Datatilsynet (EDPS) gjennomfører for tiden to undersøkelser av bruken av Google Analytics. Selv om disse undersøkelsene ennå ikke er endelig konkludert, hevder regulatoren at bruken av Googles analysepakke kan være ulovlig. Den norske personvernvakten råder imidlertid bedrifter og organisasjoner til å se etter et alternativ nå.
Det er det EDPS skriver i en pressemelding.
EU-domstolen kansellerer Privacy Shield
Den norske tilsynsmyndigheten viser til en tidligere Datenschutzbehörde (DSB) kjennelse. Østerrikes personvernregulator har tidligere behandlet klager på Google Analytics. Forskerne konkluderte med at Googles statistikkprogram bryter med General Data Protection Regulation (GDPR). Analyseprogramvaren samler kontinuerlig inn IP-adresser og informasjonskapseldata fra brukere og lagrer disse dataene i USA.
Siden EU-domstolen kansellerte Privacy Shield (den beryktede Schrems II-dommen) sommeren 2020, kan slike data ikke lenger lagres utenfor EU. Dette er kun tillatt dersom selskaper og organisasjoner i det andre landet tar lagrings- og sikkerhetstiltak tilsvarende de i EU. Ifølge domstolen kan amerikanske selskaper ikke garantere dette.
SEPD: «Google Analytics kan være ulovlig»
Den norske tilsynsmyndigheten kommer til en lignende konklusjon som DSB. I likhet med personvernvakten i Østerrike, undersøker EDPS for tiden to saker knyttet til bruken av Google Analytics. Selv om undersøkelsene ennå ikke er avsluttet, er regulatoren allerede i ferd med å komme til en foreløpig konklusjon. Og det ser ikke rosenrødt ut for Google.
EDPS reiser to hovedinnvendinger. Først og fremst samler Google Analytics inn IP-adresser, som kan spores tilbake til individuelle brukere. Det er mulig å maskere IP-adresser, men det løser ikke problemet, ifølge tilsynsmyndigheten. Google Analytics samler også inn informasjonskapseldata. Dette gjør det mulig å koble brukerdata til brukere hvis de er logget på sin Google-konto. Dette bryter med europeisk personvernlovgivning og er derfor ulovlig.
Regulator forventer flere klager på Google Analytics
EDPS forventer mer sammenlignbare uttalelser fra andre nasjonale tilsynsmyndigheter i nær fremtid. Den nederlandske datatilsynet (PA) er en av dem. Den advarte nylig om at bruk av Google Analytics ikke lenger vil være tillatt «muligens snart». AP etterforsker for tiden to klager på Googles statistikkpakke. Tidlig i 2022 forventer tilsynsmyndigheten å kunne ta en endelig beslutning om bruk av Google Analytics.
Den norske personvernvakten understreker at lagring av data innhentet via Google Analytics i USA ikke er forbudt Nettstedseiere bør ta en rekke grep for å sikre at dette gjøres på lovlig måte. Og det skjer ikke i stor skala nå. Derfor råder regulatoren norske bedrifter og organisasjoner til å se etter et alternativ til Google Analytics.
EDPS forventer å motta enda flere klager på Google Analytics på kort sikt.
Google forsvarer seg mot anklagene
Google er ikke klar over noen forseelser og forsvarer seg mot anklagene. Gjennom en blogg søkemotorgiganten annonserte at det er mulig å anonymisere IP-adresser. For å gjøre dette må bedrifter og organisasjoner legge til en global nettstedstagg i delen
av nettstedet ditt.Google understreket også at det ikke er mulig å overvåke brukere på Internett eller i applikasjoner med Google Analytics, og heller ikke opprette brukerprofiler. «Google Analytics hjelper eiere av nettsteder og apper å forstå hvordan brukerne deres samhandler med nettstedene og appene deres, og bare deres nettsteder og apper,» sa Google. I tillegg kan ikke dataene som Google Analytics samler inn brukes til å identifisere besøkende.
Videre skrev Google at selskapene og organisasjonene selv er ansvarlige for dataene de samler inn med Google Analytics. Teknologiselskapet tilbyr dem alle slags verktøy for å overholde lokale eller regionale lover og forskrifter, inkludert GDPR. Dessuten, ved hjelp av nettleserplugin-moduler, har Internett-brukere selv kontroll over å deaktivere Googles analyseprogramvare.
Endelig kan Google Analytics ikke brukes til å vise målrettede annonser basert på spesielle personopplysninger. Da må du tenke på annonser om helse, etnisitet, politisk preferanse eller seksuell legning.
Oppdatering (10. februar 2022): Etter de østerrikske og norske personvernkontrollene konkluderer nå også den franske regulatoren med at bruk av Google Analytics ikke er tillatt. de Nasjonal kommisjon for databehandling og friheter (CNIL) har problemer med måten nettsidebesøksdata sendes til USA. For å gjøre dette må partene bruke såkalte Model Contractual Clauses (SCC) eller modellkontrakter. De sørger for at data i USA er beskyttet på samme måte som det er her i Europa.
Det er ikke tilfelle, ifølge den franske regulatoren. «Selv om Google har implementert flere tiltak for å regulere overføringen av data til andre land, er de ikke nok til å beskytte tilgangen til amerikanske etterretningsbyråer,» sa CNIL. Nettsteder som bruker Google Analytics til å kartlegge besøkendes atferd bryter artikkel 44 i GDPR. De vil ikke bli bøtelagt av veilederen. De må imidlertid finne et alternativ til Googles statistikkprogram innen en måned.
«Gamer. Faller mye ned. Ivrig baconfan. Webaholic. Ølgørd. Tenker. Musikkutøver.»