Italien är det tredje landet som skapar Google Analytics förbud genom att officiellt förbjuda mätverktyget Google Analytics. Nyheten kom efter att en undersökning av Garante (the Italian Data Protection Authority) kom fram till att Google Analytics stred mot GDPR och dataskyddsförordningen. Du hittar uttalandet här.
Nyheten kommer bara en vecka efter att CNIL (franska dataskydds myndigheten) publicerade riktlinjer kring Google Analytics. Dessa riktlinjer var resultatet av de uttalanden som gjordes tidigare i år där CNIL förbjöd användningen av Google Analytics. Sedan dess har Google kommit med olika förslag för att Google Analytics skulle kunna användas säkert inom EU. Men CNIL kom ändå till slutsatsen att det är tekniskt omöjligt att använda Google Analytics kompatibelt med lagstiftningen.
Är Google Analytics olagligt enligt EU lagstiftning?
För många marknadsförare är det en mardröm att bli av med analysverktyget GA men det kan tyvärr vara flera EU länder som kommer till samma slutsats att Google Analytics är olagligt enligt EU lagstiftningen. Österrikes dataskydds myndighet DSB (Austrian Data Protection Authority) var det första landet som bestämde att Google Analytics var illegalt vilket startade en kedjereaktion där det kan bli fler Europeiska länder som följer efter.
Problemet som är svår att komma ifrån är risken för överföring av personuppgifter till USA. Google är ett amerikanskt företag som kvalificerar sig som en ”leverantör av elektroniska kommunikationstjänster”. Detta innebär att Google enligt lag är skyldigt att lämna ut uppgifter till amerikanska underrättelsetjänster om så begärs. Historiskt sett har amerikanska NSA genomfört industriellt spionage mot Europeiska företag, högt uppsatta politiker och svenska näringslivsintressen.
Samtidigt förväntas EU sommaren 2022 klubba igenom ännu starkare lag paket
- Digital Markets Act (DMA) för att få koll över de största digitala företagen som Google och Facebook. Lagen väntas träda i kraft i oktober 2022.
- Digital Services Act package (DSA)
GDPR
Den främsta anledningen att GDPR-lagen infördes 2018 var att skydda Europeiska medborgares integritet vilket konsumenter kräver. Men lagen har också kritiserats framförallt av marknadsförare. Det finns stor affärsnytta om företag kan vara effektiva i sin marknadsföring och alltför stränga hinder i Europa ger en klar nackdel på konkurrensutsatta globala marknader. GDPR lagen har dessutom inneburit mycket höga kostnader att införa och har följts av lagar som cookie-lagen som innebär att många sajter har cookie-banners som de flesta användare stör sig på. Faktum kvarstår dessutom att Google överför data till USA och är skyldigt att överlämna dem på begäran innebär att USA inte längre kan garantera européernas integritet.
Vad händer i Sverige – kommer vi också få Google Analytics förbud?
Google Analytics är ett vanligt verktyg på svenska företag och myndigheter. När man undersökte offentliga webbplatser 2020 så använde mer än 80% GA.I Sverige finns det inget förbud mot GA men troligtvis undersöker Dataintegrations myndigheten frågan och om många andra länder förbjuder så finns det stor risk att det även kommer att ske i Sverige. Det skulle vara skadligt mot mindre företag som i högre grad använder det i sin marknadsföring.
Vad kan du göra för att öka skyddet om du kör GA?
Det finns vissa begränsade åtgärder som du kan göra för att öka skyddet. Google Analytics sparar all data vilket kan vara personlig data om du inte filtrerar bort de personliga uppgifterna (det finns filter för detta). De har också datalagring under lång tid om du inte begär lägre lagringstid av data vilket du kan göra men det har också nackdelen att du inte kan jämföra längre tidsserier.
Men även om du anonymiserar IP-adresser (som GA4 eller Matomo) betraktas det fortfarande som personuppgifter.
Vad innebär Cloud Act?
I USA finns lagar som Cloud act som innebär att federala myndigheter som FBI eller CIA kan begära ut all data från vilket företag som helst. De kan alltså begära ut data från Google men också sociala media jättar som Facebook, Linkedin med alla kontakter och all kommunikation.
Privacy Shield 2.0
EU och USA har tecknat ett avtal om ett nytt ramverk för transatlantiskt dataflöde som går under namnet Privacy Shield 2.0 och av kritikerna kallas för en politisk show. Tyvärr innebär avtalet ingenting juridiskt. Tillkännagivandet var menat som en ”principöverenskommelse” och det kommer ta lång tid innan ett juridiskt dokument är undertecknat.
Flera företag kommer börja se på andra lösningar om det finns risk för Google Analytics förbud
Dessutom försvinner det traditionella Google Universal Analytics i juni 2023 till förmån för Google Analytics 4. Efter att Google har fasat ut GU så kommer man inte kunna migrera data till GA4 och därför väljer många att implementera GA4 så fort som möjligt så man kan jämföra data mellan olika år. Google uppger att integritet är en av de viktigaste drivkrafterna för uppgraderingen däremot kommer troligtvis datan fortsatt att skickas till USA. GA4 är dessutom betydligt mer svåranvänt så en gissning är att många kommer välja en annan platform i samband med den uppgraderingen.
Alternativ till Google Analytics
Många större Europeiska företag har redan valt att gå över och implementera Piwik/Matomo som är en open source lösning som är lättanvänt och enkelt att använda. Sedan tidigare är det också vanligt med Adobe Analytics. Tyvärr är dessa verktyg inte alls lika kraftfulla och användarvänliga som GA som blivit en de facto standard.
Om författaren
Daniel Larsson började jobba professionellt med webben 1994. Han är utbildad civilekonom inom marknadsföring och har jobbat +20 år som senior SEO-specialist. Daniel har arbetat inhouse som webbansvarig och marknadsansvarig. Han har på byråsidan varit konsult för flera av Sveriges största varumärken och suttit med i juryn för Nordic Search Awards och European Search Awards.