Uppdatering (juli 2023)

EU och USA har återigen ett avtal som gör att det går att överföra personuppgifter till USA. EU-kommissionens beslut står över eventuella andra beslut från nationella övertolkande myndigheter. Läs mer detaljer i artikeln Google Analytics 4 ok att använda sedan 10 juli 2023 efter beslut från EU-kommissionen.

Uppdatering (mars 2022)

Google har under mars 2022 släppt nyheter som påverkar nedanstående artikel. Närmare bestämt rör det punkt tre nedan:

Google flyttar insamlingsservrar till EU och använder ett av sina europeiska bolag för hantering av datan.

Google har nu aviserat att de kommer släppa funktionalitet som gör att man kan lagra all sin Google Analytics data inom EU. När exakt det sker vet vi inte just nu, men det kommer. Ändringen gäller endast Google Analytics 4, det vill säga den senaste versionen av Google Analytics. Den äldre versionen Universal Analytics får inte denna nya funktion.

Google har också aviserat att man ska sluta spara IP-nummer helt i Google Analytics 4. Detta betyder att alla åtgärder som diskuteras nedan kring att ”neutralisera” IP-nummer ”problemet” inte längre behövs.

Läs mer i artikeln Google Analytics 4 uppfyller krav och regler i både GDPR och Schrems 2.

Ursprunglig artikel:

EU-domstolens dom i det så kallade Schrems II-målet påverkar Google Analytics

I juli 2020 meddelade EU-domstolen dom i det så kallade Schrems II-målet. Utan att gå in på detaljer i domen så innebär domen att det så kallade Privacy Shield-avtalet mellan EU och USA inte ger ett tillräckligt skydd för personuppgifter när dessa förs över till USA.

Ursprunget till domen är egentligen inte Google Analytics som i princip inte innehåller några personuppgifter eftersom det är och länge har varit förbjudet att skicka in något till Google Analytics som är personidentifierande. Ursprunget är istället Facebook som innehåller ”oceaner” av personuppgifter (namn, bilder, känslor, familj, vänner etc.).

Problemet för alla användare av Google Analytics är dock att domen i EU-domstolen inte skiljer ut “ofarliga” eller i praktiken “icke-personuppgifter” mot de “riktiga” personuppgifter som hanteras i Facebooks system.

Vad är personuppgifter i Google Analytics?

I Google Analytics pekas IP-nummer ut som en personuppgift. Man kan diskutera och starkt ifrågasätta om ett IP-nummer är en personuppgift över huvud taget. Nu är dock IP-nummer utpekat som en personuppgift och som användare av ett webbstatistiksystem behöver vi därför hantera det som en sådan.

Hur har hanteras IP-nummer i Google Analytics?

Google Analytics har länge haft en funktion som avidentifierar/maskar IP-numret så det inte längre kan kallas för en personuppgift (detta behöver aktiveras i Universal Analytics mätning och finns som default i nya versionen). Rent tekniskt har man skickat IP-numret i sin helhet, men det har inte lagrats i sin helhet på Googles servrar.

Sedan finns funktioner i Google Analytics som raderar ip-nummer enligt GDPRs regler (om det är påslaget). Denna lösning har fungerat bra/varit tillräcklig fram till Schrems II-domen. I Schrems II så är det själva överföringen som inte är OK. Att Google inte lagrar IP-numret i sin helhet är alltså inte längre en tillräcklig lösning.

Vår organisation använder Google Analytics, vilka alternativ finns för oss?

De lösningar kring Google Analytics som vi ser är:

  1. Fortsätta att avvakta och invänta nya regler för överföring av data mellan EU och USA motsvarande det vi hade i privacy shield. Man gör alltså inga ändringar i befintliga system.
  2. Stänga av all mätning som skickar data till USA (och då även Google Analytics).
  3. Google flyttar insamlingsservrar till EU och använder ett av sina europeiska bolag för hantering av datan. Även detta alternativ innebär troligtvis inga eller möjligtvis få ändringar (om det blir aktuellt över huvud taget).
  4. Stänga av/stoppa mätningen i Google Analytics som skickar personuppgifter (IP-nummer) till USA. Övrig mätning lämnas oförändrad.
  5. Byta system från Google Analytics till ett konkurrerande system.

Konsekvenser av respektive ovanstående alternativ som vi ser.

