ændringer.
Det helt afgørende i deres beslutning er at i følge GDPR, så skal man fjerne PII data før en overførsel af data til en server i USA (eller til en EU server hostet af en USA-ejet virksomhed)
Giver det mening? Det bliver et stort nej.
Ville man kunne erstatte Google Analytics med andre tjenester som ville få samme dom? Kæmpe ja.
Men uanset hvor dumt jeg personligt synes det er (det er ikke til diskussion, det er dumt) så lad os forholde os til hvordan man kan lovliggøre Google Analytics.
Med udgangspunkt i den franske datatilsynsmyndigheds anbefalinger, så nævner Datatilsynet at pseudonymisering ved hjælp af en reverse proxy er en mulig teknisk foranstaltning for at kunne bruge Google Analytics.
Heldigt at alle Datatilsynets besøgende er kyndige udviklere med en phd i datamatik…
Men for almindelig mennesker, hvad betyder det, og hvordan implementerer man det?
Læs videre og få svaret – jeg tager udgangspunkt i Google Analytics 4 (nu hvor Google Analytics UA har en udløbsdato).
Hvad er en proxy server?
En proxyserver er en server som optræder som bindeled mellem to forbindelser.
I dette tilfælde en server som modtager alt data før den sendes til Googles servere (proxy betyder stedfortræder på latin).
Det afgørende her er at denne proxy server skal være hostet i EU og ikke US.
På denne måde kan du styre hvilket data der sendes videre fra en EU server.
Hvad er pseudonymisering?
Med fare for at lyde som en robot, så er pseudonymisering (i dette tilfælde) den handling der gør “personhenførbar” data som man opsamler fra en besøgende (som eksempelvis IP adresse), til ikke personhenførbar (eksempelvis at udskifte IP adressen med et vilkårlig tal).
Så det er ikke total anonymisering af dataen (da du stadig opsamler dette når en besøgende besøger din hjemmeside) men en maskering af dataen før den sendes til Googles server i USA.
Hvilken data skal pseudonymiseres før den sendes til Google Analytics 4?
Det ville være ufatteligt rart med en officiel liste fra Datatilsynet, da det er et ufatteligt bøvlet emne (skriv endelig, hvis der er feedback til dette).
Men hvis vi tager den helt hardcore vej, altså den mest hardcore liste jeg kunne finde, så er det følgende data:
- IP addresse (det er faktisk noget som Google Analytics 4 gør out of the box da de fjerner de sidste tal fra IP adressen, hvilket kan argumenteres for at være nok til ikke at være personhenførbar)
- User identifiers (eksempelvis Googles GCLID parameter)
- External referrer (ja hvem har også lyst til at se hvor besøgende kom fra?)
- URL parametre (dette omfatter også UTM parametre, hvorfor? fordi det ikke giver mening)
- Al data som kan bruges til “fingerprinting” (igen, dette kan betyde alt data i sidste ende, så det giver heller ikke mening)
- Al data som kan bruges til at identificere en bruger (samme kommentar som ovenover – prove me wrong please)
Den helt skarpe læser ville kunne fornemme min indre raserianfald mens jeg skriver dette.
Det er fordi at det ikke helt giver mening. But here we are.
Jeg vil lade det op til den enkelte i samarbejde med en GDPR kyndig, at vurdere hvor mange af disse punkter skal implementeres.
Min indbakke er klar, hvis en meddjøffer kan give mig klarhed over hvorfor den liste er så fortolkningspræget som den er, og nuværende status på Trans-Atlantic Data Privacy Framework.
Sådan pseudonymisere du data fra Google Analytics 4 ved brug af server-side og GTM
Uanset hvor dumt jeg selv synes det er, så her er konkrete eksempler om hvordan du pseudonymisere dataen før den sendes til Google.
Det kræver en vis forståelse af Google Tag Manager client-side og server-side. Forudsætningen er, at du opsætter GTM Server Side, og at din server udbyder er placeret i EU.
Og for guds skyld ikke bruge GA4 client-side til at sende dataen til GA4 server-side (altså GTM -> GA4 -> GA4 -> ssGTM -> GA4).
Så du skal bruge en data tag der sender data fra web til server, og en data client der modtager dataen for at kunne sende den videre til Google i pseudonymiseret format.
Er alle disse udtryk, som at læse den cyrilliske alfabet, så kontakt mig for hjælp.
Sådan pseudonymisere du IP adresser
I følge Google, så er IP pseudonymisering ikke nødvendig da de hver logger eller beholder IP adresser. Det kan du læse mere om her.
