Ny GDPR-bombe under danske virksomheder: Google Analytics er som udgangspunkt ulovligt

Plus21. september kl. 14:178
Google Analytics
Illustration: bigtunaonline | Bigstock.
Datatilsynet har erklæret sig enig med tilsynsmyndighederne i Østrig og Frankrig om, at det som udgangspunkt er ulovligt at bruge Google Analytics i EU.
Artiklen er ældre end 30 dage

Siden sidste vinter har danske hjemmesideejere ventet i spænding på, hvordan Datatilsynet ville stille sig i forhold til det populære statistik-værktøj Google Analytics, efter de østrigske og franske tilsynsmyndigheder erklærede tjenesten for ulovlig i starten af året.

Gratis adgang i 30 dage
Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Version2 og Ingeniøren, helt uden binding eller betalingsoplysninger.

Alternativt kan du købe et abonnement.
remove_circle
remove_circle
Har du allerede et PLUS-abonnement eller klip? Log ind east
Tak !
Vi har sendt en kvitteringsmail til .
Du bliver viderestillet til artiklen om få sekunder.
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Version2 og Ingeniøren
Fuld digital adgang til PLUS-indhold på Version2 og Ingeniøren, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
Adgang til andre medier
Hver måned får du 6 klip, som kan bruges til permanent at låse op for indhold på vores andre medier.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
8 kommentarer.  Hop til debatten
Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
25. september kl. 23:58

"Bombe" henviser til noget, der sker pludseligt og med eksplosivt og dødeligt udfald, i dette tilfælde metaforisk. Noget er ikke en bombe, hvis det har været en kendt problemstilling, siden år før GDPR trådte i kraft.

Men som jeg har sagt før, og nu siger jeg det igen: At USA defineres som et "usikkert tredjeland" er udelukkende politisk motiveret. UK fik uden videre en tilstrækkelighedsafgørelse og status som sikkert tredjeland efter Brexit, selvom det også her er kendt inden for persondataretten, at UKs masseovervågning, efterretningstjenester, mv. på flere områder langt overstiger det, som USA har gang i. Ja, det er endda en offentlig hemmelighed, at UK hackede Belgiens største teleudbyder for at opsnappe information.

Men igen, det er politisk: GDPRs udgangspunkt er, at alle EU-medlemslandene har et højt beskyttelsesniveau, og alt udenfor har et dårligt beskyttelsesniveau — også selvom visse lande uden for EU er langt bedre til databeskyttelse end visse lande inden for EU. Det er en politisk beslutning, at hvert medlemsland ikke skal godkendes separat, og at alle medlemslande har en ensartet tilgang til databeskyttelse og deres øvrige lovgivning.

Indtil nu har vi måttet acceptere, at UK ifølge GDPR var sikkert, men det ærgrer mig noget så enormt, at EU Kommissionen uden videre giver UK en tilstrækkelighedsafgørelse efter Brexit. Det er politik, og udelukkende politik, at UK er "sikkert", imens US er "usikkert".

7
22. september kl. 15:53

Kig på plausible.io i stedet!

5
21. september kl. 18:37

Er der nogen her, som har en mening om SiteImprove, som også bruges flittigt, bl.a. i Økonomiministeriet? R den anderledes og bedre rent privacy-mæssigt end Google Analytics?

Jeg har ikke lige haft tid til tjek, udover jeg ved de bruger amerikanske Cloudflare og AWS - det kan i de fleste tilfælde være fint hvis data krypteres "in transsit og at rest". Men du kan læse lidt om hvad de selv siger:https://www.siteimprove.com/glossary/google-analytics-alternative/https://help.siteimprove.com/support/solutions/articles/80000724285-siteimprove-analytics-data-flows-and-compliance

6
21. september kl. 19:18

Tak for svar, Emil Bock Nielsen.

4
21. september kl. 18:10

Dansk Erhverv (DE), til Version2:

Det vil have store konsekvenser for danske virksomheder. Og i særdeleshed for små og mellemstore virksomheder,« siger han og fortsætter: Google Analytics er klart det mest udbredte værktøj til statistik blandt de små og mellemstore virksomheder udelukkende af den grund, at det er godt og gratis.«

Ræsonnementet om virksomheder som Google og Facebook udelukkende understøtter SMV'er fremfor at skabe konkurrenceforvridning m.m., er en fortælling Google og Facebook lever højt på samt fortælle om. Det er interessant at der endnu ikke er etableret den samme frygt hos danske virksomheder, som der er omkring Amazons mulige indtrædelse på det danske marked. Frygten om at ens produkter ikke vægtes efter hvad man har betalt for. Falske vurderinger som promoverer andre. At værdifuld kundedata blir brugt imod en. At der gennemskueligheden er utrolig lav. osv. osv.

