*Observera att denna text uppdateras regelbundet för att vara aktuell*
Vad är Google Analytics?
Google Analytics är ett vanligt verktyg inom företag och myndigheter för att mäta och analysera webbplatstrafik. Med hjälp av GA kan webbplatsägare samla statistik om sina besökare för att förbättra webbplatsens innehåll. Detta görs genom att tilldela en unik cookie till varje besökare (identifierare) för att samla in statistik om besök och sidvisningar. Dessutom samlas ytterligare data in om besökarens interaktion, som exempelvis besökstid, webbläsare och operativsystem. En undersökning från 2020 visar att över 80% av offentliga webbplatser använder Google Analytics.
Vad är Google Analytics 4?
Google Analytics 4 är efterträdaren till Universal Analytics, som Google presenterat som ett sekretessvänligt sätt att spåra användardata på din webbplats. GA4 kan användas tillsammans med andra Google-produkter, som till exempel Google Ads med remarketing-verktyg. GA4 är den senaste versionen av Google Analytics och har integritetsfunktioner som gör den mer integritetsvänlig än tidigare versioner. Genom att använda data från Google Analytics kan du lära dig vad besökare har tittat på hos webbplatsen eller i appen, och sedan visa annonser som är relaterade till det innehållet.
Den 10:e juli 2023 skrev EU-kommissionen denna pressrelease, som innebär att det finns ett avtal mellan EU och USA. Detta är ett stort hinder mot att GA4 inom Europa där överföringarna till USA varit illegala: ”Today, the European Commission adopted its adequacy decision for the EU-U.S. Data Privacy Framework. The decision concludes that the United States ensures an adequate level of protection – comparable to that of the European Union – for personal data transferred from the EU to US companies under the new framework. On the basis of the new adequacy decision, personal data can flow safely from the EU to US companies participating in the Framework, without having to put in place additional data protection safeguards.”
IMY:s beslut om Google Analytics Universal
Tidigare hade Integritetsskyddsmyndigheten (IMY) undersökt hur fyra bolag överför personuppgifter till USA genom användningen av Google Analytics och det var innan avtalet mellan USA och EU fanns. De granskade bolagen var CDON, Coop, Dagens Industri och Tele2. Granskningen avsåg en specifik version av Google Analytics från den 14 augusti 2020 det vill säga Google Analytics Universal. Observera att detta inte gäller den senaste versionen, Google Analytics 4 (GA4), som skiljer sig markant från tidigare versioner.
Efter granskningen beslutade IMY att bötfälla Tele2 med en sanktionsavgift på 12 miljoner kronor och CDON med 300 000 kronor, eftersom dessa företag inte vidtagit lika omfattande skyddsåtgärder som Coop och Dagens Industri. Ett av bolagen har nyligen frivilligt valt att sluta använda statistikverktyget, medan IMY har förelagt de resterande tre bolagen att också upphöra användningen av Google Analytics Universal som sedan dess har stängts ner av Google.
När vi ringde upp Sandra Arvidsson, som har lett utredningen på Integritetsskyddsmyndigheten, bekräftade hon att endast Google-versionerna från 2020 har blivit granskade. Myndigheten har inte utvärderat Google Analytics 4 eftersom ingen uppgradering har skett sedan dess. Under granskningen klarade sig COOP bäst, och IMY rekommenderade att man kollar vad de har gjort. En åtgärd som de har vidtagit är att sätta upp en server-side container, troligtvis med hjälp av Google Tag Manager, där man kan konfigurera behållare. Beslut efter tillsyn enligt dataskyddsförordningen – Coop Sverige AB:s överföring av personuppgifter till tredjeland
Det är viktigt att komma ihåg att standardklausuler inte är tillräckliga. Man måste ta hänsyn till både vad företaget har gjort och vilka skyddsåtgärder Google har vidtagit. Läs mer på IMY.
