Fortsätt till huvudinnehållet

Google Analytics och GDPR - en guide

28 oktober 2022
panang

Google Analytics är det överlägset mest populära analysverktyget på marknaden. Det är gratis och låter dig analysera webbplatstrafik och samla in värdefull data om användarbeteende. 

Men Google Analytics och dess moderbolag, Google LLC, har varit på radarn för europeiska integritetsaktivister under lång tid nu. Under de senaste åren har vi hört rapporter om tvivelaktiga sekretesspraxis från Google, vilket också har lett till rättsliga åtgärder med GDPR som grund. Detta inkluderar klagomål som lämnats in av aktivistorganisationer som Österrikes NOYB och Panoptykon Foundation i Polen. 

Google har också drabbats av mångmiljonböter av flera europeiska dataskyddsmyndigheter, inklusive franska CNIL, Sveriges IMY och Belgiens APD .

Samtidigt gjorde Schrems II-domen och ogiltigförklaringen av Privacy Shield för några år sedan, att organisationer på allvar började överväga juridik kontra affärsnytta med GA. De flesta verkar ha gjort bedömningen att Google Analytics är “tillräckligt” ofarligt juridiskt för att risken ska uppvägas av nyttan med att använda plattformen, men utvecklingen går nu snabbt.

De österrikiska, franska, italienska och holländska dataskyddsmyndigheterna otvetydigt beslutat att användningen av en standardinställning av Google Analytics är olaglig enligt GDPR

Google Analytics och GDPR: viktiga produktfunktioner

Google har inte suttit på händerna, utan utvecklat plattformen det senaste året för att försöka uppfylla GDPR-kraven (vi ska återkomma till varför de inte räcker). Detta inkluderar bland annat:

1. Dataraderingsmekanism – I Google Analytics kan du radera information om besökare om de begär det. Den här funktionen fungerar dock bara för hela datakategorier. Listan innehåller alla sidtitlar, händelseetiketter, händelsekategorier, händelseåtgärder, anpassade dimensioner eller användar-ID:n som du har samlat in under ett givet tidsintervall. Det kräver dock dock att du känner till aktuellt användar-ID, vilket i princip inte går, så ditt enda praktiska val utan att använda Google Analytics User Deletion API, är att radera all information som inkommit under berörd period.

2. Inställningar för datalagring – Google har också infört nya datalagringsinställningar som låter dig kontrollera hur länge användardata lagras innan de raderas automatiskt. I Google Analytics 4 kan du välja mellan 2 och fjorton månaders datalagring.

3. Ny integritetspolicy – ​​Google har även inkluderat nya GDPR-villkor i standardavtalet, där de definierar sig som ”databehandlare” (personuppgiftsbiträde) för Analytics och Analytics 360.

4. Uppdaterade databehandlingsvillkor – Google har gjort betydande ändringar i sina databehandlingsvillkor. Den nya policyn listar dina ansvarsområden, såsom att informera och inhämta giltigt samtycke från europeiska invånare (exempelvis cookie consent-banner och läsbar policy på webben).

5. Data delas inte längre med tredje part som standard – Vissa funktioner i Google Analytics 4 som kräver att data delas med Googles ekosystem är nu avstängda som standard. Detta inkluderar till exempel signaler – sessionsdata från webbplatser och appar som rör inloggade användare som används för personlig reklam och remarketing. 

6. Introduktionen av Googles samtyckesläge – Google Analytics har nu ett speciellt samtyckesläge som gör att du kan använda en AI-baserad konverteringsmodell närhelst besökare vägrar samtycke till spårning.

Dessa ändringar gjordes för att plattformen nu kan användas i enlighet med EU-lagstiftningen. Men räcker de? Det korta svaret är nej.

