"Bombe" henviser til noget, der sker pludseligt og med eksplosivt og dødeligt udfald, i dette tilfælde metaforisk. Noget er ikke en bombe, hvis det har været en kendt problemstilling, siden år før GDPR trådte i kraft.

Men som jeg har sagt før, og nu siger jeg det igen: At USA defineres som et "usikkert tredjeland" er udelukkende politisk motiveret. UK fik uden videre en tilstrækkelighedsafgørelse og status som sikkert tredjeland efter Brexit, selvom det også her er kendt inden for persondataretten, at UKs masseovervågning, efterretningstjenester, mv. på flere områder langt overstiger det, som USA har gang i. Ja, det er endda en offentlig hemmelighed, at UK hackede Belgiens største teleudbyder for at opsnappe information.

Men igen, det er politisk: GDPRs udgangspunkt er, at alle EU-medlemslandene har et højt beskyttelsesniveau, og alt udenfor har et dårligt beskyttelsesniveau — også selvom visse lande uden for EU er langt bedre til databeskyttelse end visse lande inden for EU. Det er en politisk beslutning, at hvert medlemsland ikke skal godkendes separat, og at alle medlemslande har en ensartet tilgang til databeskyttelse og deres øvrige lovgivning.

Indtil nu har vi måttet acceptere, at UK ifølge GDPR var sikkert, men det ærgrer mig noget så enormt, at EU Kommissionen uden videre giver UK en tilstrækkelighedsafgørelse efter Brexit. Det er politik, og udelukkende politik, at UK er "sikkert", imens US er "usikkert".

Kig på plausible.io i stedet!

Er der nogen her, som har en mening om SiteImprove, som også bruges flittigt, bl.a. i Økonomiministeriet? R den anderledes og bedre rent privacy-mæssigt end Google Analytics?

Jeg har ikke lige haft tid til tjek, udover jeg ved de bruger amerikanske Cloudflare og AWS - det kan i de fleste tilfælde være fint hvis data krypteres "in transsit og at rest". Men du kan læse lidt om hvad de selv siger:https://www.siteimprove.com/glossary/google-analytics-alternative/https://help.siteimprove.com/support/solutions/articles/80000724285-siteimprove-analytics-data-flows-and-compliance

Dansk Erhverv (DE), til Version2:

Det vil have store konsekvenser for danske virksomheder. Og i særdeleshed for små og mellemstore virksomheder,« siger han og fortsætter: Google Analytics er klart det mest udbredte værktøj til statistik blandt de små og mellemstore virksomheder udelukkende af den grund, at det er godt og gratis.«

Ræsonnementet om virksomheder som Google og Facebook udelukkende understøtter SMV'er fremfor at skabe konkurrenceforvridning m.m., er en fortælling Google og Facebook lever højt på samt fortælle om. Det er interessant at der endnu ikke er etableret den samme frygt hos danske virksomheder, som der er omkring Amazons mulige indtrædelse på det danske marked. Frygten om at ens produkter ikke vægtes efter hvad man har betalt for. Falske vurderinger som promoverer andre. At værdifuld kundedata blir brugt imod en. At der gennemskueligheden er utrolig lav. osv. osv.

Men jo, hvis man ikke reklamerer og man så pludselig reklamerer med Google og Facebook, så sker der selvfølgelig en vækstforøgelse. Pointen er bare, at væksten også sandsynligt kunne ske med andre (mere lovlige) aktørere/værktøjer og at det hos Google og Facebook ikke er alle data man har indsigt i hos dem, som egentlig har større betydning for virksomhedens vækst end dem man kan se.

Men her er lidt viden til at blive klogere på hvordan virksomheder udnyttes:

• https://www.vox.com/the-goods/22550608/how-big-business-exploits-small-business
• https://www.nytimes.com/2021/01/17/technology/google-facebook-ad-deal-antitrust.html
• https://www.techtransparencyproject.org/articles/big-techs-go-to-defense-hiding-behind-small-business

Fra afgørelsen:

En mulig teknisk foranstaltning, der kan være relevant ved brug af Google Analytics, er pseudonymisering.

Men, som franskmændene skriver, så skal man være sikker på

all of the information transmitted does not in any way allow the person to be re-identified

Og italienerne kom frem til at IP-adresser er en personlig information som ikke kan anonymiseres uanset forkortning (https://noyb.eu/en/update-further-eu-dpa-orders-stop-google-analytics):

The Italian DPA rendered the use of Google Analytics as illegal, as website operators using GA collected user data via cookies and transferred these to the USA. In determining that the processing was unlawful, the Italian DPA reiterated that an IP address is personal data and would not be anonymised even if it were shortened – given Google’s capabilities to enrich such data through additional information it holds.

Så til de virksomheder m.m. som anvender Google Analytics (og egentlig også andre værktøjer som Facebook Pixel, selvom det ikke er blevet specifikt vurderet i DK endnu), fjern det venligst da det er ulovligt.

det er godt og gratis

Gratis, som i at du betaler med dine brugeres data. Virksomhederne har haft et halvt år til at finde alternativer. Hvis de klynker nu, ligger de som de har redt.

En lille sejr for privacytilhængere, men vel også kun lille. For pseudonymisering? Siden hvornår - og da især i Googles hænder - er det blevet effektivt til at beskytte persondata med? Nu skuffede Datatilsynet mig.

Er der nogen her, som har en mening om SiteImprove, som også bruges flittigt, bl.a. i Økonomiministeriet? R den anderledes og bedre rent privacy-mæssigt end Google Analytics?

Jeg har søgt nogle aktindsigter til Økonomiministeriet omkring brugen af SiteImprove, og har foreløbig fået bl.a. dette svar:

"Risikovurdering og konsekvensanalyse Der er foretaget en risikovurdering af SiteImprove. Der er derimod ikke foretaget en konsekvensanalyse, idet der ikke vurderedes at være en høj risiko for fysiske personers rettigheder og frihedsrettigheder i henhold til persondataforordningen. Ifølge offentlighedslovens § 23, stk. 1, er der ikke ret til aktindsigt i interne doku- menter. Bestemmelsen indebærer, at ethvert dokument, som er udarbejdet af en forvaltningsmyndighed, og som ikke afgives til udenforstående, betragtes som et internt dokument. Ifølge offentlighedslovens § 28 skal der gives indsigt i oplysninger om en sags fak- tiske grundlag, i det omfang oplysningerne er relevante for sagen (ekstraherings- pligt). Det følger imidlertid af lovens forarbejder, at ekstraheringspligten bl.a. ikke omfatter interne faglige vurderinger. Risikovurderingen vedrørende SiteImprove er foretaget i Økonomistyrelsen, og har ikke været afgivet til udestående. Det er derfor Økonomistyrelsens vurdering, at risikovurderingen udgør et internt dokument, der er undtaget fra retten til akt- indsigt. Din anmodning om aktindsigt i risikovurderingen som helhed kan derfor ikke imødekommes."

ER risikoen ved SiteImprove så lille, at man ikke behøver at foretage konsekvensanalyse?

Og var der ikke noget i den nye Digitaliseringsstrategi om at lægge vægt på transparens? Så pynter det jo ikke at afvise aktindsigt i risikovurderingen.