Datatilsynet har vurderet, at Google Analytics som udgangspunkt ikke kan bruges lovligt, da der overføres persondata til USA, som er et såkaldt usikkert 3. land. Afgørelsen kommer i kølvandet på, at andre europæiske myndigheder har truffet samme afgørelse.
Hvordan skal I forholde jer i jeres virksomhed?
Det betyder, at I ikke kan bruge Google Analytics lovligt, medmindre I undgår overførslen af persondata til USA. De funktioner Google selv stiller til rådighed i Google Analytics er ikke nok – man skal implementere supplerende foranstaltninger, der sikrer at der ikke overføres data.
Der er dog ingen grund til panik – på den måde, at I ikke behøver at holde op med at bruge Google Analytics i morgen. Datatilsynet har forståelse for, at Google Analytics er et vigtigt værktøj for mange både små og store virksomheder. Og at omstillingen kræver både tid og ressourcer.
Til gengæld skal I allerede nu begynde at lægge en plan for, hvordan I vil lovliggøre brugen, ved at komme udenom den dataoverførsel til USA, som Datatilsynet finder problematisk. Ellers skal I forberede jer på at udfase brugen af Google Analytics.
Datatilsynets eget forslag til en løsning
Datatilsynet peger selv på et forslag til en løsning fra den franske datamyndighed. Løsningen går ud på, at data pseudonymernes. Det vil sige, at data laves om til noget, som Google ikke kan henføre til en person, inden det sendes til Google. Dette kan eksempelvis gøres ved en såkaldt reverse proxy server. Datatilsynet henviser selv til denne vejledning, som dog forudsætter et vist niveau af teknisk kompetence.
Om det er en løsning for jeres virksomhed, er noget, I skal vurdere – med afvejning af den værdi, I får ud af Google Analytics og de ressourcer, som I vil skulle bruge på at implementere en reverse proxy server.
Håb forude for brugen af Google Analytics
I skrivende stund er der dog håb forude for den fremtidige brug af Google Analytics. Dansk Erhverv forventer, at den nye Privacy Shield-aftale kan være på plads i begyndelsen af 2023. Aftalen kan løse problemet omkring overførsel af data til USA – altså det, som har fået Datatilsynet til at rejse det røde flag over Google Analytics. Indtil da skal man som virksomhed dog stadig forholde sig til Datatilsynets afgørelse, som beskrevet ovenfor.