Nej, GA4 håller inte för GDPR!
Google stänger ner Google Universal Analytics i juli 2023 och det betyder att väldigt många helt enkelt står inför att man måste byta analysverktyg. Google själva vill att deras kunder skall använda sig av Google Analytic 4 (GA4) och enligt dem så skall alla privacyproblem i relation till GDPR nu vara lösta, men vi på Digitalist är långt ifrån imponerade över Googles svar kring privacyproblematiken. Google har tagit en väldigt teknisk approach vilket inte riktigt räcker.
Läs mer om vårt Matomo erbjudande här: https://www.digitalist.se/tjanster/matomo-webbanalys
Vad måste ni göra i relation till GDPR?
Det grundläggande man måste göra för att ens webbanalys skall bli laglig:
- Informera om att spårning sker
- Samla in medgivande för profilering
- Sätt upp data retention (lagra inte längre än nödvändigt)
- Samkör inte data med andra system (utan medgivande)
- Dela inte data med andra aktörer i andra syften än det du fått medgivande om
- Ge möjlighet för användare att dra tillbaka sitt medgivande
- Lagra inte känslig persondata
- Användare måste kunna ta upp eventuella ärenden rörande privacy i en domstol
Ni behöver betrakta den data ni samlar in som persondata
Det är i princip omöjligt att över tid inte samla på sig persondata när man lagrar information om användare i ett system över tid, framförallt om vi börjar profilera användare.
IP-adressen i sig en uppgift som man måste betrakta som en personuppgift, den kan man välja att inte lagra fullt ut i sina system men bara att behandla den ställer egentligen krav på oss i relation till GDPR.
GDPR ställer krav på ett medgivande för att man skall få profilera besökare
Profilering sker oftast genom att man sätter en cookie men definitionen profilering är bredare. Oavsett vilken teknik man använder för att känna igen en återkommande besökare så faller man in under kravet i GDPR kring att ett medgivande krävs för att man skall får göra detta.
Varför är GA4 fortfarande ett problem?
Google har fokuserat väldigt mycket på tekniska lösningar, men de grundläggande problemen kvarstår:
- Google använder fortfarande datan som samlas från era webbplatser för att profilera era besökare i deras egna annonstjänster. (I Googles privacy sandbox sker detta även om man försöker beskriva det som anonymt)
- Google förlitar sig på SCC klausuler för tredjeland-överföringar (vilket inte är godkänt för USA ännu)
- Google kommer att fortsätta lämna ut data från era tjänster till amerikanska myndigheter om en sådan begäran kommer (FISA 702)
- Google kan inte garantera att data rensas bort om en enskild användare begär det, de kan heller inte redovisa för vilken data man har samlat in
- Individer som hamnar i Google Analytics kan inte pröva sina rättigheter i en domstol (något som är en grundförutsättning i GDPR)
Vad ni bör göra istället?
Använd Matomo eller ett annat open source verktyg för webbanalys där ni kan äga datan som samlas in och ta fullt juridiskt ansvar för detta.
Extra Seminarie om IMY Fallet 2023-06-06
Anmälan här https://sluta-med-google-analytics.confetti.events/