Flera EU-länder förbjöd Google Analytics Universal
Under 2022 har flera beslut fattats i Österrike, Frankrike och Italien i ärenden som rör användningen av Google Analytics. Ärendena initierades av klagomål som lämnades in av organisationen None of Your Business (”NOYB”) till ett antal europeiska tillsynsmyndigheter efter domen från EU-domstolen i det så kallade Schrems II-fallet.
Klagomålen gällde användningen av verktyget Google Analytics, som enligt NOYB innebär överföring av personuppgifter från webbplatsbesökare till Google i USA, vilket inte överensstämmer med dataskyddslagen.
Italien var det tredje landet med Google Analytics förbud genom att officiellt förbjuda mätverktyget Google Analytics. Nyheten kom efter att en undersökning av Garante (the Italian Data Protection Authority) kom fram till att Google Analytics stred mot GDPR och dataskyddsförordningen. Du hittar uttalandet här.
CNIL (franska dataskydds myndigheten) har också publicerat riktlinjer kring Google Analytics. Dessa riktlinjer var resultatet av de uttalanden som gjordes tidigare i år där CNIL förbjöd användningen av Google Analytics. Sedan dess har Google kommit med olika förslag för att Google Analytics skulle kunna användas säkert inom EU. Men CNIL kom ändå till slutsatsen att det är tekniskt omöjligt att använda Google Analytics kompatibelt med lagstiftningen.
Är Google Analytics lagligt enligt EU-lagstiftning?
GA bearbetar personuppgifter på dina vägnar. Google överför dessa data från Europa till USA för att bearbeta dem. Trots att de har en registrerad enhet i Irland omfattas de fortfarande av amerikansk lagstiftning, inklusive FISA och CLOUD Act. Det är viktigt att notera att Google Analytics inte är olagligt, men dess överföringar var det. Och de var olagliga tills vi fick ett adekvatitetsbeslut som ersatte Privacy Shield vilket vi fick i början på juli 2023.
För många marknadsförare är det en mardröm att riskera bli av med analysverktyget GA men det verkar vara flera EU länder som kommer till samma slutsats att Google Analytics Universal var olagligt enligt den gamla EU-lagstiftning. Österrikes dataskydds myndighet DSB (Austrian Data Protection Authority) var det första landet som bestämde att Google Analytics var illegalt vilket startade en kedjereaktion där det fler Europeiska länder följde efter.
Anledningen till att EU-domstolen ogiltigförklarade beslutet om adekvat skyddsnivå med USA i Schrems II var på grund av hur de amerikanska underrättelsetjänsterna kan få åtkomst till personuppgifter. Problemet som är svår att komma ifrån är risken för överföring av personuppgifter till USA. Google är ett amerikanskt företag som kvalificerar sig som en ”leverantör av elektroniska kommunikationstjänster”. Detta innebär att Google enligt lag är skyldigt att lämna ut uppgifter till amerikanska underrättelsetjänster om så begärs. Historiskt sett har amerikanska NSA genomfört industriellt spionage mot Europeiska företag, högt uppsatta politiker och svenska näringslivsintressen.
EU klubbade igenom starkare lag paket under 2022
- Digital Markets Act (DMA) för att få koll över de största digitala företagen som Google och Facebook.
- Digital Services Act package (DSA)
Google Analytics 4 har bättre integritetsskydd
Google marknadsförde GA4 som en övergång till en cookiefri och integritetsvänlig webbanalysmodell, men deras nya analysverktyg är inte helt utan cookies. GA4 har slopat tredjepartscookies men använder förstapartscookies som kallas Client ID. Den använder andra typer av personuppgifter, som onlineidentifikatorer och enhetsidentifikatorer, för att skapa en användar-ID. Det innebär att även om du döljer IP-adresser, hanterar Google Analytics 4 fortfarande personuppgifter. Liksom tredjepartscookies som används av Universal Analytics, innehåller Google Analytics 4’s cookies en unik identifierare kallad Client-ID. Av den anledningen utgör de personuppgifter enligt GDPR.
Källa
Förhoppningsvis kommer det på sikt klargörande info från IMY/europeiska dataskyddsmyndigheterna om hur de ser på GA4 och det nya ramverket European Union – U.S Data Privacy Framework.
