I kjølvannet av flere vedtak fra europeiske datatilsyn blir kjennelsene vurdert som at bruken av Google Analytics er ulovlig. Nå har det norske datatilsyn også kommet med et varsel om vedtak i denne saken. Er Google Analytics ulovlig, lurer du kanskje på?
Noyb (European Center for Digital Rights), ledet av Max Schrems, har klaget inn flere nettsteder til datatilsynsmyndighetene i EØS på bakgrunn av tolkningen av personvernforordningen ved at Google Analytics overfører personopplysninger ut av EØS ved å lagre GA data på servere i USA.
Bakgrunnen for problematikken
Bakgrunnen for problematikken er de amerikanske lovene for overvåking er i direkte konflikt med de europeiske lovene om personvern. I 2013 avslørte Edward Snowden at amerikanske etterretningsorganisasjoner har direkte tilgang til europeiske borgere gjennom overvåkingssystemer som PRISM-systemet.
Helt siden utvidelsen av den amerikanske loven “50 U.S.C. $1881a (eller FISA 702) i 2008, har selskaper som Google, Facebook, Apple, Microsoft, Yahoo osv, samlet inn enorme datamengder om europeiske borgere. Denne innsamlingen er i konflikt med de personvernlovene vi har i EU og EØS for å ivareta personvernet.
I 2018 ble Cloud Act aktivert og tilrettela for at FBI eller andre amerikanske politimyndigheter kunne oppnå tilgang til data gjennom rettskjennelse eller stevning, som både befinner seg i USA og i utlandet, sålenge selskapet var amerikansk.
Så hittils er det flere lover og muligheter der amerikanske myndigheter kan få tilgang til europeiske borgeres webstatistiske data, men dette er faktisk ikke de eneste lovgivningene som gir direkte innsyn i data om Europeiske borgere.
Presidenten av USA har gjennom lovgivningen Executive Order (EO) 12.333 og Presidential Policy Directive 28, direkte mandat til overvåking av ikke-amerikanske borgere.
Det initielle svaret fra Google og Facebook i tidlige saker, var at de står bak EU-kommisjonens standard lovbestemmelser for personopplysninger som overføres til tredjeland. Den Europeiske Unions Domstol (CJEU) har i henhold til Max Schrems sagt at dette ikke er tilstrekkelig og at denne avtalen ikke er gyldig i denne situasjon.
Det er dermed flere forskjellige lovgivninger som gir rett til overvåkning av ikke-amerikanske borgere, samt ingen databehandleravtale mellom EU+EØS og USA. Dette har ført til kraftig hodebry for de som nå prøver å forhandle frem en egen databehandleravtale mellom EU+EØS og USA og første utkastet ble raskt avfeid som ikke godt nok.
Ikke bare Google Analytics
Noyb har også rettet anmeldelser til blant annet Stripe og til sammen 101 antall anmeldelser av selskaper med brudd på personvernreglene. Dette gjelder også Facebook sine sporinger som pixel og conversion api. Det betyr at det holder faktisk ikke å bare fjerne Google Analytics. Foreløpig er det Google og Facebook som er i søkelys, men dette kan påvirke flere andre amerikanske selskaper som er godt tilstede i det europeiske markedet. Det er derfor viktig med en god kontroll på egne data og hvilke verktøy og programmer som benyttes til akkurat dette.
Datatilsynet utsteder varsel om vedtak
1 Mars kom det et varsel om vedtak i Google Analytics saken, fra det norske datatilsynet. Deres foreløpige konklusjon er at bruken av Google Analytics ikke er i tråd med personvernforordningen etter at nettstedet Telenor.no ble klaget inn for brudd på personvernreglene ved bruk av Google Analytics.
Datatilsynet skriver i sin artikkel at “siden det er kommet så mange klager om bruk av Google Analytics på europeisk nivå, har det europeiske personvernrådet (EDPB) opprettet en arbeidsgruppe for å koordinere klagesaksbehandlingen”. Datatilsynsmyndighetene i Italia, Østerrike, Frankrike og nå også Danmark i en veileder, har allerede fattet vedtak om at bruk av Google Analytics er i strid med personvernreglene.
