Farvel til Google Analytics eller ej?
Datatilsynet har d. 21. september 2022 udsendt en række anbefalinger, som har store konsekvenser for alle med en hjemmeside, som bruger Google Analytics. De har erklæret Google Analytics ulovligt i den form, som findes på mange hjemmesider. Derfor skal du som hjemmesideejer tænke dig godt om, før du fortsætter som før. Samtidig anbefaler vi dog også, at du slår koldt vand i blodet og lægger en plan for ikke at drage forhastede beslutninger. Læs med her for at få et overblik over situationen og overordnede råd til, hvad du skal gøre.
Kort om Google Analytics
Google Analytics er et værktøj, som mange virksomheder anvender i dag. Enten til blot at se, hvor mange mennesker, som besøger ens side, men også i mere avancerede former. Sidstnævnte inkluderer blandt andet konverteringssporing, som kan bruges til at optimere de annonceringskroner, virksomheder smider efter Google Ads, f.eks. igennem Smart Bidding. Her justerer Google automatisk auktionen og styrer ROAS (Return on ad spend) mod et prædefineret mål med udgangspunkt i dine Google Analytics-data.
Dandomain er i øjeblikket ved at undersøge mulighederne for en Google Analytics-integration, som balancerer brugervenligheden og compliance med de nyeste anbefalinger. Vi kommer med en udmelding, når der er mere klarhed over situationen.
Google Analytics gør overordnet virksomheder og andre instanser i stand til at fintune indsatsen og få indblik i, hvilke marketingtiltag der virker, og hvilke der ikke gør. Derfor er det et vigtigt værktøj for mange, da det indgår som et redskab til at træffe databaserede beslutninger i stedet for mavefornemmelser. Koden implementeres ind i hjemmesidens sidekode, hvorefter data bliver skubbet ud på en praktisk platform, som man kan bruge til analyse af trafik. Her kan du også lave mere brugerdefinerede rapporter, som styrker marketingbeslutningerne. Dette ser dog ud til at ændre sig nu, om end du bruger GA4 eller UA.
Den specifikke databehandling er ulovlig
Helt konkret har Datatilsynet haft Google Analytics under granskning, set i øjnene af de seneste års udvikling i GDPR-området, men også afgørelserne i andre europæiske lande herunder Frankrig, Østrig og Schweiz. Disse afgørelser har ligeledes fundet, at brugen af Google Analytics er i strid med gældende GDPR-lovgivning. Det har betydet, at Datatilsynet ikke mener, at værktøjet kan bruges lovligt i Danmark uden at foretage modifikationer. Førnævnte modifikationer har dog så stor betydning for værktøjets nytteværdi, at det kan være nærmest umuligt at bruge det til ret meget mere end sidevisninger.
Lidt mere specifikt sker det, fordi USA anses som et usikkert tredjeland. Tidligere har det været muligt for virksomheder at overføre persondata til USA under den såkaldte Privacy Shield-ordning. Denne ordning blev erklæret ugyldig af EU-Domstolen i juli 2020, og herefter kan overførsler til USA kun ske på et tilstrækkelig overførselsgrundlag som f.eks. EU-Kommissionens standardkontraktsbestemmelser. Og så skal man om nødvendigt indføre supplerende (yderligere) foranstaltninger, der sikrer en tilsvarende beskyttelse som i EU. Google har indført disse såkaldte standardkontrakter, men alligevel er det myndighedernes vurdering, at de ikke har kunnet sikre et effektivt beskyttelsesniveau. Derfor kan det ikke tillades, at data, som indeholder personoplysninger, tager den transatlantiske rejse i dette tilfælde. Data fra Google Analytics indeholder nemlig IP-adresser, UTM-parametre og en række andre identifikatorer, som klassificeres som personlige oplysninger.
Det er således ikke specifikt Google Analytics, som er erklæret ulovligt. Det har Datatilsynet ikke beføjelser til. Snarere er det måden, hvorpå data håndteres, som er blevet erklæret i strid med gældende lovgivning.
Der medfølger dog en række konsekvenser, hvis der skal ændres i opsætningerne.
Det mudrer dine marketingindsigter
Hvis du i dag bruger værktøjet til at se, hvordan dine forskellige kanaler performer (f.eks. Facebook, Google Ads, TikTok, email) får det ret store konsekvenser for dig. Dette skyldes den ændring, som den franske organisation CNIL anbefaler. Dette er f.eks. at fjerne UTM-parametre fra den URL, som lander på din hjemmeside. Den har indtil nu indeholdt vigtige informationer, som du selv har kunne definere, f.eks. medie, kampagne, annoncenavn, mv. Det har gjort dig i stand til at se, hvor dine besøgende kommer fra, og om dine indsatser rent faktisk virker. Ved at fjerne disse informationer ændres dine Google Analytics- indsigter således til alene at indeholde sidevisninger. Du kan derfor stadig se, hvor mange der besøger dine enkelte landingssider, men mangler nu informationer i det samlede billede. Det er blot en af de ting, som bliver fjernet, hvis du vælger at gå videre med Google Analytics. Så hvad kan man gøre?
