Datatilsynet har vurderet lovligheden af Google Analytics

Google Analytics × The Danish Data authorities

English version below

Hos IIH Nordic har vi forsøgt at besvare de mest stillede spørgsmål i forbindelse med den nyeste udmelding fra Datatilsynet angående Google Analytics (D. 21/9 2022), og hvordan I skal forholde jer.

“På baggrund af denne gennemgang konkluderer Datatilsynet, at værktøjet ikke kan benyttes lovligt uden videre. En lovlig brug forudsætter implementering af en række supplerende foranstaltninger ud over de indstillinger, Google stiller til rådighed.”

Det er standdardopsætningen af Google Analytics, som er ulovlig, men der er fortsat måder på, hvordan man kan overholde de guidelines, som er sat op. En af løsningerne er ved at bruge Recapture. 

De sidste par år har vi hos IIH Nordic allerede implementeret de løsninger, som overholder de nye guidelines, og vi står klar til også at hjælpe jer igang med Recapture.

Er Google Analytics ulovligt at bruge i Danmark?

Datatilsynet har konkluderet, at der skal implementeres ekstra foranstaltninger for at sikre, at Google Analytics lever op til reglerne i databeskyttelsesloven. Hvis ingen af de anbefalede foranstaltninger implementeres, vil brugen af Google Analytics være i strid med Datatilsynets retningslinjer.

Hvilke generelle råd kan man give, så man mindsker risikoen for at overtræde Datatilsynets retningslinjer og stadig kan arbejde med Google Analytics?

  1. Samarbejd med IIH Nordic, så der kan implementeres løbende aktive foranstaltninger for at forbedre beskyttelsen af personlige oplysninger. 
  2. Sørg for, at din håndtering af samtykke til cookies fungerer efter hensigten.
  3. Arbejd sammen med IIH for at udvikle en minimums målingsplan.
  4. Minimér dataindsamling til det allermest nødvendige.  
  5. Fjern Universal Analytics og arbejd kun med Google Analytics 4.
  6. Implementér en løsning til server-side tracking.
  7. Opbevar data på din egen BigQuery-dataserver og undgå at bruge Google Analytics til datalagring.

Er IIH Nordics anbefalinger til overholdelse af retningslinjerne nye og uprøvede?

Nej, IIH Nordic har i mere end 2 år arbejdet på en løsning, der kan forbedre Google-produkternes beskyttelse af personlige oplysninger og kommercielle muligheder. Vi har mange løsninger, der tager udgangspunkt i vores anbefalinger, og som alle har bestået en omfattende juridisk kontrol.

Henviser Datatilsynet til både GA4 og UA i deres udmelding?

Nej. Datatilsynet henviser udelukkende til Universal Analytics og har endnu ikke gennemgået GA4 på en lignende måde.

Har Datatilsynet offentliggjort en lov, eller er der tale om retningslinjer?

Datatilsynet har offentliggjort en vejledning og dermed ikke en lov. En overtrædelse af retningslinjerne skal bevises ved en domstol, før der kan idømmes en bøde. Selv om det ikke kan garanteres, vil der højst sandsynligt blive givet en advarsel ved mistanke om overtrædelse af retningslinjerne.

Hvad er de vigtigste foranstaltninger, der bør implementeres med GA4 for at opfylde Datatilsynets retningslinjer?

IIH Nordic anbefaler alle kunder, der ønsker at bevare den maksimale kommercielle beslutningstagningskapacitet i deres analytics, at gå over til en server-side tagging-løsning.

Er der ekstra omkostninger forbundet med at flytte server-side?

Ja. De ekstra omkostninger kan variere afhængigt af størrelsen og antallet af besøgende på et websted.

Er der alternativer til Google Analytics, som er gratis og anses for at være godkendt af den danske databeskyttelsesmyndighed?

Ja – der findes webanalyseværktøjer, der kan tælle, hvor mange der besøger et websted. Der er få (om nogen) værktøjer, der kan integreres med Google Search, Display og YouTube samt Google Analytics. Bruger man Google Advertising, og vælger at stoppe med at anvende Google Analytics, er der sandsynlighed for, at det kan have forretningsmæssige konsekvenser. Retainer-kunder kan få sparring på dette emne, ellers tilbyder vi konsulentaftaler til at undersøge alternativer.

Kan GA4 konfigureres på en måde, så man undgår overførsel af personlige oplysninger til USA?

Ja – IIH Nordic kan tilbyde flere forskellige løsninger, der hver især har varierende konsekvenser for compliance og kommercielle muligheder. Kontakt en konsulent for at få mere at vide.

Kan Google Analytics konfigureres, så man undgår indsamling af alle personligt identificerbare oplysninger?

Ja – IIH Nordic kan tilbyde flere forskellige løsninger, der hver især har varierende konsekvenser for compliance og kommercielle muligheder. Kontakt en konsulent for at få mere at vide.

Kan Google Analytics bruges udelukkende i EU uden overførsel af data til USA?

Ja – IIH Nordic kan tilbyde flere forskellige løsninger, der hver især har varierende konsekvenser for compliance og kommercielle muligheder. Kontakt en konsulent for at få mere at vide.

Er det nok at få samtykke til, at der anvendes analytics tracking for at tillade brug af Google Analytics og overførsel af data til USA?

Nej, samtykke hjælper helt sikkert, men det beskytter ikke organisationer mod juridisk kontrol.