Men jo, hvis man ikke reklamerer og man så pludselig reklamerer med Google og Facebook, så sker der selvfølgelig en vækstforøgelse. Pointen er bare, at væksten også sandsynligt kunne ske med andre (mere lovlige) aktørere/værktøjer og at det hos Google og Facebook ikke er alle data man har indsigt i hos dem, som egentlig har større betydning for virksomhedens vækst end dem man kan se.

Men her er lidt viden til at blive klogere på hvordan virksomheder udnyttes:

3
21. september kl. 17:27

Fra afgørelsen:

En mulig teknisk foranstaltning, der kan være relevant ved brug af Google Analytics, er pseudonymisering.

Men, som franskmændene skriver, så skal man være sikker på

all of the information transmitted does not in any way allow the person to be re-identified

Og italienerne kom frem til at IP-adresser er en personlig information som ikke kan anonymiseres uanset forkortning (https://noyb.eu/en/update-further-eu-dpa-orders-stop-google-analytics):

The Italian DPA rendered the use of Google Analytics as illegal, as website operators using GA collected user data via cookies and transferred these to the USA. In determining that the processing was unlawful, the Italian DPA reiterated that an IP address is personal data and would not be anonymised even if it were shortened – given Google’s capabilities to enrich such data through additional information it holds.

Så til de virksomheder m.m. som anvender Google Analytics (og egentlig også andre værktøjer som Facebook Pixel, selvom det ikke er blevet specifikt vurderet i DK endnu), fjern det venligst da det er ulovligt.

2
21. september kl. 16:24

det er godt og gratis

Gratis, som i at du betaler med dine brugeres data. Virksomhederne har haft et halvt år til at finde alternativer. Hvis de klynker nu, ligger de som de har redt.

1
21. september kl. 15:46

En lille sejr for privacytilhængere, men vel også kun lille. For pseudonymisering? Siden hvornår - og da især i Googles hænder - er det blevet effektivt til at beskytte persondata med? Nu skuffede Datatilsynet mig.

Er der nogen her, som har en mening om SiteImprove, som også bruges flittigt, bl.a. i Økonomiministeriet? R den anderledes og bedre rent privacy-mæssigt end Google Analytics?

Jeg har søgt nogle aktindsigter til Økonomiministeriet omkring brugen af SiteImprove, og har foreløbig fået bl.a. dette svar:

"Risikovurdering og konsekvensanalyse Der er foretaget en risikovurdering af SiteImprove. Der er derimod ikke foretaget en konsekvensanalyse, idet der ikke vurderedes at være en høj risiko for fysiske personers rettigheder og frihedsrettigheder i henhold til persondataforordningen. Ifølge offentlighedslovens § 23, stk. 1, er der ikke ret til aktindsigt i interne doku- menter. Bestemmelsen indebærer, at ethvert dokument, som er udarbejdet af en forvaltningsmyndighed, og som ikke afgives til udenforstående, betragtes som et internt dokument. Ifølge offentlighedslovens § 28 skal der gives indsigt i oplysninger om en sags fak- tiske grundlag, i det omfang oplysningerne er relevante for sagen (ekstraherings- pligt). Det følger imidlertid af lovens forarbejder, at ekstraheringspligten bl.a. ikke omfatter interne faglige vurderinger. Risikovurderingen vedrørende SiteImprove er foretaget i Økonomistyrelsen, og har ikke været afgivet til udestående. Det er derfor Økonomistyrelsens vurdering, at risikovurderingen udgør et internt dokument, der er undtaget fra retten til akt- indsigt. Din anmodning om aktindsigt i risikovurderingen som helhed kan derfor ikke imødekommes."

ER risikoen ved SiteImprove så lille, at man ikke behøver at foretage konsekvensanalyse?

Og var der ikke noget i den nye Digitaliseringsstrategi om at lægge vægt på transparens? Så pynter det jo ikke at afvise aktindsigt i risikovurderingen.