Google efter Analytics-forbud: Det er kunderne selv, der styrer data

... men alle personhenførbare data, herunder blot et unikt heltal.

En helt central del af GDPR er begrebet "behandlingsgrundlag", så ikke alle situationer med persondata er lige.

Fordi det er forbudt at sende et personhenførbart ID ud af EU fra et EU website.

Ikke, hvis der bliver passet lige så godt på det udenfor, som indenfor EU (og der er et lovligt behandlingsgrundlag).

Jeg synes, at vi alt for tit ser "og så dør baby"-logik, og KL tog vist prisen for nogle år siden med deres herostratisk berømte "40 benspænd". Det kan tage lidt tid, at få nogle gode alternativer, især hvis en uvane er blevet indgroet (som f.eks. med glødepærer), så få nu ja-hatten og arbejdstøjet på - verden kan kun blive bedre af det.

Beskriver du et forbud som et påbud, eller hvad alverden mener du?

Sorry. Det kunne have været formuleret anderledes.

Pointen var, at det ikke er de data du omtaler, som er problemet, men alle personhenførbare data, herunder blot et unikt heltal.

Frankrig har afgjort at Google Analytics er et brud på GDPR, og det derfor ikke er lovligt for franske websites at benytte GA.

Ikke fordi at GA kan ditten eller datten.

Fordi det er forbudt at sende et personhenførbart ID ud af EU fra et EU website.

Hele problemet består ikke i om dit telefon nummer eller adresse sendes afsted. Selvfølgelig POSTes den slags tilsidst i et shop flow.</p>
<p>Det er meget meget mere grundlæggende hvad forbudet muligvis dækker, og altså pt. dækker i Frankrig.</p>
<p>Forbuddet består SOM MINIMUM i at et ID sendes med hvert HTTP request til trediepart uden for EU.</p>
<p>Altså helt konkret at samme ID, f.eks. et unikt heltal, sendes f.eks. som en cookie i hvert request.</p>
<p>Og det består i strengeste tilfælde af, at IP adressen bliver synlig for en trediepart uden for EU iforbindelse med at du besøger et website inden for EU.

Beskriver du et forbud som et påbud, eller hvad alverden mener du?

Sessionen skal der selvfølgelig holdes tråd i, men der behøver ikke følge personlige data med rundt.

Hele problemet består ikke i om dit telefon nummer eller adresse sendes afsted. Selvfølgelig POSTes den slags tilsidst i et shop flow.

Det er meget meget mere grundlæggende hvad forbudet muligvis dækker, og altså pt. dækker i Frankrig.

Forbuddet består SOM MINIMUM i at et ID sendes med hvert HTTP request til trediepart uden for EU.

Altså helt konkret at samme ID, f.eks. et unikt heltal, sendes f.eks. som en cookie i hvert request.

Og det består i strengeste tilfælde af, at IP adressen bliver synlig for en trediepart uden for EU iforbindelse med at du besøger et website inden for EU.

Så det er min påstand at man ikke kan lave en indkøbskurv, et login flow og alt muligt lignende uden identifikation, som idag løses via et id i en cookie eller tilsvarende state variabel.

Sessionen skal der selvfølgelig holdes tråd i, men der behøver ikke følge personlige data med rundt.

Først når der skal betales indtastes leveringsoplysninger, men det gøres til allersidst, og det eneste der eferfølgende gemmes er fakturadelen.

Som er den organisation ,der startede hele GDPR bølgen er ikke tekniske analfabeter. De er helt udemærket klar over hvad de beder om.

Og det er selvfølgelig muligt at identificere en session (e.g. kurven) uden at identificere brugeren bag. At tro andet er dovent.

We chose to do these things because they're hard.

Hvis vi skal rykke på privat livet må vi simpelthen stoppe som udviklere og tekniske eksperter og vidende med at påstå det ikke kan lade sig gøre fordi vi måske er lidt dovne.

Vi skal frem i skoene og finde nye veje, i stedet for at brokke os over at vore job er udfordrende.

Er din påstand at man ikke kan lave en indkøbskurv uden at blande GA ind i det?

Selvfølgelig ikke:) Og selvfølgelig skal GA og alle andre tredieparts cookies stoppes direkte i browseren, hvis du spørger mig.

