Google Analytics og dataoverførsler til USA

Indledning

Som du nok har set, hørt og læst om, så har Datatilsynet for nyligt erklæret Google Analytics ulovligt at anvende ud fra en fælleseuropæisk analyse. Som udgangspunkt er der ikke noget nyt i det. Systemet har været ulovligt siden juli 2020, hvor CJEU (EU Domstolen) erklærede EU-US privacy shield aftalen ugyldig.

Alligevel bliver det blæst op til en af de største ting længe – åbenbart også større end ITP for nogle.

I dette indlæg kommer jeg med mit besyv på udfordringen, og hvorfor du ikke ”bare lige” med et fingerknips anvender en reverse proxy (server-side) til pseudonymisering og kører videre med Google Analytics som før.

Det er vigtigt at understrege, at jeg hverken er advokat eller jurist. Hvis du er i tvivl om, hvordan dette stiller dig og din virksomhed, så kan det kun anbefales, at du opsøger juridisk rådgivning hos en kvalificeret person med indsigt i netop dette område. Dette indlæg har udelukkende til formål at informere om de tekniske begrænsninger for Google Analytics med afsæt i CNILs vejledning, som Datatilsynet henviser til. Indlægget kommer ikke til at grave dybere i den faktuelle problemstilling ved Schrems II, og Refyne kan som virksomhed og rådgiver hverken hæfte ikke stilles til ansvar ved valg af løsning ud fra den præsenterede holdning i indlægget.

Kravene til dataoverførsler fra CNIL

I Datatilsynets pressemeddelelse henviser de til CNIL (det franske datatilsyn) guide om, hvilke krav, der sættes for, at et Analytics værktøj er compliant, såfremt ejeren af platformen er baseret i USA.

Det drejer sig om følgende krav:

  1. The absence of transfer of the IP address to the servers of the analytics tool
  2. The replacement of the user identifier by the proxy server
  3. The removal of external referrer information from
  4. The removal of any parameters contained in the collected URLs
  5. Reprocessing of information that can be used to generate a fingerprint
  6. The absence of collection of cross-site or lasting identifiers
  7. The deletion of any other data that could lead to re-identification

Man kan altid diskutere, hvorfor enkelte punkter er inkluderet i vejledningen. F.eks. er det ikke min overbevisning, at eksterne referrers (3) eller UTM (4) har nogen som helst berettigelse på listen, da det er aggregeret data uden nogen form for PII. Omvendt er (1), (2), (5), (7) meget mulige at ændre på i Server-side. Det er (3) og (4) også. Men det ændrer ikke på, at systemets berettigelse er baseret på funktionaliteten, der ligger bag (3) og (4). Google Analytics som platform kunne sagtens anvendes videre i dag, hvis (3) og (4) ikke fremgik af vejledningen.

Desværre vil Google Analytics som system blive så ubrugeligt, at produktet i sig selv ikke har en berettigelse mere kontra en platform baseret i EU, hvis en annoncør skal følge CNILs vejledning A til Z. Formålet med Google Analytics er at give et kvantitativt og holistisk indblik i, hvordan dit marketing-mix fungerer og synergierne imellem dem til analyse og medieaktivering.

Hvor efterlader det her Google Analytics?

Hele problemet er ikke, at Google Analytics er ulovligt.
Problemet er, at aftalen med EU og USA ikke er gyldig.

Selve produktet er i sin grundessens compliant, hvis EU stemmer ja til den nye aftale vedr. transatlantisk dataflow i slutningen af året.

Det er min vurdering, at der findes langt bedre alternativer end at spilde tid og ressourcer på at gøre Google Analytics compliant uden en gyldig aftale mellem EU og USA.

I forvejen er/var Matomo Analytics f.eks. et langt bedre analyseværktøj end Google Analytics, og det vil det fortsat være, selv hvis aftalen bliver skrevet under.

Google Analytics har sin berettigelse fordi:

  • Det er gratis
  • Det er plug and play
  • Det anvendes bredt, dvs. sandsynligheden for at du skal lære at bruge et nyt system er lille
  • Det integreres direkte med resten af GMP-stacken
  • Det integreres (efter GA4) direkte med Cloud ift. Audience modellering m.v.

Men hvis man kigger på analyse-behov for en webanalytiker el.lign., så er platformen faktisk dårligere end mange af alternativerne. – Som tilfældigvis også er EU-baseret.

Hvordan bør jeg tilgå øvelsen?

Jeg tror på, at det er sundt, at man smider sin web analyse-stack op i vejret og kigger lidt langsigtet. Jeg ser det ikke som om, at vi skal erstatte en platform, vi har brugt længe. Jeg ser det som en oplagt mulighed for at opnå endnu dybere indsigt i sin platforms anvendelse og udvide sit analytiske grundlag i forretningen.

Antaget, at der indgås en ny aftale mellem EU og USA, så har Google Analytics fortsat sin berettigelse. Det har sin berettigelse fordi, at platformen integrerer direkte med resten af GMP-stacken til medieaktivering. Så i en perfekt verden, ville jeg benytte Google Analytics til medieaktivering af audiences, mens jeg ville søge i retning af en anden platform til statistisk analyse.

Så inden du begynder at kaste mange mandetimer efter at gøre Google Analytics compliant – så tag et skridt tilbage og kig på de muligheder, du har på hånden.

Der findes faktisk bedre alternativer til analyse.