Google efter Analytics-forbud: Det er kunderne selv, der styrer data

3. marts kl. 09:4514
Google efter Analytics-forbud: Det er kunderne selv, der styrer data
Illustration: Solen Feyissa/Wikimedia Commons.
Tech-gigantens sikkerhedstiltag for at beskytte persondata i USA er ikke gode nok ifølge to datatilsyn, og derfor er tjenesten ulovlig. Men Google afviser at svare på, om man arbejder på nye sikkerhedstiltag, der måske kan gøre tjenesten lovlig.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Google Analytics fremtid i EU hænger i en tynd tråd, efter de franske og østrigske datatilsyn for nyligt erklærede statistik-værktøjet ulovligt.

Ifølge myndighederne er cookie-dataet ikke beskyttet godt nok, når den ender i USA, selvom Google har forsøgt at implementere supplerende foranstaltninger for at gøre tjenesten lovlig for EU-kunder at bruge.

Det er dog uvist, om Google har planer om nye, forbedrede sikkerhedstiltag i kølvandet på afgørelserne, der måske kan gøre tjenesten lovlig. Det afviser en dansk talsperson for tech-giganten nemlig at svare på, men sender i stedet en generel udtalelse til sagen.

Har man planer om nye supplerende foranstaltninger, nu hvor de gamle ifølge tilsynsmyndighederne ikke er tilstrækkelige til at gøre overførslerne lovlige?

Artiklen fortsætter efter annoncen

»Folk ønsker og forventer, at hjemmesider på nettet er veldesignede, nemme at bruge og respekterer deres privatliv. Google Analytics hjælper udgivere med at forstå, hvor godt hjemmesiden og apps fungerer for deres besøgende. Men det sker ikke ved at identificere enkeltpersoner eller spore brugerne på tværs af internettet,« skriver en talsperson for Google Danmark til Version2 på mail og tilføjer:

»Det er således kunderne/organisationerne – ikke Google – som kontrollerer, hvilke data der indsamles, og hvordan de bruges. Google leverer derudover en række sikkerhedsforanstaltninger og ekstra ressourcer som en hjælp til at sikre bl.a. privatlivet.«

Men det er netop den række af sikkerhedsforanstaltninger, Frankrig og Østrig har vurderet ikke er gode nok.

14 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
14
5. marts kl. 13:50

... men alle personhenførbare data, herunder blot et unikt heltal.

En helt central del af GDPR er begrebet "behandlingsgrundlag", så ikke alle situationer med persondata er lige.

Fordi det er forbudt at sende et personhenførbart ID ud af EU fra et EU website.

Ikke, hvis der bliver passet lige så godt på det udenfor, som indenfor EU (og der er et lovligt behandlingsgrundlag).

Jeg synes, at vi alt for tit ser "og så dør baby"-logik, og KL tog vist prisen for nogle år siden med deres herostratisk berømte "40 benspænd". Det kan tage lidt tid, at få nogle gode alternativer, især hvis en uvane er blevet indgroet (som f.eks. med glødepærer), så få nu ja-hatten og arbejdstøjet på - verden kan kun blive bedre af det.

13
4. marts kl. 15:05

Beskriver du et forbud som et påbud, eller hvad alverden mener du?

Sorry. Det kunne have været formuleret anderledes.

Pointen var, at det ikke er de data du omtaler, som er problemet, men alle personhenførbare data, herunder blot et unikt heltal.

Frankrig har afgjort at Google Analytics er et brud på GDPR, og det derfor ikke er lovligt for franske websites at benytte GA.

Ikke fordi at GA kan ditten eller datten.

Fordi det er forbudt at sende et personhenførbart ID ud af EU fra et EU website.

11
4. marts kl. 14:33

Sessionen skal der selvfølgelig holdes tråd i, men der behøver ikke følge personlige data med rundt.

Hele problemet består ikke i om dit telefon nummer eller adresse sendes afsted. Selvfølgelig POSTes den slags tilsidst i et shop flow.

Det er meget meget mere grundlæggende hvad forbudet muligvis dækker, og altså pt. dækker i Frankrig.

Forbuddet består SOM MINIMUM i at et ID sendes med hvert HTTP request til trediepart uden for EU.

Altså helt konkret at samme ID, f.eks. et unikt heltal, sendes f.eks. som en cookie i hvert request.

Og det består i strengeste tilfælde af, at IP adressen bliver synlig for en trediepart uden for EU iforbindelse med at du besøger et website inden for EU.

10
3. marts kl. 21:28

Så det er min påstand at man ikke kan lave en indkøbskurv, et login flow og alt muligt lignende uden identifikation, som idag løses via et id i en cookie eller tilsvarende state variabel.

Selvfølgelig kan man det.

Sessionen skal der selvfølgelig holdes tråd i, men der behøver ikke følge personlige data med rundt.