Kan Google Analytics konfigureras för att inte samla in personlig data?
I grunden gäller dataskyddslagen för behandlingen av personuppgifter. Å andra sidan gäller inte dataskyddslagen när de insamlade och behandlade uppgifterna inte utgör personuppgifter. Efter utfärdade beslut har det förekommit diskussioner om det är möjligt att konfigurera Google Analytics på ett sådant sätt att ingen personlig data samlas in.
I grund och botten fungerar Google Analytics genom att tilldela en unik identifierare till besökaren på webbplatsen. Utöver den individuella identifieraren samlas ytterligare data in om besökarens interaktion med webbplatsen, ungefärlig tidpunkt för besöket samt data om besökarens webbläsare, operativsystem, osv.
Googles datacentrar
Google har flera datacentrar i Europa men kollar man de domäner som anropas i GA4 scripten med verktyg som Traceroute verkar de ligga i USA. Förhoppningsvis kommer Google se över detta så man kan lägga all data i Europa.
Datadelning och Google Signals
Utöver detta finns det flera inställningar i Google Analytics som gör det möjligt för webbplatsägaren att dela data med Google. Dessa kallas inställningar för datadelning och gör det möjligt för Google att behandla de insamlade uppgifterna samt Google Signals, som gör det möjligt för Google att samla in ytterligare data, bland annat för ändamål som riktad marknadsföring.
Den danska dataskyddsmyndigheten av verktyget tolkar det som att det inte är möjligt att inaktivera dessa inställningar.
Best practice: Vad kan du göra för att öka skyddet i Google Analytics 4?
Det finns vissa begränsade åtgärder som du kan göra för att öka skyddet. Google Analytics sparar all data vilket kan vara personlig data med Google Universal. De har också datalagring under lång tid om du inte begär kortare lagringstid av data vilket du kan göra men det har också nackdelen att du inte kan jämföra längre tidsserier. Men även om du anonymiserar IP-adresser (som GA4 eller Matomo) betraktas det fortfarande som personuppgifter.
Exempel på åtgärder som förbättrar integriteten:
1. Ta bort Google Universal från din webbplats. Google Analytics Universal togs ner i juni 2023 och ersattes av Google Analytics version 4.
2. Det är troligtvis bättre att övergå till GA4. Efter Google har fasat ut Google Universal så kommer man inte kunna migrera data till GA4 och därför väljer många att implementera GA4 så fort som möjligt så man kan jämföra tidssserier mellan olika år. Artikel hur du migrerar från Universal till GA4.
Google uppger att integritet är en av de viktigaste drivkrafterna för uppgraderingen. Men det är viktigt att datan troligtvis kommer fortsätta att skickas till USA. GA4 är betydligt mer svår använt så en gissning är att en del kommer välja en annan plattform i samband med den uppgraderingen. Alternativa verktyg för mätning är Adobe Analytics och Matomo/Piwik. Tyvärr är dessa verktyg inte alls lika användarvänliga som GA vilket blivit en de facto standard dessutom är Adobe plattformen dyrare och inte lika lättanvänd. Matomo är inte lika bra GA och finns i en open-source version men också en pro-version till högre pris.
3. Standardklausuler räckte inte enligt IMY utan myndigheten ser också på vad Google gjort för skyddsåtgärder. Man bör inte basera överföringen av uppgifter på standardiserade dataskyddsbestämmelser enligt artikel 46.2 c i dataskyddsförordningen om mottagarlandet inte säkerställer ett lämpligt skydd med hänsyn till unionsrätten för de personuppgifter som överförs till 3:e land.
4. Pseudonymisering av data: Genom att pseudonymisera användardata, det vill säga ersätta identifierande information med en generisk identifierare, minskas risken för direkt koppling till en enskild individ. Detta kan du göra genom att använda funktionen ”Enhanced Measurement” och välj ”Data Streams”. För att pseudonymisera data kan du skapa anpassade händelser och skicka endast pseudonymiserad eller icke-identifierbar information till Google Analytics. Detta kan göras genom att lägga till anpassad kod i din webbplatsmätning.
