Slutet för Google Analytics?
I juli kom en dom från integritetsskyddsmydigheten IMY med skadestånd på mångmiljonbelopp till välkända svenska bolag för deras hantering av personuppgifter genom användandet av statistikverktyget Google Analytics, läs mer om domen i en tidgare artikel. I och med domen görs ett tydligt ställningstagande, det är INTE OK att skicka personuppgifter till företag som ägs av amerikanska bolag. Hur berör det alla som äger en webbplats?
Begreppet ”Tredjeland”
I sammanhanget nämns ofta Tredjeland, vilket syftar till länder utanför EU. Tredjeland syftar både till själva lagringsplatsen av datan men även i vilket land bolaget som kontrollerar datan har sin juridiska hemvist. I fallet med Google är deras juridiska hemvist USA. Personuppgifter (ex IP-adresser) får föras över från EU till tredjeland om det finns ett giltigt avtal för överföring av personuppgifter. USA och EU har inget giltigt avtal för överföring av personuppgifter i och med de uppmärksammande Schrems II -domen.
I praktiken innebär det att inga personuppgifter för föras över till servrar i USA eller amerikanska bolag.
Google Analytics
Google Analytics har varit standard som statistikverktyg för webb under decennium. Har du en webbplats har du antagligen Google Analytics. I domen från IMY kan man se att samtliga av de dömda använder Google Analytics och att man trots försök att maska IP-adresser och liknande ändå uppmanas att sluta använda Google Analytics. IMY anser att domen ”…kan ge vägledning även för andra organisationer som använder Google Analytics”. Vår tolkning är att de anser att svenska företag bör sluta använda Google Analytics.
Alternativ till Google Analytics – Vi har tidigare skrivit en artikel i ämnet, det finns idag bra alternativ till Google Analytics, vi har lyft fram Matomo som ett bra alternativ där man själv hanterar all data på sin egen server. Det är en lösning som många offentliga organisationer redan anammat och många går över till egen hostad Matomo. Läs mer om alternativ till Google Analytics.
Facebook, Instagram, Linkedin
Nu är stormen om Google Analytics, men vi får inte glömma bort kärnan i detta. Personuppgifter får inte föras över till tredjeland. När vi utvärderar om vi ska ha kvar Google Analytics behöver vi också fundera kring andra tjänster som hanterar våra besökares personuppgifter. De vanligaste bör vara spårningskoder för olika typer av marknadsföring, ex Facebook/Instagram, Linkedin, Hubspot och andra system för marketing automation. Många av dessa bolag återfinns i USA och hanterar i många fall ännu mer personuppgifter än Google Analytics. Det finns all anledning att se över all spårning och lagring av personuppgifter som webbplatsen genererar.
Kontrollera din webbplats
Vi utför under ett år ett antal hundra besiktningar av webblatser och en punkt i vårt besiktningsprotokoll är just hur data delas. Vi använder ett verktyg för att scanna av webbplatsen, där får man fram vilka externa tjänster som webbplatsen anropar och vilka länder dessa finns i. Testa verktyget på: https://pagexray-eu.fouanalytics.com/
Riskbedömning
Lagen är lagen. I och med besluten från IMY får man anse att det är tydligt vad som gäller. Vi kan inte annat än råda webbplatsägare att se över hur de delar personuppgifter med andra organisationer, det är sunt. I praktiken är risken olika stor för olika organisationer. Riskbedömning brukar ha två dimensioner, sannolikhet och konsekvens. Hur troligt är det att IMY kommer göra en granskning av ditt företag och i så fall, hur stora blir konsekvenserna. Det sammantaget ger dig svaret på hur allvarligt du bör hantera den här frågan. För vår egen del handlar det mest om trovärdighet, sannolikheten att vi blir granskade av IMY är inte stor, men andra kommer att kolla hur vi beter oss, konsekvensen av det blir att vi måste vara trovärdiga i hur vi agerar utifrån den information som finns tillgänglig just nu.
Slutsats
Slutsatsen av den här artikeln och med bäring på den senaste tidens händelser är att nu bör man på allvar ta ansvar för hur sina besökares personuppgifter. I slutändan är det inte bara en lag utan ett förtroende att man hanterar individers personuppgifter på ett korrekt sätt. Vi på nobox har i samband med detta gjort en översyn av vår egen hantering av personuppgifter vilket lett till en rensning av tjänster vilket även gett som bonus en bättre prestanda!
Jag hoppas artikeln kommer till nytta och om du behöver hjälp med översyn, alternativa lösningar och städning finns vi här.
Christian Paulson, VD & teknisk strateg