Før det fattes et vedtak i Norge, så er det satt 3 ukers frist fra berørte partier (Telenor) til å uttale seg om saken. Etter datatilsynets vurdering og beslutning, så skal utkast sendes de berørte tilsynsmyndigheter i EØS som deretter har 1 måned på å fremme innsigelser. Det vil si at vi ser på >2måneder i tid før vedtaket blir annonsert fra Datatilsynet.
Konsekvenser for andre norske nettsteder
Dersom vedtaket besluttes at bruken av Google Analytics bryter personvernreglene, så vil det ha konsekvenser for andre nettsteder. Det betyr at norske nettsteder som benytter Google Analytics, må forholde seg til Google Analytics på en annen måte enn vi gjør idag. Så med andre ord, kan det være lurt å starte vurderingsprosessen allerede nå.
GDPR vs Schrems 2?
GDPR står for General Data Protection Regulation, eller på norsk, personvernforordningen. Formålet med GDPR er å styrke personvernet og gi individene mer kontroll over sine personopplysninger og persondata.
GDPR inneholder en rekke prinsipper og krav som virksomheter og organisasjoner må overholde når de behandler personopplysninger. Noen av disse inkluderer:
- Lovlig, rettferdig og transparent behandling: Personopplysninger skal behandles på en lovlig, rettferdig og transparent måte i forhold til den registrerte.
- Begrensning av formål: Personopplysninger skal samles inn for spesifikke, eksplisitte og legitime formål og ikke behandles videre på en måte som er uforenlig med disse formålene.
- Dataminimering: Personopplysninger skal være adekvate, relevante og begrenset til det som er nødvendig i forhold til formålene de behandles for.
- Riktighet: Personopplysninger skal være korrekte og, om nødvendig, oppdaterte.
- Lagringsbegrensning: Personopplysninger skal lagres på en måte som gjør det mulig å identifisere de registrerte i ikke lenger tid enn det som er nødvendig for formålene opplysningene behandles for.
- Integritet og konfidensialitet: Personopplysninger skal behandles på en måte som sikrer tilstrekkelig sikkerhet, inkludert beskyttelse mot uautorisert eller ulovlig behandling, tap, ødeleggelse eller skade.
GDPR gir også individer en rekke rettigheter, som retten til å få tilgang til sine personopplysninger, retten til å be om sletting eller retting av opplysninger, og retten til å protestere mot eller begrense behandlingen av deres opplysninger. Virksomheter og organisasjoner som behandler personopplysninger er pålagt å oppnevne et personvernombud (DPO) dersom visse betingelser er oppfylt, og å melde fra om eventuelle brudd på personvernet til relevante myndigheter og de berørte individene.
Max Schrems er leder for bedriften Noyb og har kjørt saker i rettssystemet i EU domstolen for brudd på denne personvernforordningen. Dermed har Schrems 2 blitt en betegnelse på en viktig dom som ble avsagt av EU domstolen (CJEU) i juli 2020 (sak C-311/18). Saken var en oppfølging av en tidligere sak kalt Schems 1 og involverte Noyb og Facebook. Dommen i Schrems 2 fokuserte på overføring av personopplysninger fra EU til tredjeland, spesielt USA.
I Schrems 2 dommen erklærte EU domstolen at det tidligere rammeverket for datadeling mellom EU og USA, kjent som Privacy Shield, var ugyldig. Domstolen kom til denne konklusjonen fordi Privacy Shield ikke kunne sikre et tilstrekkelig beskyttelsesnivå for personopplysninger overført fra EU til USA, særlig på grunn av USAs overvåkningslover og begrensede muligheter for rettsmidler for EU-borgere.