5. Datahantering inom EU/EES: Se till att all datahantering och bearbetning av personuppgifter sker inom EU/EES-området. Detta eliminerar behovet av att överföra personuppgifter till tredjeland och därmed undviker eventuella problem med otillräcklig dataskyddsnivå. Google har datacenters inom EU men om man kollar traceroute på servarna ser det ut som de pekar mot USA. Från ett praktiskt perspektiv kan det här vara svårt eftersom det inte finns så många cloud företag inom EU. Bland de mest kända cloudlösningar är alla amerikanska som Google, Amazon Cloud, Microsoft Azure, Cloudflare, Salesforce.
6. Användning av IP-anonymisering: Genom att aktivera IP-anonymisering i Google Analytics kan de sista delarna av användares IP-adresser avskiljas, vilket ytterligare minskar möjligheten att koppla data till enskilda användare.
Läs mer
7. Informera användarna: Som webbplatsägare bör du tydligt informera besökarna om att du använder Google Analytics och vilken typ av data som samlas in. Det är viktigt att ge användarna möjlighet att ge sitt samtycke och att informera dem om deras rättigheter enligt dataskyddslagstiftningen. Se även till att du har en korrekt cookie-banner enligt Cookie lagstiftningen som initierar innan du laddar några andra cookies.Bra verktyg för att hantera cookiebanners är Cookiebot eller OneTrust. Så här ser det ut i Google Tag Manager så att du laddar cookie bannern innan de andra cookiesarna laddas.
8. Databehandlaravtal: Se till att ingå ett databehandlaravtal med Google eller dess dotterbolag som tydligt fastställer ansvarsfördelningen och de åtaganden som Google har när det gäller skyddet av personuppgifter.
9. Rättsskyddsmekanismer: Försäkra dig om att det finns tillgängliga rättsliga mekanismer för att överklaga och få en effektiv rättslig prövning om det skulle uppstå problem med dataskyddet.
10. En skyddsåtgärd Google pekar på kring Coop är att använda en säker standard som HTTPS Strict Transport Security (HSTS), som instruerar webbläsare som http till SSL (HTTPS) att använda ett krypteringsprotokoll för all kommunikation mellan slutanvändare, webbplatser och Verktygets servrar. Sådan kryptering förhindrar inkräktare från att passivt lyssna av kommunikation mellan webbplatser och användare.
11. Teoretiskt går det att använda reverse proxies vilket kan vara komplicerat att sätta upp. En ”reverse proxy” är en serverkomponent som agerar som en mellanhand mellan klienter och en eller flera servrar. Den tar emot begäranden från klienter och vidarebefordrar dem till de bakomliggande servrarna. Detta kan användas för att förbättra prestanda, säkerhet och skalbarhet i en nätverksarkitektur.och där finns det SaaS-verktyg som Filterly.
Många av de här punkterna med GDPR krav vad Google har för skyddsåtgärder och avtal är i teorin omöjliga att lösa för ett mindre företag. Dessutom är de flesta cloudtjänster amerikanska så i praktiekn kan det vara svårt att hitta alternativ. Men vad som är positivt är att det börjat röra sig i lagstiftningen mellan EU och USA. Läs mer om European Union – U.S Data Privacy Framework nedan.
Europeiska lagar som reglerar webbplatser
Europeiska organisationer som vill använda Google Analytics ingår avtal med Google Ireland Ltd för att kunna göra det. Som en del av detta kontraktsmässiga ramverk erbjuder Google att ingå s.k. standardavtalsklausuler som ger registrerade personer ett antal skydd och rättigheter i förhållande till överföringen av personuppgifter till Google LLC i USA.
Detta kontrakt kan dock inte alltid i sig garantera en skyddsnivå som är i huvudsak jämförbar med den i EU/EES. Detta gäller särskilt i fall där brottsbekämpande myndigheter i tredjelandet kan få oproportionerlig tillgång till överförda personuppgifter och därmed bryta mot grundläggande europeiska lagar.
