Ny GDPR-bombe under danske virksomheder: Google Analytics er som udgangspunkt ulovligt

Plus21. september 2022 kl. 14:178
Google Analytics
Illustration: bigtunaonline | Bigstock.
Datatilsynet har erklæret sig enig med tilsynsmyndighederne i Østrig og Frankrig om, at det som udgangspunkt er ulovligt at bruge Google Analytics i EU.
Artiklen er ældre end 30 dage

Siden sidste vinter har danske hjemmesideejere ventet i spænding på, hvordan Datatilsynet ville stille sig i forhold til det populære statistik-værktøj Google Analytics, efter de østrigske og franske tilsynsmyndigheder erklærede tjenesten for ulovlig i starten af året.

Gratis adgang i 10 dage

Tegn et gratis prøveabonnement og få adgang til alt PLUS-indhold på Ing, Version2 og Radar, helt uden binding eller betalingsoplysninger.

Alternativt kan du få en forlænget prøveperiode med et erhvervsabonnement
remove_circle
Har du allerede et PLUS-abonnement eller klip?
close

Velkommen til PLUS

Da du er ved at tilmelde dig en gratis prøve beder vi dig hjælpe os med at gøre vores indhold mere relevant for dig, ved at vælge et eller flere emner der interesserer dig.

Vælg mindst et emne *
Du skal vælge en adgangskode til når du fremover skal logge ind på din brugerkonto.
visibility
remove_circle
Dit medlemskab giver adgang
Som medlem af IDA har du gratis adgang til PLUS-indhold, som en del af dit medlemskab. Fortsæt med MitIDA for at aktivere din adgang til indholdet.
Oplever du problemer med login, så skriv til os på websupport@ing.dk
Abonnementsfordele
vpn_key
Fuld adgang til Ing.dk, Version2 og Radar
Fuld digital adgang til PLUS-indhold på Ing.dk, Version2 og Radar, tilgængeligt på din computer, tablet og mobil.
drafts
Kuraterede nyhedsbreve
Det seneste nye fra branchen, leveret til din indbakke.
thumb_up
Adgang til debatten
Deltag i debatten med andre kloge læsere.
8 kommentarer.  Hop til debatten

Tophistorier

Debatten
Vær med til at skabe en god debat ved at følge vores debatregler.

For at deltage i debatten skal du have en profil med adgang til at læse artiklen. eller opret en bruger.
settingsDebatvisning
8
25. september 2022 kl. 23:58
"Bombe" henviser til noget,…

"Bombe" henviser til noget, der sker pludseligt og med eksplosivt og dødeligt udfald, i dette tilfælde metaforisk. Noget er ikke en bombe, hvis det har været en kendt problemstilling, siden år før GDPR trådte i kraft.

Men som jeg har sagt før, og nu siger jeg det igen: At USA defineres som et "usikkert tredjeland" er udelukkende politisk motiveret. UK fik uden videre en tilstrækkelighedsafgørelse og status som sikkert tredjeland efter Brexit, selvom det også her er kendt inden for persondataretten, at UKs masseovervågning, efterretningstjenester, mv. på flere områder langt overstiger det, som USA har gang i. Ja, det er endda en offentlig hemmelighed, at UK hackede Belgiens største teleudbyder for at opsnappe information.

Men igen, det er politisk: GDPRs udgangspunkt er, at alle EU-medlemslandene har et højt beskyttelsesniveau, og alt udenfor har et dårligt beskyttelsesniveau — også selvom visse lande uden for EU er langt bedre til databeskyttelse end visse lande inden for EU. Det er en politisk beslutning, at hvert medlemsland ikke skal godkendes separat, og at alle medlemslande har en ensartet tilgang til databeskyttelse og deres øvrige lovgivning.

Indtil nu har vi måttet acceptere, at UK ifølge GDPR var sikkert, men det ærgrer mig noget så enormt, at EU Kommissionen uden videre giver UK en tilstrækkelighedsafgørelse efter Brexit. Det er politik, og udelukkende politik, at UK er "sikkert", imens US er "usikkert".

5
21. september 2022 kl. 18:37
Er der nogen her, som har en…

Er der nogen her, som har en mening om SiteImprove, som også bruges flittigt, bl.a. i Økonomiministeriet? R den anderledes og bedre rent privacy-mæssigt end Google Analytics?