Google Analytics och GDPR: hur plattformen bryter mot EU-lagstiftning

Det största problemet med Google Analytics är att det lagrar användardata, inklusive information om EU-invånare, på molnservrar i USA. Dessutom är Google LLC ett USA-ägt företag och omfattas av amerikanska övervakningslagar, såsom Cloud Act. Det här hade kunnat vara åtgärdat genom Privacy Shield, men amerikanska myndigheter vill inte släppa på möjligheten att kunna gå in i amerikanska företags data/servrar och därmed blev Privacy Shield verkningslös och sedan länge ogiltig som substitut för GDPR.

Varför dataöverföringar mellan EU och USA bryter mot reglerna i GDPR

I juli 2020 ogiltigförklarade Europeiska unionens domstol (CJEU) Privacy Shield-ramverket . Ramverket fastställer reglerna för överföring av data mellan EU och USA. I domen känd som Schrems II, konstaterade domstolen att det är olagligt att skicka personuppgifter från EU till USA om företag inte kan garantera att det är säkert från amerikansk underrättelsetjänst. 

Utan ett adekvat avtal på plats har vissa företag, inklusive Google, försökt införa standardavtalsklausuler (SCC) för att skydda data som skickats till USA. 

Sedan domen har integritetsvakt­organisationen NOYB lämnat in 101 klagomål mot företag som samlar in besöksdata med Google Analytics och Facebook Connect. Listan över stämda företag inkluderar företag från flera sektorer, med övervikt av företag som hanterar särskilt känsliga person­uppgifter, samt publicister.

Den 12 januari 2022 släppte österrikiska DSB sitt beslut i fallet med en icke namngiven tysk webbutgivare. Tillsynsmyndigheten angav att det är olagligt att använda Google Analytics för att samla in data om EU-medborgare enligt GDPR . 

Enligt DSB är det möjligt att koppla informationen som samlas in med Google Analytics till en fysisk person. Samtidigt kan SCC:er som introducerats av Google inte skydda EU-invånares data från amerikansk övervakning enligt domen, och därför bör organisationer som samlar in analysdata om EU-invånare inte använda Google Analytics.

I april 2022 utfärdade CNIL ett beslut som beordrade tre franska webbplatser att sluta använda Google Analytics. Under de följande månaderna släppte de italienska och danska dataskyddsmyndigheterna liknande uttalanden. Andra dataskydds­myndigheter kan följa efter: 2020 bildade European Data Protection Board (EDPB) en arbetsgrupp. Dess mål är att samordna kommunikationen mellan alla europeiska dataskydds­myndigheter efter Schrems II-domen och att hjälpa dem att hantera klagomål som härrör från domen. 

Som ett resultat av det hamnar varje beslut som offentliggörs av europeiska myndigheter i en samförståndsstrategi som utarbetats inom EU. I slutändan kommer varje ny dom från EU:s myndigheter att följa samma riktlinjer. Det är i grunden klokt, för att undvika att varje enskild stat ska behöva tolka lagen och uppfinna egna hjul.

De beslut som nu börjat dyka upp i olika dataskyddsmyndigheter, och därför snart kan komma att bli EU-tolkningar, är att Google Analytics “kanske inte är tillåtet”, samt att IP-anonymisering är en otillräcklig skyddsåtgärd vid dataöverföringar från EU till USA. Franska CNIL har också utfärdat reviderade riktlinjer för användningen av Google Analytics. Deras FAQ tyder på att EU-baserade organisationer inte kan använda verktyget utan att tillämpa ytterligare skyddsåtgärder.

Frågor du kan få om GDPR och Analytics av din ledningsgrupp

EU-myndigheternas beslut kan vara oklara utan korrekt sammanhang och förklaring. Nedan svarar vi på de viktigaste frågorna som uppstår av dessa domar.

Samlar Google Analytics in personuppgifter? 