Det finns flera europeiska lagar och regler som reglerar data och webbplatser. De viktigaste lagarna inom detta område är:
Allmänna dataskyddsförordningen (GDPR): GDPR är en omfattande dataskyddslag som trädde i kraft i maj 2018. Den gäller för alla organisationer som behandlar personuppgifter inom Europeiska unionen. GDPR reglerar insamling, lagring, hantering och överföring av personuppgifter och syftar till att skydda individens integritet och säkerhet. Den ger även individer vissa rättigheter, såsom rätten till information, rätt till radering och rätt till dataportabilitet.
E-Privacy-direktivet: Detta direktiv reglerar integritet och skydd av personuppgifter inom elektronisk kommunikation, inklusive användning av cookies och liknande teknologier på webbplatser. Det kompletterar och förtydligar GDPR när det gäller specifika frågor som rör elektronisk kommunikation.
Lagar om elektronisk handel: Det finns olika lagar inom EU som reglerar elektronisk handel, till exempel e-handelsdirektivet och direktivet om otillbörliga affärsmetoder. Dessa lagar fastställer regler för information som måste finnas på webbplatser, konsumenträttigheter vid distansförsäljning och krav på tydlig och korrekt marknadsföring.
Lagar om upphovsrätt och immateriella rättigheter: EU har också lagstiftning som skyddar upphovsrätt och immateriella rättigheter på internet. Detta inkluderar direktivet om upphovsrätt på den digitala inre marknaden (DSM-direktivet), som syftar till att modernisera upphovsrätten och anpassa den till digitala utmaningar.
Schrems II-domen (Facebook Ireland and Schrems)
Enligt dataskyddsförordningen, GDPR, är det tillåtet att överföra personuppgifter till tredjeländer, alltså länder utanför EU/EES, om EU-kommissionen har fastställt att landet i fråga har en adekvat skyddsnivå för personuppgifter som motsvarar skyddsnivån inom EU/EES.
Den 16 juli 2020 meddelade EU-domstolen dom i det så kallade Schrems II-målet. Domstolen slog fast att Privacy Shield-avtalet mellan EU och USA inte gav ett tillräckligt skydd för personuppgifter när dessa förs över till USA.
Ogiltigförklarandet av Privacy Shield innebär att det inte längre är tillåtet för personuppgiftsansvariga i EU att med Privacy Shield som grund överföra personuppgifter till mottagare i USA.
EU-domstolen konstaterade i Schrems II-domen att USA vid tidpunkten för domen inte ansågs ha en adekvat skyddsnivå. Om Google överför data till USA och är de skyldiga att överlämna dem på begäran till myndigheter innebär det att USA inte längre kan garantera européernas integritet. Läs mer på IMY
Det centrala problemet i ärendena är att personuppgifter som överförs till USA i vissa fall inte garanteras en skyddsnivå som i huvudsak är jämförbar med den inom EU/EES. Detta beror på att vissa amerikanska lagar – Foreign Intelligence Surveillance Act (FISA) avsnitt 702 och Executive Order 12 333, läst tillsammans med Presidential Policy Directive-28 – inte uppfyller proportionalitetskraven enligt EU-lagstiftningen vid ingrepp i grundläggande rättigheter, och (europeiska) registrerade personer har inte rätt till effektiva rättsmedel. Detta fastställdes av EU-domstolen i det tidigare nämnda Schrems II-fallet. För överföring av personuppgifter till organisationer i USA inom ramen för ovan nämnd lagstiftning är det därför nödvändigt att vidta ytterligare åtgärder för att höja den övergrip
GDPR och Google Analytics
Den främsta anledningen att GDPR-lagen infördes 2018 var att skydda Europeiska medborgares integritet vilket konsumenter kräver. Men lagen har också kritiserats framförallt av marknadsförare. Det finns stor affärsnytta om företag kan vara effektiva i sin marknadsföring och alltför stränga hinder i Europa ger en klar nackdel på konkurrensutsatta globala marknader. GDPR lagen har dessutom inneburit mycket höga kostnader att införa och har följts av lagar som cookie-lagen som innebär att många sajter har cookie-banners som många användare stör sig på.
