Grepet strammer seg rundt Google Analytics. Tidligere har flere datatilsyn i Europa kommet til at bruken av Google Analytics i konkrete tilfelle ikke har vært lovlig. Problemet med Google Analytics er at personopplysninger som samles inn i løsningen overføres til USA. Men også omfanget av data som samles inn og hva som skjer med disse hos Google kan være problematisk.
Nå har det danske datatilsynet vurdert Google Analytics på generell basis og konkludert med at webanalyse-verktøyet kan ikke brukes uten at det iverksettes særlige tiltak.
Kan man ikke iverksette særlige tiltak, må man stanse med bruken av Google Analytics eller benytte alternative løsninger.
Det danske datatilsynet har imidlertid ikke kommet med noe mer informasjon om selve vurderingen.
Det danske datatilsynet skriver på sine nettsider at både enkeltsakene fra ulike datatilsyn om Google Analytics, og nå vurderingen fra det danske datatilsynet, er uttrykk for en felleseuropeisk holdning blant datatilsynene. Datatilsynet i Danmark vil derfor mest sannsynlig komme til det samme resultatet som andre datatilsyn har kommet til vedrørende Google Analytics i konkrete saker. Det er også grunn til å tro at det norske datatilsynet vil konkludere likt.
De som benytter Google Analytics i dag bør derfor:
- Se om det kan iverksettes særlige tiltak for å sikre opplysningene som samles inn i løsningen. Slikt tiltak kan være pseudonymisering, som bl.a. det franske datatilsynet beskriver her. Uansett bør man begrense hvor mye data som samles inn, hvor løsningen brukes mv.
- Vurdere: Trenger vi virkelig å bruke Google Analytics? Min erfaring er at mange ikke trenger løsningen, og kan enten klare seg med andre mindre inngripende og EØS-baserte løsninger eller å kutte det helt ut
- Vurdere alternative løsninger, enten for å bytte så snart som mulig eller for å ha en «Plan B» til senere.
- Fortsetter man å bruke, til tross for tiltakene over, så må man vurdere risikoen ved bruken og beslutte at denne risikoen er noe man aksepterer. En slik beslutning skal fattes av behandlingsansvarlig, så ledelsen i virksomheten bør være med på beslutningen.