Ja. I sina användarvillkor förbjuder Google Analytics användare att samla in alla typer av personuppgifter förutom:

  • Onlineidentifierare,
  • inklusive cookieidentifierare,
  • internetprotokolladresser och
  • enhetsidentifierare; klientidentifierare

Utöver det anonymiserar GA vissa delar av data om besökare, inklusive IP-adresser. Men den använder fortfarande identifierare som kvalificerar sig som personuppgifter. Österrikes dataskyddsmyndighet har 2022 slagit fast att

IP-anonymisering gäller endast IP-adressen. Andra typer av data, som onlineidentifierare, som ställs in via cookies eller enhetsdata, överförs fortfarande av Google i klartext. IP-anonymisering sker först efter att data har överförts till Google.”

Detta innebär att data som samlas in med Google Analytics omfattas av GDPR.

De flesta av dessa beslut hänvisar till Universal Analytics. Betyder det att Google Analytics 4 är GDPR-kompatibelt?

Nej, åtminstone inte i dagsläget. Trots vissa ändringar i sekretessinställningarna samlar GA4 fortfarande in personuppgifter (unika användaridentifierare) och behandlar dem utanför EU. Och GA4 fortfarande en produkt som utvecklats och underhålls av Google – en amerikansk organisation som omfattas av amerikanska dataövervakningslagar som FISA och Cloud Act. 

Danmarks dataskyddsmyndighet har fastslagit att detta innebär att ingen version av Google Analytics uppfyller de integritetsstandarder som GDPR kräver.

Men löser vi inte detta med besökarens samtycke?

Nej, eftersom samtycke inte legitimerar gränsöverskridande dataöverföringar enligt GDPR. Den franska dataskyddsmyndigheten angav uttryckligen att: 

[…] användares samtycke till lagring av cookies under deras besök på webbplatsen kan inte anses likvärdigt med att de ”uttryckligen har samtyckt till den föreslagna överföringen, efter att ha informerats om de möjliga riskerna med sådana överföringar för den registrerade[…]

På grund av det kan de regelbundna dataöverföringarna baserade på användarnas samtycke inte motiveras. De måste regleras av en separat lagstiftning, som för närvarande inte finns på plats när det gäller dataöverföringar mellan EU och USA.

Kan jag använda datakryptering och pseudonymisering för att få Google Analytics att fungera i linje med GDPR?

Hyggligt. Enligt vissa dataskydds­myndigheter, inklusive Datatilsynet och CNIL, kan ytterligare sekretess­åtgärder lösa vissa integritets­problem med GA. En laglig implementering av plattformen innebär:

  • Se till att Google Analytics aktiverar skript först efter användarens samtycke.
  • Sätt upp Analytics serversida på EU-baserade och ägda servrar.
  • Stäng av alla personliga identifierare (såsom användaridentifierare, IP-adresser, användaragent, crossside-identifierare, referens-URL, helsides-URL inklusive data i UTM-taggar och anpassade dimensioner som kan innehålla personliga data) innan data skickas till USA.

Denna inställning är dyr och svår att underhålla. Utöver det begränsar det dina analysmöjligheter drastiskt. Bland annat kommer du inte att kunna:

  • Mäta prestandan för olika kanaler – du vet inte vilka sajter, kanaler eller kampanjer som ger försäljning och vilka som inte gör det. Kort sagt försvinner din attributionsmodell för digital marknadsföring.
  • Spåra kundresan och trattarna på sajten – till exempel där kunden hoppar av innan köpet. Utan information om hur man optimerar konverteringarna på plats är det dags att börja gissa och A/B-testa mer.
  • Geolokalisering – du kommer inte att veta var dina besökare/konverteringar kommer ifrån (informationen härrör från IP-adressen).

Löser spårning serverside problemen med efterlevnad av GA?

Ja och nej. Implementering på serversidan av Google Analytics är ett av kraven för en laglig installation av platt­formen som presenteras av CNIL. Att använda en proxyserver ger dig bättre kontroll över vilken data du skickar till Google. Det låter dig bland annat ta bort användarens unika identi­fierare innan de når amerikanska datacenter och blir föremål för över­vaknings­lagar. Utöver det, utan unika användar­identifierare, kommer GA inte att kunna koppla händelser till sessioner. Detta gör det omöjligt att analysera kundresan, kanaler eller tillskriva konverteringar.