Enligt EU:s GDPR är det som huvudregel förbjudet att överföra personuppgifter till länder utanför unionen för vilka det saknas beslut om adekvat skyddsnivå, eller om lämpliga skyddsåtgärder inte har vidtagits.
Laglig grund: För att använda Google Analytics måste du ha en laglig grund för databehandling enligt GDPR. Det vanligaste tillvägagångssättet är att erhålla samtycke från användarna innan du samlar in deras personuppgifter genom cookies. Du måste tydligt informera användarna om vilken typ av data som samlas in, syftet med insamlingen och hur datan kommer att användas.
Anonymisering av IP-adresser: En viktig aspekt av GDPR är att skydda användarnas personuppgifter. Om du använder Google Analytics måste du se till att IP-adresser anonymiseras innan de skickas till Google-servrar. Detta kan göras genom att aktivera funktionen för IP-anonymisering i Google Analytics-koden på din webbplats.
Datalagringsperiod: En annan viktig aspekt av GDPR är begränsningen av datalagringsperioden. Enligt GDPR bör personuppgifter inte behållas längre än nödvändigt för det angivna syftet. Det rekommenderas att du konfigurerar din Google Analytics-inställning så att den automatiskt tar bort användardata efter en viss tid. Detta kan göras genom att använda funktionen för dataradering i Google Analytics eller genom att ställa in en egen datalagringsperiod.
Dataavtal: Om du använder Google Analytics måste du säkerställa att du har ett dataavtal med Google. Detta avtal fastställer de rättsliga förbindelserna mellan dig som webbplatsägare och Google som databehandlare. I dataavtalet regleras ansvarsfördelningen och skyddet för användardata enligt GDPR-kraven.
Personuppgiftsansvarig är bland annat en juridisk person som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter (artikel 4.7 i dataskyddsförordningen).
Vad innebär cookie-lagen?
Cookie-lagen, även känd som lagen om elektronisk kommunikation, är en svensk lagstiftning som reglerar användningen av cookies och liknande tekniker på webbplatser. Lagen är en del av EU:s e-privacy-direktiv och har implementerats i svensk lagstiftning för att skydda användarnas integritet och personuppgifter på internet. Så om du befinner dig i Europa behöver du visa en cookiebanner för att få användarens samtycke för analys.
En cookie är en liten textfil som sparas på användarens enhet när de besöker en webbplats. Den används för att lagra information om användarens preferenser och beteende på webbplatsen. Exempelvis kan cookies användas för att komma ihåg inloggningsuppgifter, språkinställningar eller varukorgar på en e-handelssida.
Enligt cookie-lagen måste webbplatser informera sina besökare om att de använder cookies och för vilket syfte. Besökarna måste också ges möjlighet att godkänna eller neka användningen av cookies. Det innebär att webbplatsägare måste implementera en tydlig cookie-policy och begära samtycke från användarna innan cookies får placeras på deras enheter.
Vissa cookies är dock undantagna från samtyckeskravet om de är nödvändiga för att webbplatsen ska fungera tekniskt eller för att tillhandahålla en tjänst som användaren uttryckligen begärt. Till exempel kan cookies som används för att komma ihåg varukorgar på en e-handelssida eller inloggningsuppgifter på en webbplats vara undantagna från samtyckeskravet.
Vad innebär amerikanska lagen Cloud Act?
I USA finns lagar som Cloud act som innebär att federala myndigheter som FBI eller CIA kan begära ut all data från vilket företag som helst. De kan alltså begära ut data från Google men också sociala media jättar som Facebook, Linkedin med alla kontakter och all kommunikation. Av Googles Transparency Report, Global requests for user information, framgår dock att Googles löpande får förfrågningar från amerikanska myndigheter om vad som gäller vid åtkomst till personuppgifter som Google lagrar.