Schrems II-dommen har hatt betydelige konsekvenser for virksomheter og organisasjoner som overfører personopplysninger fra EU og EØS til tredjeland, inkludert USA. Etter dommen må slike overføringer baseres på andre juridiske mekanismer som gir et tilstrekkelig personvernivå, i samsvar med GDPR. Dette kan inkludere standard kontraktsklausuler (SCC) eller bindende virksomhetsregler (BCR), men disse mekanismene må også vurderes nøye for å sikre at de faktisk gir et tilstrekkelig personvernivå i lys av mottakerlandets lover og praksis.
Hva er personopplysninger i Google Analytics?
Det er flere innsamlingspunkter i Google Analytics som sammen med andre, utgjør mønsterdata som kan være med på å identifisere en bruker og eventuelt også lokasjon.
All data som er med på å identifisere en person, er å anse som persondata. Selv om denne dataen er anonymisert, men likevel kan benyttes til å knyttes opp mot tredjepartsdata eller andre datakilder for å deretter identifisere brukeren, er å anse som persondata.
- Navn og etternavn er å anse som persondata
- En hjemmeadresse er å anse som persondata
- En e-postadresse er å anse som persondata
- Et ID kort nummer, er å anse som persondata
- Lokasjonsdata er å anse som persondata
- IP adresse er å anse som persondata
- CookieID er å anse som persondata
- Annonse-ID på din telefon er å anse som persondata
- Data som holdes av lege eller annet helsepersonell er å anse som persondata, når dette kan identifisere en person
Eksempler på ikke-persondata
- Organisasjonsnummer
- generisk e-postadresse som hei@firma.no eller “kontakt@firma.no”.
- anonymisert data som ikke kan reverseres
Hva med Google Analytics 4?
GA3 og GA4 er fullstendig forskjellige verktøy, som både behandler, samler og rapporterer data på en helt annen måte, samt helt andre dataer også. Men det foreligger fortsatt noen likheter
Begge versjoner benytter en unik identifikator i tillegg til nettleser, operativsystem med mer. I forbindelse med saken hos det Østerriske datatilsyn, så har Google gjort tilgjengelig funksjon som gjør at nettstedseier kan velge bort parametere for å gjøre sporingen mer akseptabel i henhold til personvernforordningen.
Ettersom både denne unike ID’en, samt atferdsdata på nettstedet, i kombinasjon med lokasjon og tidspunkt for besøk, fortsatt er tilgjengelig i GA4, synes det danske datatilsynet at det fortsatt foreligger brudd på personvernreglene da muligheten for identifisering er tilstede, særlig i kombinasjon med annen data.
Google skriver i sin dokumentasjon om GA4 at den ikke samler inn IP adresse, og det dermed ikke er lokasjonsdata tilgjengelig, men at det kun benyttes for å sende data til nærmeste datasenter. Det betyr at en besøkende til et norsk nettsted, som sitter i Asia, aldri vil være innom et europeisk datasenter.
Men på grunn av Googles egne interne infrastruktur med brannvegger og sikkerhetssystem, så logges all innkommende trafikk, uansett hvor det kommer fra. Dette er en del av deres sikkerhetssystem. Bekymringen her hos Noyd og Max Schrems er at disse loggføringene kan krysskobles med Google Analytics data som er anonymisert, ved at teleoperatørdata, internettleverandørdata eller andre datapunkter som amerikanske etterretningsorganisasjoner har direkte tilgang til og dermed kan krysskoble, hvilket sår tvil om at dataen er tilstrekkelig anonymisert.
Data hos amerikansk selskap
Så lenge du samler persondata, så kan ikke disse lagres hos et amerikansk selskap overhodet. Dette gjelder Facebook, Google eller hvilket som helst annet amerikansk selskap egentlig, også Microsoft. Det vil være brudd på personvernforordningen ved at noe som helst av personopplysninger blir delt med et amerikansk selskap.
Hvis du ikke samler persondata, så er det heller ikke noen fare for brudd på personvernforordningen med tanke på tredjepartsland som får innpass i data om europeiske borgere.
Proxy-løsningen
Det er flere som har kommet frem til en proxy-løsning kan være gyldig. Allerede i juli ifjor var proxy løsningen diskutert som mulig fiks på dette problemet. Det franske datatilsyn (CNIL) skriver i en artikkel at proxy-løsningen kan være en mulig akseptabel løsning, men skriver også at det foreligger noen strenge krav til en slik løsning som må ivaretas.
