Ny beslutning om Google Analytics: Anonymisering af IP-adresser ikke nok

5 kommentarer.  Hop til debatten
Italiens databeskyttelsesmyndighed, Garante, følger de andre databeskyttelsesmyndigheder i Europa og advarer italienske ejere af websites mod at bruge Google Analytics.
25. juli kl. 03:45

»Et website, der bruger Google Analytics uden de sikkerhedsforanstaltninger, der er fastsat i GDPR, overtræder Privacy Act, fordi det overfører brugernes data til USA, et land, der mangler tilstrækkelig databeskyttelse.«

Det skriver den italienske databeskyttelsesmyndighed Garante i en nylig pressemeddelelse.

Garante har i tæt samarbejde med andre databeskyttelsesmyndigheder i Europa gennemført, hvad man beskriver som en »kompleks undersøgelse« baseret på flere klager.

Konklusionen er klar: Websites, der bruger Google Analytics, indsamler via cookies oplysninger om brugernes interaktioner med webstederne, de besøgte sider og tjenesterne. De indsamlede data omfatter IP-adresser, browseroplysninger, operativsystem, skærmopløsning, sprogvalg, dato og klokkeslæt. Disse oplysninger overføres til USA, hvilket er ulovligt i henhold til Schrems II-dommen.

Ikke nok til at anonymisere IP-adresser

»IP-adressen er personlig data og blev ikke anonymiseret, selvom den blev afkortet – i betragtning af Googles evne til at berige sådanne data gennem yderligere oplysninger, de allerede sidder på,« skriver Garante.

Artiklen fortsætter efter annoncen

De følger således både Østrig og Frankrig, som har konkluderet, at den anonymisering, Google tilbyder ved at fjerne en del af cifrene i IP-adressen, ikke er tilstrækkelig.

I sin seneste afgørelse afviste Østrig både argumenterne om anonymisering og den risikobaserede tilgang som irrelevante.

Læs også: Østrigsk datatilsyn: Google Analytics er ulovligt i EU

Venter på ny transatlantisk dataaftale

Den 25. marts stod USA's præsident, Joe Biden, og EU-Kommissionens formand, Ursula von der Leyen, sammen på talerstolen og erklærede stolt, at de var »blevet enige om en hidtil uset aftale om at beskytte vores borgeres privatliv.«

Læs også: EU og USA enige om ny dataaftale: Her er de overordnede principper

Nyheden gav håb om længe ventet juridisk klarhed, efter at Schrems II-dommen i 2020 fastslog, at værnet om privatlivets fred, den aftale, der sikrede lovlig udveksling af personoplysninger på tværs af Atlanterhavet, var ugyldig.

En sådan aftale ville igen gøre brugen af værktøjer som Google Analytics uproblematisk.

Men allerede inden aftaleteksten er på plads, advarer fortalere for privatlivets fred om, at de vil prøve den nye »transatlantiske ramme for privatlivets fred« i retten. Det kan således tage flere år, før en rigtig ny dataoverførselsaftale er klar.

Under alle omstændigheder skal brugere af Google Analytics være parate til at lede efter alternative webanalyseværktøjer, da værktøjet, som vi kender det, vil blive slukket i 2023.

Advarer ejere af websites

Garante sender en advarsel til alle italienske ejere af websites:

»Den italienske databeskyttelsesmyndighed ønsker at gøre alle italienske website-operatører, både private og offentlige, opmærksomme på, at det er ulovligt at overføre data til USA ved hjælp af GA,« skriver Garante.

Denne artikel har tidligere været bragt på Digi.no.

5 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
3
25. juli kl. 19:54

Under alle omstændigheder skal brugere af Google Analytics være parate til at lede efter alternative webanalyseværktøjer, da værktøjet, som vi kender det, vil blive slukket i 2023.

Kan vi blive enige om, at det i det mindste er en vildledende formulering. I politik ville man kalde det spin.

Man kunne tilføje sætningen: Men faktisk behøver man slet ikke lede efter alternativer. Man kan også bare trykke på et par knapper og fortsætte med Google Analytics, som man plejer—også efter 2023. For nej, selvfølgelig lukker og slukker Google ikke et værktøj, der sammen med Google Adwords udgør Googles primære indtægtskilde.

4
26. juli kl. 08:37

Ja, det er lidt misvisende, for der er jo et helt hær af Google-folk, både fra Google, men også fra diverse markedsføringsbureauer der vil sikre deres intellektuelle kapital, som promoverer og vejleder i overgangen fra Google Analytics til Google Analytics 4. Såeh.. om man kan kalde det "slukket", ved jeg nu ikke. Jeg ville det nok kalde "en ny version". Men ja, det er bevidst fra Google, at de markedsfører GA4 som ikke værende blot en efterfølgende version... selvom navnet sjovt nok indikerer det stik modsatte.

5
26. juli kl. 09:47

»Den italienske databeskyttelsesmyndighed ønsker at gøre alle italienske website-operatører, både private og offentlige, opmærksomme på, at det er ulovligt at overføre data til USA ved hjælp af GA,« skriver Garante.

Med mindre Google har opfundet et columbusæg, som hverken overfører data til USA eller til Google selv, og som ikke kan pålægges udlevering af data til NSA, så er det vel ligegyldigt, om der er kommet en Analytics 4, for problemet er vel stadig det samme, at det - nu i følge stadig flere datatilsyn rundt om i EU - er ulovligt at bruge?

2
25. juli kl. 15:03

Det er rigtig godt set af italienerne. Google har jo et hav af quasi-identifiers at sammenholde med.

1
25. juli kl. 09:36

Italien == IT-alian

Men de er ikke alene; det kan enhver datamatiker have fotalt dem;-)

Vitsen er ikke så god på dansk, men trænger nok ind alligevel?