European Union -U.S. Data Privacy Framework
Det är nästan omöjligt att använda någon Google-produkt i enlighet med GDPR förrän amerikanska och EU-myndigheterna kom överens om något slags avtal som gör dataflöden mellan dem lagliga vilket man förhoppningsvis fick i början av juli.
Vad var privacy shield ramverket?
EU och USA tecknade ett avtal 2016 om ett ramverk för transatlantiskt dataflöde som av kritikerna kallades för en politisk show. 2020 ogiltigförklarade EU-domstolen Privacy Shield-avtalet genom Schrems II målet som ansåg att det inte tillräckligt skyddade EU-medborgares personuppgifter mot övervakning och tillgång av amerikanska myndigheter. Detta beslut baserades till stor del på oro för massövervakning och bristande rättsskydd för EU-medborgare. Kritikerna menade att ramverket innebär ingenting juridiskt utan var menat som en principöverenskommelse.
European Union – U.S Data Privacy Framework – ett första steg mot Privacy Shield 2
Den 7:e oktober 2022 skrev president Joe Biden en verkställande order om om att införa det nya ramverket European Union-U.S. Data Privacy Framework som ersatte privacy shield avtalet. Syftet med det nya avtalet var att underlätta transatlantiska överföringar av personuppgifter och innebar att förstärka skyddet för amerikansk signalspaning). President dekretet instruerade om åtgärder som USA kommer att vidta för att genomföra USA:s åtaganden enligt EU-USA:s dataskyddsskyddsramverk (EU-USA:s DPF) som tillkännagavs av President Biden och Europeiska kommissionens ordförande von der Leyen i mars 2022. Amerikanarna skriver att den verkställande ordern stärker redan befintliga rigorösa skyddsåtgärder för amerikansk signalspaning. Läs mer första steget för Privacy Shield 2 är taget
Den 3:e juli 2023 Twittrade amerikanska handelsdepartementet att de följer EU-US Data Privacy Framework (EU-US DPF) som tillkännagavs av president Joe Biden och EU kommisionens president Ursula von der Leyen i mars 2022. I dokumentet amerikanarna hänvisar till finns kommentarer från amerikanska underrättelsetjänsten.
Läs mer
10:e juli 2023 kom äntligen EU-kommissionen den här pressreleasen
Idag antog Europeiska kommissionen sitt beslut om adekvans för EU-U.S. Data Privacy Framework. Beslutet fastslår att Förenta staterna säkerställer en adekvat skyddsnivå – jämförbar med den i Europeiska unionen – för personuppgifter som överförs från EU till amerikanska företag inom ramen för det nya ramverket. Med det nya adekvansbeslutet kan personuppgifter tryggt flöda från EU till amerikanska företag som deltar i ramverket, utan att ytterligare dataskyddsåtgärder behöver vidtas.
EU-U.S. Data Privacy Framework inför nya bindande säkerhetsåtgärder för att ta itu med de oro som uttryckts av Europeiska unionens domstol, inklusive begränsad åtkomst till EU-data från amerikanska underrättelsetjänster endast i den omfattning som är nödvändig och proportionerlig, samt inrättande av en Data Protection Review Court (DPRC), till vilken EU-medborgare kommer att ha tillgång. Det nya ramverket introducerar betydande förbättringar jämfört med mekanismen som fanns under Privacy Shield. Till exempel, om DPRC finner att data har samlats in i strid med de nya säkerhetsåtgärderna, kommer de att kunna beordra radering av datan. De nya säkerhetsåtgärderna inom området för myndigheters tillgång till data kommer att komplettera de skyldigheter som amerikanska företag som importerar data från EU kommer att behöva följa.
Om författaren
Daniel Larsson började jobba professionellt med webben 1994. Han är utbildad civilekonom inom marknadsföring och har jobbat +20 år som senior SEO-specialist. Daniel har arbetat inhouse som webbansvarig och marknadsansvarig. Han har på byråsidan varit konsult för flera av Sveriges största varumärken och suttit med i juryn för Nordic Search Awards och European Search Awards.