Jeg har ikke lige haft tid til tjek, udover jeg ved de bruger amerikanske Cloudflare og AWS - det kan i de fleste tilfælde være fint hvis data krypteres "in transsit og at rest". Men du kan læse lidt om hvad de selv siger:https://www.siteimprove.com/glossary/google-analytics-alternative/https://help.siteimprove.com/support/solutions/articles/80000724285-siteimprove-analytics-data-flows-and-compliance

4
21. september 2022 kl. 18:10
Dansk Erhverv (DE), til…

Dansk Erhverv (DE), til Version2:

Det vil have store konsekvenser for danske virksomheder. Og i særdeleshed for små og mellemstore virksomheder,« siger han og fortsætter: Google Analytics er klart det mest udbredte værktøj til statistik blandt de små og mellemstore virksomheder udelukkende af den grund, at det er godt og gratis.«

Ræsonnementet om virksomheder som Google og Facebook udelukkende understøtter SMV'er fremfor at skabe konkurrenceforvridning m.m., er en fortælling Google og Facebook lever højt på samt fortælle om. Det er interessant at der endnu ikke er etableret den samme frygt hos danske virksomheder, som der er omkring Amazons mulige indtrædelse på det danske marked. Frygten om at ens produkter ikke vægtes efter hvad man har betalt for. Falske vurderinger som promoverer andre. At værdifuld kundedata blir brugt imod en. At der gennemskueligheden er utrolig lav. osv. osv.

Men jo, hvis man ikke reklamerer og man så pludselig reklamerer med Google og Facebook, så sker der selvfølgelig en vækstforøgelse. Pointen er bare, at væksten også sandsynligt kunne ske med andre (mere lovlige) aktørere/værktøjer og at det hos Google og Facebook ikke er alle data man har indsigt i hos dem, som egentlig har større betydning for virksomhedens vækst end dem man kan se.

Men her er lidt viden til at blive klogere på hvordan virksomheder udnyttes:

3
21. september 2022 kl. 17:27
Fra afgørelsen: En mulig…

Fra afgørelsen:

En mulig teknisk foranstaltning, der kan være relevant ved brug af Google Analytics, er pseudonymisering.

Men, som franskmændene skriver, så skal man være sikker på

all of the information transmitted does not in any way allow the person to be re-identified

Og italienerne kom frem til at IP-adresser er en personlig information som ikke kan anonymiseres uanset forkortning (https://noyb.eu/en/update-further-eu-dpa-orders-stop-google-analytics):

The Italian DPA rendered the use of Google Analytics as illegal, as website operators using GA collected user data via cookies and transferred these to the USA. In determining that the processing was unlawful, the Italian DPA reiterated that an IP address is personal data and would not be anonymised even if it were shortened – given Google’s capabilities to enrich such data through additional information it holds.

Så til de virksomheder m.m. som anvender Google Analytics (og egentlig også andre værktøjer som Facebook Pixel, selvom det ikke er blevet specifikt vurderet i DK endnu), fjern det venligst da det er ulovligt.

2
21. september 2022 kl. 16:24
det er godt og gratis …

det er godt og gratis

Gratis, som i at du betaler med dine brugeres data. Virksomhederne har haft et halvt år til at finde alternativer. Hvis de klynker nu, ligger de som de har redt.

1
21. september 2022 kl. 15:46
En lille sejr for…

En lille sejr for privacytilhængere, men vel også kun lille. For pseudonymisering? Siden hvornår - og da især i Googles hænder - er det blevet effektivt til at beskytte persondata med? Nu skuffede Datatilsynet mig.

Er der nogen her, som har en mening om SiteImprove, som også bruges flittigt, bl.a. i Økonomiministeriet? R den anderledes og bedre rent privacy-mæssigt end Google Analytics?

Jeg har søgt nogle aktindsigter til Økonomiministeriet omkring brugen af SiteImprove, og har foreløbig fået bl.a. dette svar:

"Risikovurdering og konsekvensanalyse Der er foretaget en risikovurdering af SiteImprove. Der er derimod ikke foretaget en konsekvensanalyse, idet der ikke vurderedes at være en høj risiko for fysiske personers rettigheder og frihedsrettigheder i henhold til persondataforordningen. Ifølge offentlighedslovens § 23, stk. 1, er der ikke ret til aktindsigt i interne doku- menter. Bestemmelsen indebærer, at ethvert dokument, som er udarbejdet af en forvaltningsmyndighed, og som ikke afgives til udenforstående, betragtes som et internt dokument. Ifølge offentlighedslovens § 28 skal der gives indsigt i oplysninger om en sags fak- tiske grundlag, i det omfang oplysningerne er relevante for sagen (ekstraherings- pligt). Det følger imidlertid af lovens forarbejder, at ekstraheringspligten bl.a. ikke omfatter interne faglige vurderinger. Risikovurderingen vedrørende SiteImprove er foretaget i Økonomistyrelsen, og har ikke været afgivet til udestående. Det er derfor Økonomistyrelsens vurdering, at risikovurderingen udgør et internt dokument, der er undtaget fra retten til akt- indsigt. Din anmodning om aktindsigt i risikovurderingen som helhed kan derfor ikke imødekommes."

ER risikoen ved SiteImprove så lille, at man ikke behøver at foretage konsekvensanalyse?

Og var der ikke noget i den nye Digitaliseringsstrategi om at lægge vægt på transparens? Så pynter det jo ikke at afvise aktindsigt i risikovurderingen.