- Det kan ikke forekomme noen som helst forsendelse av IP fra bruker til datamottakter ( i dette tilfellet Google).
- Erstatte brukeridentifikator med proxy-server. For å sikre full og effektiv anonymisering bør algoritmen som utfører erstatningen, sørge for tilstrekkelig kollisjonsnivå (det vil si, tilstrekkelig sannsynlighet for at to forskjellige identifikatorer vil gi samme resultat etter en hash) og inkludere en tidsvarierende komponent.
- Fjerne ekstern henviser
- Fjerne envher url parametere (for eks, UTM og andre interne paramtere)
- Reprosessering av informasjon som kan generere et “fingerprint”, som for eksempel user-agent.
- Ikke tillate og/eller fjerne innsamling av andre identifikatorer som CRM ID, unik ID etc.
- Fjerne enhver data som kan lede til re-identifisering i etterkant av anonymisering.
I tillegg til disse spesifikke kravene, så lister også CNIL opp betydelige krav til hvordan dette skal hostes på server. Det er dermed litt ressurser som kreves for å iverksette en godkjent proxy-løsning.
Men det er flere byråer, (som IIH Nordic og PII Guard) i Europa og til og med her i Norge som markedsfører en slik løsning. Det finnes også flere github forslag til hvordan dette eventuelt kan gjøres in-house, hvis det er ønskelig. Hvis man har utviklerressurser internt, så kan kanskje det være en løsning.
Å sette opp en proxy-løsning for Google Analytics innebærer at du sender trafikkdata fra nettstedet ditt til Google Analytics gjennom en mellomtjener (proxy) som du kontrollerer. På den måten kan du kontrollere samtlige parametere som måtte være karakterisert som personopplysninger eller som kan danne personmønstre, som igjen kan benyttes til identifisering.
Dette er en løsning som datatilsynsmyndigheten er klar over, men ikke tatt stilling til enda, men som kanskje kan være en løsning, iallefall frem til det foreligger en akseptabel databehandleravtale mellom EØS og USA.
Forenklet fremgangsmåte for proxy-løsning
- Sette opp en proxy-server:
Først må du velge en proxy-server. Du kan enten bruke en eksisterende server eller sette opp en ny. Du kan benytte tjenester som Nginx, Apache eller annen programvare for å opprette en proxy-server. - Konfigurer proxy-serveren
Konfigurer proxy-serveren til å videresende forespørsler til Google Analytics. For eksempel, hvis du bruker Nginx, kan du legge til følgende konfigurasjon i Nginx-konfigurasjonsfilen:
location /analytics {
proxy_pass https://www.google-analytics.com;
proxy_set_header Host www.google-analytics.com;
}
Dette eksemplet antar at du vil bruke stien “/analytics” for å sende data til Google Analytics. Du må tilpasse konfigurasjonen etter dine behov og serverens programvare. - Oppdater nettstedets sporingskode:
Endre sporingskoden på nettstedet ditt for å sende data gjennom proxy-serveren. Du må erstatte Google Analytics- URLen i sporingskoden med proxy-URLen. Hvis du bruker Global Site Tag (gtag.js) kan du endre koden slik:
gtag(‘config’, ‘UA-XXXXX-Y’, { ‘transport_url’: ‘https://yourdomain.com/analytics’ });
ErstattUA-XXXXX-Y
med din Google Analytics sporings-ID, oghttps://yourdomain.com/analytics
med URL-en til din proxy-server. Hvis du bruker analytics.js, kan du endre koden slik:
ga(‘create’, ‘UA-XXXXX-Y’, ‘auto’);
ga(‘set’, ‘transportUrl’, ‘https://yourdomain.com/analytics/collect’);
ga(‘send’, ‘pageview’);
Husk å erstatteUA-XXXXX-Y
oghttps://yourdomain.com/analytics/collect
med dine egne verdier. - Test løsningen:
Etter å ha oppdatert sporingskoden, bør du teste proxy-løsningen for å sikre at dataene sendes korrekt til Google Analytics. Åpne nettstedet ditt og sjekk om forespørslene sendes til proxy-serveren i stedet for direkte til Google Analytics. Du kan bruke nettleserens utviklerverktøy og se på nettverksfanen for å sjekke dette. Du bør også sjekke Google Analytics-kontoen din for å se om dataene blir mottatt som forventet.