Men, er dette ikke nok (afhængigt af hvem du spørger) så kan man også gøre det i ssGTM ved at ændre i GA4 tag men en ip_override parameter eller at ændre “Redact visitor IP address” værdien til “true”.
Sådan pseudonymisere du Referrer
Her skal du ændre page_referrer parameter til eksempelvis hemmelig. Bemærk at det er page referer, der fortæller dig hvor dine besøgende kommer fra (udover UTM parametre).
Nu vil der blot stå “hemmelig” eller hvad du nu vælger som værdi.
Sådan pseudonymisere du parametre
Med parametre, så tænk eksempelvis UTM parametre, disse kan overskrides så der ikke sendes parametre til Google. For at fjerne disse skal du ændre page_location event parameter.
Fordi du ændrer i selve URL, så skal du ikke blot indtaste en værdi som “hemmelig”. Men i stedet brug en GTM variabel. Her kan jeg anbefale at bruge “Trim Query” variabel som kan findes i GTM Gallery under variabler.
Husk at whiteliste gtm_debug inde i din variabel opsætning, så din GTM preview and debug stadig virker.
Alle andre parameter som gclid, utm_campaign, utm_source, vil blive fjernet.
Den samme metode kan du bruge til at overskride andre parametre ud fra listen.
Hvordan tjekker jeg at dataen er blevet pseudonymiseret korrekt?
Der findes flere metoder til at tjekke det om hvorvidt din data er blevet pseudonymiseret (jeg er nu allerde træt af at skrive det ord).
Den første er at kigge på preview and debug i din ssGTM. Her vil du kunne se den request som du sender ud til GA4 og afkode om hvorvidt de parameter, som du har overskrevet, er korrekte.
Den anden, og lettere måde at gøre det på, er at tjekke GA4s debug værktøj og klikke på de enkelte events.
Du finder DebugView under Configuration.
Kan jeg stadig bruge Google Analytics 4 eller Google Analytics lovligt?
I følge Datatilsynet, så kan man godt, så længe de tekniske ændringer bliver implementeret.
Det skal dog tilføjes at produktet Google Analytics bliver markant dårligere. Sådan, ret meget dårligere.
Du kan potentielt miste en del muligheder, bl.a. ikke at kunne se hvor dine besøgende kommer fra, afhængigt af hvor grundigt man går til værks.
Google Analytics (og mange andre) er dybt afhængig af en politisk aftale vedrørende dataoverførsel fra EU til USA, og denne kan potentielt blive endnu mere aktuelt.
Europa Komissionen har dog meddelt at de var nået til principiel enighed (altså ikke helt konkret endnu) med USA omkring etableringen af et nyt Trans-Atlantic Data Privacy Framework (TADPF).
Denne har til formål at facilitere dataoverførsel mellem EU og USA, med GDPR in mente, og der forventes yderligere opdateringer i slutningen af 2022.
Med andre ord, kunne TADPF være en form for erstatning af den nu ugyldig Privacy Shield (som har været ugyldig siden 2020), og kan potentielt gøre Google Analytics lovlig i forhold til GDPR, uden de strenge krav for pseudonymisering.
Jeg er også overbevist om, at Google arbejder på nye løsninger.
For hvis de ikke kan løse data overførselsdelen på baggrund af server lokation, så er det svært at se hvem kan.
Hvilke alternativer findes til Google Analytics som har servere i EU?
Hvis du står med ansvaret, så har du følgende muligheder:
- Gør ingenting. Afvent situationen og følg nøje med i den politiske aftale (TADPF).
- Lovliggør Google Analytics ved at implementere de nødvendige tekniske krav, vel vidende at værktøjet bliver væsentligt afgrænset.
- Undersøg markedet for alternativer.
Der findes alternativer til Google Analytics, nogle bedre end andre.
Jeg har selv testet både Piwik.pro (bedst til B2C og har en gratis plan) og Dreamdata (bedst til B2B og har en gratis plan, og er i øvrigt made in Denmark).
Begge har en forholdsvis stejl læringskurv og er ikke en 1-1 erstatning, men umiddelbart grundet deres server placeringer, mindre ramt af kendelsen fra Datatilsynet.
Af den grund kan det sagtens være en bedre løsning for den enkelte virksomhed.
Dette blogindlæg skal ikke ses som juridisk rådgivning. Det er mine personlige betragtninger der bliver ytret. Jeg vil til enhver tid anbefale juridisk rådgivning fra en kyndig advokat, hvis du er i tvivl om nogen GDPR compliance og/eller brug af data.