Hvordan kan organisationer få mere kontrol over beskyttelsen af brugernes privatliv samt minimere data, der behandles af Google Analytics i USA?

IIH Nordic anbefaler at gå over til en server-side tagging-tilgang, som vil muliggøre en privacy-first tilgang til dataindsamling.

Har du stadig spørgsmål? Kontakt os endelig hos IIH Nordic!

I kan kontakte Steen Rasmussen på steen@iihnordic.com eller Robert Johnson på robert@iihnordic.com.

Pressemeddelelse fra Datatilsynet

Læs pressemedelelsen fra Datatilsynet her.

English version

We tried to answer the questions you may have about The Danish Data Authority’s latest update (21st of September 2022) about Google Analytics , and how you can approach it.

“The Danish Data Protection Agency has looked into the tool Google Analytics, its settings, and the terms under which the tool is provided. On the basis of this review, the Danish Data Protection Agency concludes that the tool cannot, without more, be used lawfully. Lawful use requires the implementation of supplementary measures in addition to the settings provided by Google”

The default setting of Google Analytics may be illegal, but there are still ways how to comply with the guidelines from The Danish Data Authority.

In the last few years, we at IIH Nordic have already implemented solutions that comply with the new guidelines for many clients. Our Recapture solution is built on the supplementary measures that The Danish Data Protection Agency recommends and offers additional benefits.

Is Google Analytics illegal to use in Denmark?

The Danish DPA has stated that extra measures need to be taken in order to ensure that Google Analytics meets DPA compliance standards.  If none of the recommended measures are taken, the use of Google Analytics will be in breach of DPA guidelines.

What general advice can be offered to all customers to reduce risk of breaching DPA guidelines and still work with Google Analytics?

  1. Work with IIH Nordic to take continual active measures to improve privacy. 
  2. Ensure your cookie consent management is working as intended
  3. Work with IIH to develop a bare minimum measurement plan.
  4. Minimize data collection to the bare essentials.  
  5. Remove Universal Analytics and work only with Google Analytics 4
  6. Implement a server-side tracking solution
  7. Retain data on your own BigQuery data server and avoid using Google Analytics for data storage

Why is Google Analytics not compliant out of the box?

People ensure compliance first and all tools need to be configured to have a privacy first approach to be compliant.  Google Analytics 4 has significantly improved the out of the box privacy capabilities but together with people who have a privacy first approach and server side tools – DPA compliance is possible.

IIH Nordic has expert knowledge of how to configure Google Analytics 4 together with server side tagging in order to deliver the highest privacy standards, live up to DPA compliance and at the same time maximize commercial capabilities.  

Are the compliance improvement suggestions recommended by IIH Nordic new and unproven?

No, IIH Nordic has been working for more than 2 years on a proprietary solution to improve the privacy and commercial capability of Google products.  We have dozens of solutions following our best practice recommendations which have all passed heavy legal scrutiny.

Does Datatilsynet refer to both GA4 and UA in their statement?

No. Datatilsynet refers to Universal Analytics and has not reviewed GA4 in a similar manner yet.

Did the Danish DPA publish a law or a guideline?

The Danish DPA published a guideline which is not a law.  A Breach of the guideline leading to a fine will need to be proven in a court of law.  Although it can’t be guaranteed – a warning would most likely be given for a suspected breach of the guideline.

What are the most important measures that should be taken with GA4 to meet Danish DPA standards?

IIH Nordic recommends that all clients who wish to retain the maximum commercial decision taking capability of their analytics program to move to a server-side tagging solution

Are there extra costs involved in moving server-side?

Yes.  The cost of moving server side has extra costs associated with it which can vary depending on the size and number of visits to a website.

Are there alternatives to Google Analytics that are free and considered approved by the Danish DPA?

Yes – there are web analytics tools that can count how many people visit a website.  There are few (if any) tools that can integrate with Google Search, Display and YouTube as well as Google Analytics.  Anyone who moves away from Google Analytics will likely suffer a business disadvantage if there is currently use of Google Advertising.  Retainer customers can get sparring on this topic, otherwise, we offer consultancy agreements to explore alternatives.

Can GA4 be configured in a way to avoid personal information transfer to the USA?

Yes – IIH Nordic can offer several different solutions each with varying degrees of impact to compliance and commercial capabilities.  Engage a consultant to learn more.

Can Google Analytics be configured to avoid the collection of all personal identifiable information?

Yes – IIH Nordic can offer several different solutions each with varying degrees of impact to compliance and commercial capabilities.  Engage a consultant to learn more.

Can Google Analytics be used solely in the EU, without any data transfer to the USA?

Yes – IIH Nordic can offer several different solutions each with varying degrees of impact to compliance and commercial capabilities.  Engage a consultant to learn more.

Is it enough to gain consent for analytics tracking to allow the use of Google Analytics and the transfer of data to the USA?

No, consent certainly helps but that does not protect organizations from legal scrutiny.

How can all organizations take more control over protecting website user privacy as well as minimizing data processed by US based Google Analytics?

IIH Nordic recommends to move to a server-side tagging approach which will enable a privacy-first approach to data collection

Do you still have questions? Don’t hesitate to contact us at IIH Nordic!

You can contact Steen Rasmussen at steen@iihnordic.com or Robert Johnson at robert@iihnordic.com.

The press release from DPA

Read more about the press release from The Danish Data Authority here.

Del nyheden!

Del på Linkedin
Del via email

Relaterede nyheder