Det kostar på, men troligen innebär en sådan lösning att du åtminstone kan hävda till IMY att ni gjort allt ni kan för att efterleva lagen.

Med tanke på vad det innebär och vad ni måste försöka i form av insikter, kan det vara mer effektivt att göra analyser med en integritetsvänlig plattform som inte kräver sådana uppoffringar. 

Kommer den aviserade Privacy Shield 2.0 att lösa problemet med Google Analytics?

Vi vet inte. Den nya lagstiftningen kan legalisera användningen av Google Analytics enligt GDPR, men vi vet inte hur och när detta kommer att ske. För närvarande finns det inget sådant ramverk, inte ens i utkaststadiet. Vi måste fortfarande vänta till mars 2023 för att se hur den föreslagna lösningen kommer att se ut. 

NOYB, organisationen bakom klagomålen som ledde till Schrems I- och II-domarna och ogiltigförklaringen av båda tidigare dataöverföringsavtal, har redan bekräftat att de kommer att utmana de nya reglerna i EU-domstolarna. I sitt öppna brev till EU:s lagstiftande organ betonar organisationen att det underliggande problemet med dataöverföringar mellan EU och USA förblir detsamma – den amerikanska lagen misslyckas fortfarande med att säkerställa en adekvat nivå av integritet för EU-invånares data.

Vi kan hoppas på en PS2.0 men vi ska nog inte räkna kallt med det.

Google Analytics och GDPR-efterlevnad: andra olösta problem

Transatlantiska överföringar av person­uppgifter är det mest akuta problemet med Google Analytics när det gäller GDPR, men tyvärr inte det enda. Här är fler saker som lär stöta på patrull över tid:

Google använder besöksdata för sina egna syften

Google använder data från Google Analytics för att förbättra sina tjänster. Om du har Google Analytics-kod på din webbplats och aktiverar datadelning känner annonsörerna i Google Ads till dina besökares preferenser baserat på innehållet de konsumerar. Det gör i sin tur att Google kan rikta in sig på dessa användare med reklam.

För alla organisationer som kräver fullständig datasekretess är detta förstås oacceptablet. Ju fler organisationer som har tillgång till din webbplats data, desto större är chansen att dess säkerhet äventyras. 

Det mest integritetsvänliga alternativet är att inaktivera datadelning. Men då förlorar du åtkomst till många funktioner, personlig inriktning av Google Ads-produkter och demografiska datarapporter. 

Google Analytics erbjuder inte ett tillförlitligt ramverk för samtycke 

Som vi har nämnt tidigare samlar Google Analytics in unika användaridentifierare som standard. Att använda sådana identifierbara uppgifter kräver användarens samtycke. Google försökte till en början tilldela publicister och Google Analytics-användare uppgiften att samla in besökarnas samtycke. De var tvungna att implementera en tredjepartsplattform för hantering av samtycke eller komma på sitt eget sätt att tillgodose EU-lagstiftningens krav.

Integrationen som görs är dock mycket begränsad i de typer av samtycke den tillåter dig att få. Den täcker endast data­insamlings­ändamål relaterade till annonserings­funktionerna i Google Analytics, och i november 2021 beslutade den belgiska dataskydds­myndigheten att ramverket bryter mot GDPR. Beslutet överklagades dock i mars 2022, och vi väntar fortfarande på den slutliga domen i fallet.

Googles samtyckesläge

Det andra alternativet som Google föreslår utöver cookie consent-banner och liknande, är samtyckesläget. Samtycksläget är Googles svar på förlusten av data till följd av samtyckeskraven som ställs av GDPR och andra dataskyddslagar.