Det var et svar til:

Hvorfor lovgivningen tillader at der overhovedet gemmes nogen form for identifikation af de brugere, som bevæger sig ind på en hjemmeside, er lidt en anden sag.

Så det er min påstand at man ikke kan lave en indkøbskurv, et login flow og alt muligt lignende uden identifikation, som idag løses via et id i en cookie eller tilsvarende state variabel.

Det er det, som identifikation betyder.

Inde i en webshop cookie gemmes et id på din indkøbskurv. Og det ID betragtes sammen med dine varer som persondata.

Inde i en GA cookie gemmes et id som vandrer på tværs af websites som benytter GA. Og det er det som er problemet, efter min bedste mening.

Men problemet er nu i Frankrig omformuleret til at persondata (uanset hvad, fordi GDPR ikke skelner) ikke må udveksles til trediepart uden for EU.

Det er lovkrav i EU at brugeren aktivt skal godkende ikke-nødvendige cookies. Dvs. for at en marketing/statistik cookie sættes overhovedet, så har brugeren aktivt valgt det til.

Men selv om brugeren har valgt det til, så er det muligvis forbudt for dataansvarlig for websitet at sende det ud af EU.

Og hvis det er forbudt at sende den slags persondata ud af EU, så er der mange mange client-side scripts, som skal fjernes.

Og det siger jeg ikke, er en dårlig idé. Man skal bare lige vide hvad man får, når man beder om det.

Så efter du har lagt en burger i kurven på takeout websitet og vil købe pomfritter til, så er kurven tom?

Så efter du har lagt en burger i kurven på takeout websitet og vil købe pomfritter til, så er kurven tom?

Når man købt og betalt sin burger, så ja.

Og hvis man slet ikke har lagt nogen burger i kurven. Og det kommer da slet ikke Elgiganten ved.

Hvorfor lovgivningen tillader at der overhovedet gemmes nogen form for identifikation af de brugere, som bevæger sig ind på en hjemmeside, er lidt en anden sag.

Så efter du har lagt en burger i kurven på takeout websitet og vil købe pomfritter til, så er kurven tom?

En ting er at beskytte data mod USA/NSA - men er data beskyttet godt nok mod Google og den indsamlende virksomhed selv?

I denne sammenhæng er det ikke så meget hvem, som indsamler, men om de lever op til EU lovgivningen, og om vi i EU kan håndhæve loven overfor indsamlerne.

Hvorfor lovgivningen tillader at der overhovedet gemmes nogen form for identifikation af de brugere, som bevæger sig ind på en hjemmeside, er lidt en anden sag.

En ting er at beskytte data mod USA/NSA - men er data beskyttet godt nok mod Google og den indsamlende virksomhed selv?

Med mindre man har grund til at tro andet (hvilket kræver mere end bare en "Google er de onde"), så er det tilstrækkeligt at man har en kontrakt med den anden part om hvordan de må behandle data (og denne kontrakt skal naturligvis leve op til nogle bestemte krav). Der er intet i denne sag om at Google skulle misbruge de data som folk sender til behandling hos dem via GA.

Netop derfor handler denne sag kun om hvorvidt Google teknisk set vil kunne få adgang til data (og derfor kan pålægges at gøre dette af den amerikanske regering). Det har man vurderet at de kan, og derfor kan tjenesten ikke benyttes. Det har essentielt set intet med Google at gøre, og handler udelukkende om at databehandlingen foregår på servere ejet af en amerikansk virksomhed.

"Ifølge myndighederne er cookie-dataet ikke beskyttet godt nok, når den ender i USA, selvom Google har forsøgt at implementere supplerende foranstaltninger for at gøre tjenesten lovlig for EU-kunder at bruge."

En ting er at beskytte data mod USA/NSA - men er data beskyttet godt nok mod Google og den indsamlende virksomhed selv?

Nu er det et stykke tid siden, jeg læste Zuboff (som med garanti godt kan tåle genlæsning), men som jeg umiddelbart husker det, er det ikke NSA, der er hendes hovedfokus...Det er tech-giganterne.

Er vi ved at lade os lokke i en fælde af "Det er NSA, der er skurken/problemet"?

Men det sker ikke ved at identificere enkeltpersoner eller spore brugerne på tværs af internettet,

Det er jo direkte løgn.