Datatilsynet har kommet med en foreløpig konklusjon om at Telenors bruk av Google Analytics ikke har vært i tråd med personvernforordningen. 

De siste årene har spørsmålet hvorvidt bruk av Google Analytics er ulovlig eller ikke, vært et tilbakevendende tema. Siste kapittel er altså at Datatilsynet foreløpig har konkludert med at Telenors bruk av Google Analytics i 2020 var ulovlig. Dette har ført til enda mer usikkerhet. At Datatilsynet kom med denne meldingen nå, har forvirret bransjen og nettstedeiere av flere grunner:

  • Klagen gjelder et verktøy (Google Analytics 3) som ikke lenger vil være i bruk f.o.m. 1. juli i år, og som Telenor sluttet å bruke umiddelbart da de ble varslet om det mulige lovbruddet.
  • Nytt verktøy (Google Analytics 4) er utviklet med utgangspunkt i å ta hensyn til personvernforordningen og det som allerede er kjent fra EU og USAs kommende rammeverk for datadeling.
  • Endelig vedtak fra Datatilsynet vil ikke bli kjent før etter at EU og USA har presentert sitt nye rammeverk, som nettopp skal sikre at EØS-borgere skal kunne bruke amerikanske selskapers skydelingstjenester som bl.a. Google Analytics.

Bakgrunn for klagen
Bakgrunnen for Datatilsynets undersøkelse er at organisasjonen NOYB i august 2020 sendte klager til flere europeiske nasjoners datatilsyn rundt nettsiders bruk av Google Analytics. NOYB mente at bruk av Google Analytics førte til at nettsidene bryter personvernforordningen da de gjør det mulig for amerikanske myndigheter å få tilgang til personopplysninger. I Norge klaget NOYB inn Telenors bruk av Google Analytics. Foreløpig konklusjon er altså at bruken var ulovlig, og endelig konklusjon vil tidligst komme i slutten av april.

Det er imidlertid viktig å være klar over at klagen gjelder Telenors bruk av Google Analytics i 2020, og på dette tidspunktet brukte de Google Universal Analytics (GA3). GA3 er i ferd med å fases ut og vil slutte å fungere 1. juli i år. I tillegg fjernet Telenor Google Analytics fra nettsidene da de mottok klagen, og de vil derfor heller ikke motta noen gebyr for det eventuelle lovbruddet.

Hva har skjedd etter 2020?
Samtidig som dette skjer, er EU og USA i ferd med å sluttføre arbeidet med et rammeverk som skal sikre EØS-borgeres krav til beskyttelse av persondata ved bruk av skyløsninger som Google Analytics, Microsoft Office 365, SuperOffice m.fl. Den kanskje største utfordringen ligger i at amerikanske selskaper plikter å gjøre data tilgjengelig for amerikanske etteretningsmyndigheter. Dette er i seg selv brudd på personvernforordningen. 
I mars 2022 ble EU og USA enige om prinsippene for rammeverket, samtidig som de kunngjorde at detaljene vil være tilgjengelig i Q1 2023. Dette er med andre ord rett rundt hjørnet, om enn noe forsinket.

I tillegg jobber selskaper som Google, Apple og Meta (Facebook) sammen om å få fjernet lovteksten som gjør at amerikansk etterretning kan kreve innsyn i data lagret på amerikanskeide servere.

Blant byråer og rådgivere har det vært forventet at Datatilsynet ville la Telenorsaken ligge, da EU og USA som nevnt er enige om å ville finne en løsning som skal sikre at europeiske brukere fortsatt skal kunne bruke skyløsninger fra amerikanske leverandører, og dermed også Google Analytics. 

Hva med Google Analytics 4?
Det er altså Telenors bruk av GA3 som er undersøkt og foreløpig vurdert ulovlig. Etter at Datatilsynet har mottatt spørsmål hvorvidt dette også gjelder Google Analytics 4 (GA4), har de svart: Datatilsynet har ikke tatt stilling til dette i den konkrete saken, men så vidt vi kan se vil ikke nødvendigvis Google Analytics 4 rette opp de problemene vi foreløpig har identifisert.

I tillegg viser de til at det danske Datatilsynet har konkludert med at også GA4 bryter personvernforordningen. For å gjøre forvirringen komplett, har Datatilsynet også bekreftet at det ikke er snakk om å totalforby Google Analytics.

Hva nå?
Oppsummert har vi en situasjon der EU og USA har et rammeverk på trappene som skal gjøre verktøy som GA4 lovlig. Samtidig har Datatilsynet foreløpig konkludert med at GA3 er ulovlig og vært tvetydig hvorvidt de mener at GA4 også er ulovlig. Spørsmålet er da hva som blir gjeldende når EU og USA presenterer sitt rammeverk.

Vi forventer at det nye rammeverket fra EU og USA vil bli testet for EU-domstolen slik også tidligere rammeverk er blitt testet for retten. I praksis innebærer det at verktøy som følger rammeverket vil være tillatt brukt frem til en eventuell rettskraftig dom. En slik prosess tar gjerne ett til to år. 

Vi forventer derfor at GA4 vil være tillatt å bruke i Norge ihvertfall i ett til to år til. Samtidig har Google svært mye å tape dersom GA skulle bli ulovlig, og vi forventer derfor også at Google vil tette eventuelle huller dersom det ligger an til at verktøyet vil bli vurdert ulovlig. Det er imidlertid opp til hvert selskap å vurdere hvorvidt de bør fortsette å bruke Google Analytics.

Alternativer til Google Analytics
Ønsker du et annet analyseverktøy enn Google Analytics, så hjelper vi deg gjerne med det! Matomo regnes av mange som det beste alternativet da det gir tilgang til en del av de samme funksjonene som Google Analytics samtidig som du ikke risikerer at dataene dine vil bli delt med amerikansk etterretning. Matomo kommer i to versjoner: 

  1. En versjon der dataene lagres i en skyløsning i Tyskland, og som er eid av et New Zealandsk selskap. EU har vurdert New Zealand som et land med tilstrekkelig nivå på datasikkerhet, noe som ikke er tilfellet for USA. EU vurderer derfor Matomos med skylagring som en sikrere løsning enn Google Analytics. 
  2. En versjon der dataene lagres på egen server. Vi i CoreTrek tilbyr Matomo med lagring på server i Norge. Standardversjonen har begrenset funksjonalitet sammenlignet med skyløsningen, men med mulighet til å kjøpe tilleggsfunksjoner gjennom en månedlig lisens.

Der Google Analytics er gratis, så kommer begge Matomo-løsningene med en kostnad pr måned. Se vår informasjon om Matomo-pakkene, og ta kontakt ved spørsmål.

Meld deg på gratis webinar om Matomo