Justitsministeriet fjerner ulovlige Google Analytics fra sin hjemmeside
I over et år har Justitsministeriet sendt borgeres persondata til det usikre tredjeland USA gennem statistikværktøjet Google Analytics på myndighedens hjemmeside.
Men efter de østrigske og franske datatilsyn i starten af 2022 slog fast, at tjenesten er ulovlig at bruge i EU, har ministeriet fjernet Analytics igen.
»Justitsministeriet har i lyset af den seneste tids pressedækning genovervejet behovet for Google Analytics og i den forbindelse vurderet, at der ikke er behov for funktionen, da den ikke er blevet anvendt,« oplyser en talsperson for ministeriet i en mail.
Myndigheden har haft værktøjet siden slutningen af 2020, hvor man installerede Analytics i forbindelse med lanceringen af en ny hjemmeside. Siden da har Google automatisk indsamlet brugernes persondata, hver gang de accepterede statistik-cookies på hjemmesiden, og sendt den videre til moderselskabet i USA.
Men det er problematisk, for tech-gigantens forsøg på at sikre data mod amerikanske efterretningstjenester er ikke godt nok, understreger Østrig og Frankrig i afgørelserne. Derfor er beskyttelsen utilstrækkelig og overførslen ulovlig.
Har ikke brugt værktøjet
Det seneste års ulovlige overførsler har dog været frugtesløse.
Selvom statistikværktøjet generelt bruges til at optimere hjemmesider, har man hos Justitsministeriet ignoreret det i en sådan grad, at en repræsentant fra kommunikationsafdelingen – der sammen med it-afdelingen administrerer hjemmesiden – afviste brugen af Google Analytics, da Version2 kontaktede ministeriet.
Han uddyber senere, at selvom ministeriet havde installeret Analytics, har man aldrig brugt værktøjet aktivt. Tech-giganten indsamler dog stadig oplysninger om brugernes adfærd på hjemmesiden, når de samtykker.
Data benyttes til at lave statistik, som eksempelvis Justitsministeriet kunne have brugt til at optimere justitsministeriet.dk. Konkret er der blandt andet tale om brugernes IP-adresser og unikke online-ID’er. Myndigheden afviser dog at svare på, hvorfor man har hentet værktøjet i første omgang, når man ikke har taget det i brug.
På billedet herunder kan man se tre Analytics-cookies: _ga, _gat og _gid på ministeriets hjemmeside. De er alle fjernet den 16. februar 2022.
Henviser til Datatilsynet
Udover den generelle udtalelse, afviser Justitsministeriet at uddybe overvejelserne bag installeringen og afinstalleringen af Google Analytics. Man henviser til Datatilsynet, som hører under ministeriet.
Datatilsynet er dog fortsat tavse omkring Google Analytics fremtid i Danmark. Den seneste udmelding kom den 19. januar umiddelbart efter afgørelsen fra den østrigske tilsynsmyndighed.
Her skriver Datatilsynet, at man følger kommende Analytics-afgørelser fra europæiske kolleger, som arbejder på at nå i mål med deres andel af privacyorganisationen noybs ‘101 model complaints’. Derudover arbejder man på en vejledning til danske dataansvarlige.
Selvom der fortsat er stille fra Datatilsynet, har flere eksperter i persondataret været ude og varsle, at Google Analytics fremtid i Danmark sandsynligvis hænger i en tynd tråd, efter Frankrig har bakket op om Østrigs udmelding.
Et udbredt værktøj
Justitsministeriet er ikke den eneste myndighed, der har udsat hjemmesidebesøgende for usikre dataoverførsler til USA. Ifølge en undersøgelse fra tænketanken DataEthics bruger 18 procent af danske statslige hjemmesider Google Analytics. Den er fra starten af februar, så her indgår Justitsministeriet også.
Andre hjemmesider, der i skrivende stund stadig bruger tjenesten, tilhører Det Kriminalpræventive Råd, Sundhedsdatastyrelsen, Børnerådet og Socialstyrelsen.
Ud over statslige institutioner bruger 71 procent af den offentligt finansierede uddannelsessektor den problematiske tjeneste. Det gælder også for 58 procent af statsstøttede medier samt 86 procent af statsstøttede NGO’er, skriver DataEthics. Man kan se fremgangsmåden for undersøgelsen i bunden af meddelelsen.
Selvom de andre statslige institutioner endnu ikke har fjernet Google Analytics fra deres hjemmesider, vil flere måske gå i Justitsministeriets fodspor i takt med, at sagen udvikler sig.
»Hvis brugen af Google Analytics ender med at blive erklæret ulovlig i resten af Europa, vil disse organisationer være nødt til at finde nye værktøjer, der overholder GDPR. Selv hvis det ikke bliver ulovligt i Danmark, er det i strid med dataetiske principper om individuel datakontrol, gennemsigtighed og ansvarlighed, hvis de deltager i datadeling, uden at deres brugere forstår, hvad der foregår,« skriver DataEthics i meddelelsen.
Tilmeld dig V2 Security 2022 | Danmarks største messe om cybersikkerhed