Det är en funktion som interagerar med din tredjeparts­plattform för hantering av samtycke. Den använder cookiefria pingar istället för cookies när besökare väljer bort spårning när det gäller Universal Analytics. I Google Analytics 4 fyller den data­insamlingens luckor med konverterings­modeller, som uppskattar de ”förlorade” online­konver­teringarna med hjälp av en AI-baserad algoritm. 

Att ersätta cookies med cookiefria pingar skapar dock, även om det är användbart, ytterligare integritets­problem. Med standard­inställ­ningarna som rekommenderas av Google fortsätter plattformen att samla in användardata utan användarens tillåtelse. Träffen som skickas till Google innehåller fortfarande användarens IP-adress och potentiellt andra unika identifierare, såsom enhets­information och user_id och transaktionsID. Eftersom det inte är absolut nödvändigt att samla in denna information, kan du göra det endast med besökarnas samtycke. 

Du kan förhindra att användarnas uppgifter skickas till Google genom att ändra inställningarna för samtyckesläget. Men användare som inte är medvetna om det här problemet kommer fortfarande att dela data med GA, vilket äventyrar efterlevnaden av deras samtyckesinsamling. 

Så vad ska vi göra nu?  

Vi vet inte resultatet av Google Analytics-följetången ännu, eftersom vi fortfarande väntar på att andra dataskyddsmyndigheter ska uttrycka sina åsikter. 

Som företag/organisation som samlar in data om EU-invånare är det hög tid att få upp det här på agendan, och på lednings­gruppsnivå analysera och förbereda sig för alla scenarion. Marknads­chefer och marknads­förare bör oavsett vägval förbereda sig på att den datadrivna marknads­föringens guldrush börjar gå mot sitt slut.

Det mest integritetsvänliga tillvägagångssättet skulle vara att byta till en EU-baserad analysplattform som skyddar användardata och erbjuder säker hosting, helst i ett svenskt datacenter. Det skapar goda chanser att du samlar in, lagrar och behandlar data i enlighet med GDPR. Ni kommer att få ge upp viss data, och behöva inse att annan data troligen är korrupt. Beslutsmodellerna behöver revideras och ni behöver återigen tänka på marknadsföring mer som en kommunikativ helhet snarare än datadrivet prickskytte.

Ett annat alternativ är förstås att sitta lugnt i båten och invänta en eventuell PS2.0, eller att Google på något annat sätt löser ovanstående problematik. Då behöver ni ha vägt den juridiska riskexponeringen mot affärsnyttan med att använda GA.

Behöver ni beslutsstöd och hjälp med processen? Kontakta oss så skapar vi beslutsunderlag och kan facilitera beslutsprocesserna tillsammans med er.

Funderar ni på Matomo eller andra lösningar? Kontakta oss så hjälper vi er med installation och konfigurering.

Som byrå är det vår uppgift att ha örat mot rälsen och hjälpa våra kunder igenom den här förändringsprocessen, och vi hjälper gärna er också.

Senaste blogginläggen

12 feb

Trender inom marknadsföring 2024

2024 kommer med största sannolikhet bli ett spännande år. Nya teknologier, förändrade konsumentbeteenden och en ökad medvetenhet...

Läs mer
02 feb

GDPR, GA4, GTM och Consent Mode V2

Visst är det en härlig rubrik för ett blogginlägg? Den liksom lockar till läsning och drar en in i regelefterlevnadens värld. Man...

Läs mer
13 dec

Pulsfrukost hos Panang – Sökrevolutionen SGE

2024 lanserar Google det som kallas SGE, Search Generativ Experience. Med SGE ritas kartan om för både sökmotoroptimering och dig...

Läs mer
Se fler blogginlägg

Vad vill du lära dig mer om?

Den digitala verkligheten bjuder ständigt på nytt som utmanar och utvecklar både oss och ditt företag. Låt oss ta en fika och prata kommunikation!