Next steps
Hvis du på nuværende tidspunkt anvender Google Analytics (Universal Analytics eller Google Analytics 4), er du omfattet af Datatilsynets udmeldinger.
Overordnet set har du to muligheder:
1: Gør din GA-installation lovlig
Løsningen er her at ændre det data, som skal forbi USA. Det gøres ved at implementere de syv forskellige tiltag, som skal gøre dataen ”pseudonymiseret”. Ja, vi ved det godt. Et dejligt mundret ord, men det har til hensigt at beskytte forbrugerens data ved at lave data om til noget, som ikke kan føres tilbage til enkeltpersoner. Dette gøres ved at fjerne specifikke elementer af de enkelte sessioner, som dermed ikke længere kan føres til USA. CNIL anbefaler følgende:
- Fjernelse af IP-adressers overførsel
- Når du anvender hjemmesider, overføres en IP til Google Analytics. Her kan f.eks. læses, hvor du kommer fra rent geografisk.
- Når du anvender hjemmesider, overføres en IP til Google Analytics. Her kan f.eks. læses, hvor du kommer fra rent geografisk.
- Fjernelse af brugeridentifikator (user identifier)
- Fjernelse af ekstern referral
- Særligt vigtig, når du har stor aktivitet med affiliate-marketing, da den registrerer trafik fra andre domæner, herunder dit affiliate netværk.
- Særligt vigtig, når du har stor aktivitet med affiliate-marketing, da den registrerer trafik fra andre domæner, herunder dit affiliate netværk.
- Fjernelse af UTM-parametre
- Dette er en af de vigtige parametre, som f.eks. fortæller Google Analytics, hvilken platform dine brugere kommer fra, f.eks. TikTok eller mail. Den findes i URL’en, når du klikker på en annonce og starter med ”?utm…”
- Dette er en af de vigtige parametre, som f.eks. fortæller Google Analytics, hvilken platform dine brugere kommer fra, f.eks. TikTok eller mail. Den findes i URL’en, når du klikker på en annonce og starter med ”?utm…”
- Fjernelse af genbearbejdning af informationer, som laver et fingerprint af brugeren (f.eks. user-agent
- Fjernelse af cross-site eller vedvarende identifikatorer (CRM ID eller unikt ID)
- Fjernelse af alle øvrige data, som kan føres tilbage til en enkeltperson
Google Signals bruges desuden til at udvikle Googles produkter. Det er en datadeling af forskellige typer oplysninger, hvor Datatilsynet også vurderer, at disse data indeholder personhenførbare og derved sårbare oplysninger.
Alle disse tiltag kan implementeres gennem en reverse proxy. Kort fortalt ændrer den de førnævnte data, så de bliver pseudonymiseret og derved lovlige at sende til USA. Der er flere bureauer, som kan gøre dette for dig, men det kan hurtigt blive en bekostelig affære. Alternativt kan du selv implementere det ved hjælp af et værktøj som stape.io, som både håndterer en server-side installation på europæiske servere, men også en pseudonymisering af data gennem en reverse proxy.
Som du kan se, så er der mange ting, som skal ændres. Ikke nok med at de er meget tekniske i natur (afhængigt af dine tekniske færdigheder), så mindsker de også anvendeligheden af data, som du har tilgængeligt. Som nævnt, så gør alene fjernelsen af UTM-parametre det praktisk umuligt for dig at analysere din trafik og se, hvor de besøgende kommer fra. Derfor bliver det også svært at se, hvilke af dine kampagner der virker, og hvilke der ikke gør, og dermed hvilke du skal smide flere penge efter, og hvilke du skal skrue ned for.
Udover de ovenstående tiltag kan det også anbefales at overgå til en serverside-løsning. Serverside tracking er kort sagt en måde, hvorpå man sender trafik fra ens servere i stedet for fra brugerens browser. Dette sikrer, at så meget som muligt af databehandlingen foregår på egne danske (eller europæiske) servere. Dette er dog også en lettere teknisk betonet opgave, som i de fleste tilfælde kræver et eksternt værktøj.
2: Skift til et andet analyseværktøj, hvor data bliver behandlet indenfor EU's grænser
En løsning, som er knap så omfattende, er at skifte til en anden analyseplatform, som ikke skal have brugeres data forbi USA. Der findes en række værktøjer, som giver nogle af de samme indsigter, men som helt undgår Googles servere i USA. Hertil kan nævnes:
Simple Analytics er et alternativ til Google Analytics. Deres fokus er i høj grad på brugerens privatliv, og dette kommer til udtryk igennem deres tilgang til dataopbevaring og -indsamling. De har blandt andet kun EU-baserede servere, hvilket gør problemstillingen omkring databehandling uden for EU til et non-issue. Det kommer selvfølgelig med en pris, hvor Google Analytics jo er et gratis værktøj.
