Redigeret den 16. januar 2023
Den 7 oktober 2022 underskrev Joe Biden en 'Executive order', der understeger den nye aftale mellem EU og USA i forhold til datasikkerhed. Denne aftale forventes at blive ratificeret af EU parlamentet inden marts '23. Når denne aftale er på plads vil Google Analytics igen være lovliggjort. Men vi skal nok vænne os til at denne type afgørelser kan komme igen. Aftalen kan blive udfordret juridisk igen. Det betyder, at jo mere kontrol virksomheder har over deres egne data (kunder vi kender og besøg på egne sites) desto bedre rustet vil man være uanset den politiske situation.
Det danske Datatilsyn har nu meldt klart ud, at Google Analytics ikke overholder GDPR-lovgivningen og alle virksomheder, der bruger Google Analytics skal arbejde på enten at lovliggøre anvendelsen eller helt stoppe. I Web2Media har vi fulgt det nøje, siden der blev sat gang i en række sager overalt i Europa. Vi har arbejdet med en række alternative løsninger og kan hjælpe med at lave planer for lovliggørelse af dit nuværende setup, der passer til de behov virksomheder i forskellige brancher har. Det vigtige lige nu er at få en plan på plads for datahåndtering. Vi er ikke i en situation, hvor der er forbud mod Analytics noget sted i Europa.
Forhistorie
Midt i februar afgjorde det franske datatilsyn CNIL, at et endnu unavngivet website ikke må anvende Google Analytics, fordi det overfører personlige data til USA og dermed bryder EU’s ’Privacy Shield’ og GDPR-lovgivning. I januar skete det samme i Østrig, hvor det østrigske datatilsyn kom til samme konklusion.
Alle afgørelserne sker som et led i, at privacy-aktivistgruppen noyb.eu, ledet af Max Schremm, har gennemført 101 klager over sites over hele Europa, der bruger Facebook og Analytics og derigennem kan overføre data til USA.
Som markedsføringsfolk er vi vant til at være opmærksomme på cookies, og de udfordringer det kan give i forhold til at levere en sammenhængende oplevelse på tværs af kanaler. Afgørelserne i løbet af i år er potentielt mere vidtrækkende og går ikke på, hvordan data som sådan behandles, men det faktum, at Google er hjemmehørende i USA. Derfor kan oplysninger, der bearbejdes gennem platformene deles med myndigheder i USA, og det er dét, afgørelserne og klagerne går på.
Hvad betyder det lige nu?
Det betyder, at alle virksomheder i Danmark skal have en plan – en plan der enten arbejder mod en lovlig anvendelse af Google Analytics eller en afsøgning af alternativer. Det er værd at bemærke, at Datatilsynet ikke har angivet en deadline for, hvornår lovliggørelsen skal ske. Derfor er den vigtigste opgave for nu at få lagt en plan for, hvordan man vil tilgå GDPR-udfordringen baseret på det nuværende set-up, behov og din virksomheds mål.
Ligeledes ligger afgørelserne et pres på USA for at indgå en aftale med EU og et fornyet ’Privacy Shield’. Der har været forhandlinger i slutningen af marts, men det er et politisk arbejde, der tager tid, omend man forventer at have en løsning i indeværende år. En løsning med fornyet “Privicy-Shield” vil højst sandsynligt betyde, at de investerede ressourcer kan være spildt på den relativt korte bane.
Vi anbefaler uanfægtet, at du får en plan for din virksomheds håndtering af GDPR-udfordringer og de scenarier, vi ser ind i enten med eller uden Analytics. Det arbejde vil, uanset udfaldet, komme dig til gode, fordi du får bedre styr på dine data, og hvordan du vil bruge disse.
Hvad skal du have med i din plan?
- Alternativer til Analytics
- Lovliggøre brugen af Google Analytics
- Serverside-tracking
- Lokal cloud
- Øget anvendelse af 1. partsdata
Alternativerne
Det kan være værd at afsøge alternativer. Der findes en række rent europæiske løsninger, der i nogle tilfælde giver endnu bedre mulighed for tracking af handlinger på websitet end Google Analytics. Vi ser f.eks. Piwik som et meget fornuftigt alternativ. For e-commerce virksomheder er udfordringen dog integrationen med andre kanaler, hvor man ville komme til at mangle nogle muligheder for sammenhængende markedsføring.
Lovliggøre brugen af Analytics
Datatilsynet henviser til den praktiske løsning, det franske datatilsyn er bannerfører for. Her er det afgørende, at det ikke er tilstrækkeligt at ændre på indstillinger, og derfor er GA4 for nu heller ikke en tilstrækkelig løsning til at garantere, at der ikke kan slippe nogen former for personhenførbare oplysninger ud. Løsningen er, at virksomheden selv via Serverside-tracking og lokal cloud renser data for de oplysninger, der ikke må deles – f.eks. IP-adresser og fra den lokale server sendes oplysninger på handlinger fra websitet til Analytics, der på denne vis kun får adgang til renset og ikke-personlig data.
Blot at implementere “serverside-tracking” er en simplificeret tilgang.
Persondata forsvinder ikke, blot fordi du sender det forbi din egen server først. Det afgørende er, hvad du sender videre til Google Analytics, og det franske datatilsyn (som det danske datatilsyn henviser til) mener, at det er nødvendigt at fjerne så meget data, at det, du ender op med, i praksis er ubrugeligt til andet end simpel statistik: https://prnt.sc/J8rV7CLyP45S
Der er også en ubekendt faktor i, at serverside-tracking i 99% af tilfælde foregår via cloudservere. Der findes europæiske udbydere af cloudservere, men Amazon, Google og Microsoft sidder på 60% af markedet, og derfor er der flere ting at have in mente.
Problem:
Løsning:
I et compliant set-up kan det dog have flere fordele. En væsentlig fordel er, at I kan arbejde med data direkte i cloud og sende videre til kanaler. Herudover kommer jeres side sandsynligvis til at loade hurtigere. På lang sigt kan hele denne proces blive en fordel både for jer og dine kunders oplevelse af jeres site.
Øget brug af data
Når vi ikke har personhenførbart data i Analytics er det ekstra vigtigt, at I har en strategi for anvendelse af den data, I selv har om kunderne – jeres 1. parts data. Det kan både være kunder og potentielle kunder, I har permission på, og hvordan de historisk har ageret. Det kan I anvende til at bygge målrettede audiences, der understøtter relevans og fokus på tværs af kanaler. Når vi anvender 1. partsdata både i form af analyser og målgrupper løfter vi konverteringsraten og omsætningen markant, uanset hvilken branche der er tale om.
Tag fat I os for at vi sammen kan lave en plan, der passer til din virksomhed. Vi er overbeviste om, at processen mod øget beskyttelse af kundernes data kun er en fordel – både for kunderne, men også for os som data-baseret marketinghus og for din virksomhed. Det driver os nemlig hurtigere frem mod løsninger baseret på data, du selv ejer og mod løsninger, der er målrettet netop dine kunder.