Først når der skal betales indtastes leveringsoplysninger, men det gøres til allersidst, og det eneste der eferfølgende gemmes er fakturadelen.

9
3. marts kl. 19:24

Som er den organisation ,der startede hele GDPR bølgen er ikke tekniske analfabeter. De er helt udemærket klar over hvad de beder om.

Og det er selvfølgelig muligt at identificere en session (e.g. kurven) uden at identificere brugeren bag. At tro andet er dovent.

We chose to do these things because they're hard.

Hvis vi skal rykke på privat livet må vi simpelthen stoppe som udviklere og tekniske eksperter og vidende med at påstå det ikke kan lade sig gøre fordi vi måske er lidt dovne.

Vi skal frem i skoene og finde nye veje, i stedet for at brokke os over at vore job er udfordrende.

8
3. marts kl. 15:59

Er din påstand at man ikke kan lave en indkøbskurv uden at blande GA ind i det?

Selvfølgelig ikke:) Og selvfølgelig skal GA og alle andre tredieparts cookies stoppes direkte i browseren, hvis du spørger mig.

Det var et svar til:

Hvorfor lovgivningen tillader at der overhovedet gemmes nogen form for identifikation af de brugere, som bevæger sig ind på en hjemmeside, er lidt en anden sag.

Så det er min påstand at man ikke kan lave en indkøbskurv, et login flow og alt muligt lignende uden identifikation, som idag løses via et id i en cookie eller tilsvarende state variabel.

Det er det, som identifikation betyder.

Inde i en webshop cookie gemmes et id på din indkøbskurv. Og det ID betragtes sammen med dine varer som persondata.

Inde i en GA cookie gemmes et id som vandrer på tværs af websites som benytter GA. Og det er det som er problemet, efter min bedste mening.

Men problemet er nu i Frankrig omformuleret til at persondata (uanset hvad, fordi GDPR ikke skelner) ikke må udveksles til trediepart uden for EU.

Det er lovkrav i EU at brugeren aktivt skal godkende ikke-nødvendige cookies. Dvs. for at en marketing/statistik cookie sættes overhovedet, så har brugeren aktivt valgt det til.

Men selv om brugeren har valgt det til, så er det muligvis forbudt for dataansvarlig for websitet at sende det ud af EU.

Og hvis det er forbudt at sende den slags persondata ud af EU, så er der mange mange client-side scripts, som skal fjernes.

Og det siger jeg ikke, er en dårlig idé. Man skal bare lige vide hvad man får, når man beder om det.

4
3. marts kl. 11:38

En ting er at beskytte data mod USA/NSA - men er data beskyttet godt nok mod Google og den indsamlende virksomhed selv?

I denne sammenhæng er det ikke så meget hvem, som indsamler, men om de lever op til EU lovgivningen, og om vi i EU kan håndhæve loven overfor indsamlerne.

Hvorfor lovgivningen tillader at der overhovedet gemmes nogen form for identifikation af de brugere, som bevæger sig ind på en hjemmeside, er lidt en anden sag.

3
3. marts kl. 11:37

En ting er at beskytte data mod USA/NSA - men er data beskyttet godt nok mod Google og den indsamlende virksomhed selv?

Med mindre man har grund til at tro andet (hvilket kræver mere end bare en "Google er de onde"), så er det tilstrækkeligt at man har en kontrakt med den anden part om hvordan de må behandle data (og denne kontrakt skal naturligvis leve op til nogle bestemte krav). Der er intet i denne sag om at Google skulle misbruge de data som folk sender til behandling hos dem via GA.

Netop derfor handler denne sag kun om hvorvidt Google teknisk set vil kunne få adgang til data (og derfor kan pålægges at gøre dette af den amerikanske regering). Det har man vurderet at de kan, og derfor kan tjenesten ikke benyttes. Det har essentielt set intet med Google at gøre, og handler udelukkende om at databehandlingen foregår på servere ejet af en amerikansk virksomhed.

2
3. marts kl. 11:16

"Ifølge myndighederne er cookie-dataet ikke beskyttet godt nok, når den ender i USA, selvom Google har forsøgt at implementere supplerende foranstaltninger for at gøre tjenesten lovlig for EU-kunder at bruge."

En ting er at beskytte data mod USA/NSA - men er data beskyttet godt nok mod Google og den indsamlende virksomhed selv?

Nu er det et stykke tid siden, jeg læste Zuboff (som med garanti godt kan tåle genlæsning), men som jeg umiddelbart husker det, er det ikke NSA, der er hendes hovedfokus...Det er tech-giganterne.

Er vi ved at lade os lokke i en fælde af "Det er NSA, der er skurken/problemet"?

1
3. marts kl. 11:14

Men det sker ikke ved at identificere enkeltpersoner eller spore brugerne på tværs af internettet,

Det er jo direkte løgn.