Derudover findes også Plausible Analytics eller Matomo Analytics. Matomo kan desuden hostes på din egen server. De to værktøjer tilbyder mere eller mindre det samme som Simple Analytics og er fine alternativer til Google Analytics.
Kort fortalt
Google Analytics bliver med pseudonymiseringen så dataløst, at det bliver svært at bruge det til meget andet end at se sidevisninger. Derfor bliver det også svært at bruge værktøjet til noget reelt, som har betydning for dig dag til dag i dit marketingarbejde. Det er en umådelig kedelig konklusion, men ikke desto mindre den situation, vi befinder os i.
Begge løsninger må anses som værende langt fra ideelle og begge har væsentlige mangler. Derfor er det en god idé at lave opvejninger mod de to løsninger, som bedst muligt tilgodeser virksomhedens behov og tager højde for ens tilgang til data.
Slå koldt vand i blodet
Selvom de ovenstående anbefalinger kan virke uoverskuelige, anbefaler vi stadig at tage den med ro og tage en dyb indånding. Selvom Datatilsynets anbefalinger praktisk talt er gældende siden deres udmelding, da det tager udgangspunkt i den allerede gældende lovgivning, er deres håndhævelse af lovgivningen i øjeblikket uklar. De er derfor også opmærksomme på, at der er mange virksomheder, som anvender værktøjet i dag:
”Datatilsynet har forståelse for, at mange organisationer allerede bruger Google Analytics, og at der tidligere har været en lettilgængelig mulighed for at overføre oplysninger til USA i form af en såkaldt tilstrækkelighedsafgørelse fra EU-Kommissionen. EU-Domstolen erklærede dog denne kommissionsafgørelse for ugyldig i juli 2020.
Derfor er budskabet fra Datatilsynet, at hvis man bruger Google Analytics, skal man lægge en plan for at lovliggøre sin brug ved at træffe supplerende foranstaltninger.”
Samtidig er det også uklart, om Google kommer med en løsning på udfordringen. Det er ikke utænkeligt, at Google finder en løsning, som kan klare pseudonymiseringen inde fra deres interface, men i øjeblikket er der ikke meldt noget ud fra deres side.
Læg en plan
Før du gør noget, er det altid en god idé at lægge en slagplan. Her skal du have følgende ting for øje:
- Bruger du Analytics til monitorering af trafik fra kanaler, referrals eller lignende?
-
- Hvis ja, skal du lave ændringer i setup eller vælge en ny løsning. Her er der de to muligheder, som vi snakkede om før: Pseudonymisering af data eller implementering af et compliant værktøj med EU-servere.
- Hvis nej, kan du lige så godt fjerne det, hvis du heller ikke fremtidigt kommer til at bruge tid på det. Det imødekommer de praktiske anbefalinger, men har minimal indvirkning på dig, hvis du ikke bruger det.
- Overvej, om du kan leve med det formindskede datagrundlag, som en reverse proxyløsning giver, hvis du fortsætter med GA4.
- Giver det mening at oplære ansatte i et nyt værktøj, som dog kan give mere indsigt end alternativet?
- Hvad skal et eventuelt nyt værktøj skulle kunne for at bidrage til dine beslutninger?
- Hvor mange ressourcer har I til rådighed for dataanalyse?
- Hvordan er det nuværende setup opsat, og hvor mange afhængigheder er der af det?
- Herunder Google Ads
- Herunder Google Ads
Konklusion
Mange ting har rykket ved marketingagendaen de seneste par år. GDPR havde (og har stadig) store indvirkninger på den måde, europæiske virksomheder tænker persondata. Der er nogle store kræfter i spil, og man må som beslutningstager tage paradigmet alvorligt og indrette sig efter den. Samtidig bliver det også sværere og sværere at træffe databaserede beslutninger, fordi datagrundlaget bliver mere og mere mangelfuldt.
Disse nye retningslinjer har som sagt en række betydninger for mange virksomheder. Det er selvfølgelig op til den enkelte virksomhed, hvor alvorligt man skal tage Datatilsynets anbefalinger, og hvor hurtigt man vil implementere eventuelle ændringer. Samtidig er dog ikke utænkeligt, at der kommer konkrete håndhævninger af lovgivningen i form af økonomiske sanktioner, men det vides som sagt ikke med sikkerhed endnu. Derfor ligger den klare anbefaling i at finde den rigtige løsning for din virksomhed og påbegynde implementeringen hurtigst muligt. Ikke mindst for at imødekomme lovgivningen, men også for at imødekomme dine brugere og deres privatliv.
Ovenstående informationer må ikke betragtes som juridisk rådgivning.