Vær oppmerksom på at denne veiledningen gir en grunnleggende proxy-løsning, og du kan trenge ytterligere konfigurasjon for å oppfylle personvernkravene i GDPR.
Min anbefaling
Hvis du kjører GA360, så forstår jeg at det er fristende å se etter løsninger som Proxy-løsningen. Ettersom GA360 er dyr og innehar allerede store konfigurasjoner som er viktig, så er kanskje det en mulighet.
Men jeg synes at det fort kan bli svært avkortet å drive analyse, når flere dataparametere er fjernet, hvor datagrunnlaget samlet hos Google Analytics har store mangler. Dette er kanskje ikke det verste.
Mye av grunnlaget for bruken av Google Analytics har jo vært interaksjonen med andre Google verktøy, som har gitt en stor fordel. Interaksjonen med Google Ads, Google Optimize, Google Tag Manager, for å nevne noen, har vært svært fordelaktig både for analyseøyemed, men også markedsføringsmessig.
Hvis du ikke har GA360 idag, så vil jeg anbefale et verktøy som ikke er amerikansk eller samler data i amerikanske datasentre. Husk at cloud som Azure, AWS og Google Cloud, er amerikanske selskaper, så det hjelper ikke å samle dataen der. Her må det være lokale datasentre og selskaper som er underlagt lovgivningen i Norge (EØS). Husk at ved lagring av persondata, så skal det også være forsvarlige databehandleravtaler tilstede for dette også.
Programmer som Piwik/Matomo er en av flere løsninger som kan være et godt alternativ til Google Analytics. Her er det funksjoner og antall hits som eventuelt bestemmer om det skal betales lisens eller ikke, eventuelt hvor mye lisens du må betale. Piwik er et godt verktøy som er bygget som en kopi av Google Universal Analytics en gang i tiden, men innehar flere gode funksjoner for styring av data og rapportering.
Det finnes også flere andre lisensierte verktøy som Amplitude, Adobe, Mixpanel, CrazyEgg, ContentSquare som alle driver innsamling av atferdsdata på websider, på forskjellige måter. Her kommer det veldig an på både budsjett, ressurser og behov, for hvilke alternativer som er gunstig for deg.
Men husk at de fleste web statistiske verktøy idag er basert på samme struktur som GA idag er vurdert som ulovlig på, hvor forskjellen er at GA sender dataen til USA. Mange andre verkøy samler inn persondata som IP adresse og andre parametere, men lagrer dette utenfor USA, som for eksempel i Europa. Dette fordrer at du har god kontroll på hvor du sender dine data, for å være i henhold til GDPR og personvernreglene i Norge og EØS.
Hvor kan jeg få hjelp?
Hvis du har et byrå, regner jeg med de har allerede satt seg godt inn i denne problematikken og kan guide deg i både databehandleravtale, GDPR, Google Analytics og eventuelle alternativer som måtte foreligge.
Du kan også ta kontakt med undertegnede (krister.ross @ avensia .com) eller andre i Avensia, hvor vi kan hjelpe deg med hva som er best i din situasjon.
Kilder
https://commission.europa.eu/law/law-topic/data-protection/reform/what-personal-data_en
https://noyb.eu/en/101-complaints-eu-us-transfers-filed
https://gdprhub.eu/index.php?title=DSB_(Austria)-_2021-0.586.257(D155.027)
https://en.wikipedia.org/wiki/CLOUD_Act
https://www.datatilsynet.dk/english/google-analytics
https://www.dataguidance.com/resource/definitive-guide-schrems-ii
https://www.archives.gov/federal-register/codification/executive-order/12333.html