Merk at teksten nedenfor er ikke oppdatert siden 14. mars 2022, og innholdet kan være endret som følge av endringer i regelverket eller annet. For oppdatert informasjon, les eller abonner på mine nyhetsbrev.
Som sikkert de fleste har fått med seg så har det østeriske datatilsynet, det franske datatilsynet (CNIL) og datatilsynet for EU-institusjoner (EDPS) – sistnevnte overfor EU-parlamentet (!) – funnet at Google Analytics (GA) medfører overføring av personopplysninger til USA og kan derfor være i strid med Schrems II-dommen fra EU-domstolen. Vårt Datatilsyn har uttalt at ulovlige verktøy, underforstått GA, må fjernes omgående, og det vil bli gitt gebyrer (bøter) i alvorlige saker. Google og andre mener imidlertid at det kan være lovlig å bruke GA – på rett måte.
Basert på en artikkel av Rune Opdahl, Anne-Marit Wang Sandvik og Carl Emil Bull-Berg fra Wiersholm som anbefales å leses, og har jeg laget en oppsummering (på min egen regning):
▪️ Det er ikke sikkert at sakene som det er vist til ovenfor kan direkte overføres til andre saker og hvordan GA brukes i ulike virksomheter. Men det er en risiko for at sakene skaper presedens eller at Datatilsynet kommer til det samme uavhengig av disse sakene.
▪️ Skru på IP-anonymisering, men dette vil kunne være ett tiltak som alene ikke er nok siden det samles inn også andre opplysninger i GA.
▪️ Det er allikevel ikke sikkert at innsamling av informasjon gjennom løsninger som bl.a. GA er personopplysninger.
▪️ Det kan også være at tiltak som iverksettes, bl.a. av Google, gir tilstrekkelig sikkerhet for behandling av personopplysninger i USA. Men det er lite trolig per i dag.
▪️ Gi brukere av nettsidene tilstrekkelig informasjon om bruken av GA og andre verktøy, herunder at opplysninger vil kunne bli overført til USA.
▪️ Se også på andre analyseverktøy som eventuelt brukes – overføring til bl.a. USA gjelder ikke bare GA.
▪️ Ha en plan B, og vurdér løsninger fra europeiske leverandører. Mange vurderer Matomo, Piwik og Plausible (men avhengig av tjenester og integrasjoner – dette må kontrolleres). Det er også flere tjenester der ute.
▪️ Det er én sak til behandling hos Datatilsynet som kan bli avgjort før Datatilsynet går til tiltak mot andres bruk av GA. Men om man bør vente, må en vurdere selv.
▪️ Vurdér å slutte å bruke GA – spesielt om det ikke er viktig for virksomheten. Men gjør en egen vurdering av hvordan forholde seg til situasjonen basert på hvordan GA brukes i egen virksomhet.
▪️ Hør på tilsynsmyndighetene, men husk at tilsynets virksomhet er å være tilsynsmyndighet og hva tilsynet mener bør ikke være sammenfallende med den enkeltes virksomhets interesser. Det er domstolene som til slutt avgjør hva som er riktig forståelse i det enkelte tilfelle.
▪️ Og risikovurdér bruken av GA og dokumentér risikovurderingen.