  1. All mätning intakt. Alla analysmöjligheter intakta. Ingen extra kostnad för tillfället. Risk för att man ”åker dit” i en revision, med böter som följd.
  2. Ingen mätning kvar. Inga analysmöjligheter. Sämsta alternativet.
  3. Troligen all mätning intakt. Troligen alla analysmöjligheter intakta. Osäkert. Inga sådana beslut tagna ännu (som är publika).
  4. All mätning intakt. Alla analysmöjligheter intakta. Det denna lösning handlar om är att sluta skicka ip-numret till Google Analytics. Man skickar då inte längre någon personuppgift och då ”är man hemma” ur Schrems II synvinkel. Detta kan uppnås på flera olika sätt.
    1. Ett alternativ går tekniskt till så att man styr om trafiken till en sk proxy, det vill säga en egen server som man skickar datan till istället för direkt till Googles insamlingsservrar. Servern ställer man inom EU (så att dte inte blir någon överföring till ”tredje land”. Proxy-servern skickar sedan datan vidare till Google (med ip-numret maskat). Detta innebär att man inte skickar hela ip-numret och då kan det inte längre påstås vara en personuppgift. Man kan jämföra proxy-servern med en tvättmaskin som tvättar bort personuppgifter.
    2. Det andra alternativet liknar ovanstående, men innebär att man använder Googles teknik för server side tagging. Den liknar ovanstående lösning på så sätt att man skickar statistiken via en server. Utöver att man kan lösa IP-nummer problematiken så har Google server side tagging flera andra starka fördelar. Båda ovanstående alternativ innebär en initial kostnad (en del konfiguration och testande), därefter en månadskostnad för den extra servern (tvättmaskinen).
    3. Det tredje alternativet innebär att man använder Google Tag Manager och via detta verktyg stänger av/styr vad som skickas till USA. För samtliga alternativ fortsätter man med all analys som vanligt i Google Analytics. Rapporter som är beroende av IP-nummer som de geografiska rapporterna (Location) påverkas av hur mycket av IP-numret som man maskar. Via samtliga lösningar ovan kan man välja att maskera en, två, tre eller alla oktetterna i IP-numret.
  5. Man byter bort Google Analytics till ett system som inte skickar data till USA. Det finns flera alternativ, till exempel Matomo Analytics. Byte av system innebär installationskostnader, konfigurationskostnader, taggningskostnader, utbildningskostnader etc. Man har också licensavgifter man ska budgetera för. Det finns även open source system, men här tillkommer kostnader för drift och i Matomos fall licenskostnader för plugins.

Hjälp med proxy-lösning eller mätning server side för att hantera IP-nummer i Google Analytics

Avantime har levererat webbanalystjänster i mer än 15 års tid. Avantime är en långsiktig partner som hjälpt flera uppdragsgivare genom flera generationer av webbanalyssystem. Oavsett om du behöver hjälp med val av system eller hantering av GDPR/Schrems frågor så finns vi till för dig. Vi kan hjälpa dig att fortsätta använda Google Analytics via någon av ovanstående alternativ, eller hjälp med ett byte. Kontakta oss via mail på [email protected] för mer information om hur man kan gå tillväga.

Hjälp med alternativa system till Google Analytics

Om beslutet landar i att byta system så kan Avantime hjälpa till med införandet av det nya systemet. Vi vet vad skillnaderna är och hur man ska arbeta i det nya systemet. Mer om att välja webbstatistiksystem.

Tips 1 – boka workshop kring GDPR/Schrems och Google Analytics

Om ni funderar på alternativ till Google Analytics på grund av GDPR och Schrems boka in en workshop för att reda ut olika alternativ.

Om du ligger i startgroparna att ta tag i webbanalysarbetet och/eller känner att det är dags för ett omtag rekommenderar vi även vår workshop kring nyckeltal och mål där vi tillsammans arbetar fram de KPI:er som passar er verksamhet.

Tips 2 – gå utbildning i Matomo Analytics

Avantime erbjuder både anpassade kurser och öppna/schemalagda kurser i Matomo Analytics.

Anpassade kurser i Matomo Analytics anpassas efter er installation, era önskemål och er data. Vi väljer kursdatum, innehåll och omfattning tillsammans. De öppna kurserna i Matomo Analytics är grundkurser och öppna för alla. I båda fallen övar på att effektivt använda Matomo Analytics.

Mer vanliga frågor om Google Analytics och närliggande frågeställningar