Lösningen på Google Analytics-problemet

Obs! Denna artikel är en utförligare version av artikeln som inkluderades i gårdagens nyhetsbrev. Jag rekommenderar alla läsare att även läsa Realtids intervju med mig och datajuristen Joakim Söderberg.

Google Analytics är ett omåttligt populärt analysverktyg för webbplatser. Verktyget körs på var och varannan webbplats i Sverige. Sommaren 2020, i samband med den så kallade Schrems II-domen, stod det klart att Google Analytics var oförenligt med GDPR. Under de följande åren bekräftades detta av flera europeiska dataskydds­myndigheter. Igår satte även svenska IMY (Integritetsskydds­myndigheten) ned foten och meddelade att Google Analytics är oförenligt med GDPR.

Det var efter att ha granskat Tele2:s, Dagens Industris, CDON:s och Coops användning av Google Analytics som IMY konstaterade att användningen stod i strid med GDPR. Tele2 och CDON åkte dessutom på administrativa sanktions­avgifter à 12 miljoner kronor respektive 300 000 kronor. Detta framgår av IMY:s pressmeddelande ”Bolag måste sluta använda Google Analytics”.

Av samma pressmeddelande framgår att IMY förelägger alla nämnda företag att sluta använda Google Analytics samt att de här besluten kan bli vägledande.

De här besluten har bäring inte bara på de här fyra bolagen utan kan ge vägledning även för andra organisationer som använder Google Analytics.

Sandra Arvidsson, IMY

Coop och Dagens Industri hade vidtagit egna skyddsåtgärder. Av IMY:s beslut framgår att dessa skyddsåtgärder ändå inte varit tillräckliga.

IMY finner att Dagens Industris och Googles åtgärder varken var för sig eller sammantaget är tillräckligt effektiva för att hindra amerikanska underrättelsetjänsters möjlighet att få åtkomst till personuppgifterna eller göra sådan åtkomst verkningslös. Mot denna bakgrund finner IMY att varken standardavtalsklausuler eller de övriga åtgärder som Dagens Industri åberopat kan ge sådant stöd för överföringen som anges i kapitel V i dataskyddsförordningen. /—/ IMY konstaterar därför att Dagens Industri Aktiebolag bryter mot artikel 44 i dataskyddsförordningen.

(IMY:s beslut mot Dagens Industri, DI-2020-11370)

Google Analytics 4 redan utdömt

IMY:s granskning gällde sättet som företagen använde Google Analytics i augusti 2020. Eftersom dagens version av Google Analytics (Google Analytics 4) lanserades oktober 2020 betyder det att granskningen gällde den äldre versionen av Google Analytics.

Under gårdagen påstods det felaktigt i många kommentars­fält att nya Google Analytics 4 skulle vara GDPR-förenligt och därmed ha löst problemet. Så är inte fallet. Vi vet tvärtom från danska motsvarigheten till IMY (Datatilsynet) att även Google Analytics 4 är oförenligt med GDPR. Google Analytics 4 löser exempelvis inte problemet med att fullständiga IP-adresser fastnar i loggar och kan kopplas till andra person­uppgifter.

Lösningen heter Matomo

Lyckligtvis finns en bra och GDPR-förenlig ersättare till Google Analytics: Matomo (tidigare känd som Piwik). Det är en server­mjukvara med öppen källkod som går att drifta på egen hand eller köpa som tjänst av GDPR-förenliga molntjänst­leverantörer. Matomo går till och med att konfigurera så att webbplatsen inte behöver någon irriterade cookie-/samtyckes­banner. Instruktioner för detta finns på Matomos webbplats.

Det svenska webbhotellet Oderland erbjuder Matomo kostnadsfritt till sina webbhotells­kunder och har publicerat en installations­guide för privatpersoner och småföretag. I guiden hänvisar Oderland till ett Wordpress-tillägg som jag inte är bekant med. Ett alternativ till detta Wordpress-tillägg är SEOPress Pro, vilket är ett synnerligen kompetent SEO-tillägg med direktintegration för Matomo.

Matomo säljs också som tjänst för de som vill slippa sätta upp en egen server. Den svenska webbyrån ”Webbplatsen” säljer en nyckelfärdig tjänst till företag. Myndigheter kan köpa köpa Matomo via Försäkrings­kassans molntjänster (tack till Urban i Säkerhetsbubblan för tips om detta).

Problemet är större än Google

Avslutningsvis vill jag påminna alla läsare om att problemet med amerikanska övervaknings­lagstiftningen inte bara sätter käppar i hjulet för Google Analytics. Alla amerikanska molntjänster som hanterar personuppgifter påverkas. Max Schrems organisation Noyb har publicerat en bra guide för förutsättningarna som krävs för att kunna hantera EU-medborgares personuppgifter i amerikanska molntjänster. Kom ihåg att detta även gäller amerikanska molntjänster med servrar i EU.

Denna artikel är publicerad under CC BY 4.0-licens, med undantag för citat och bilder där en annan fotograf är angiven.

Kommentarer

Delta i diskussionen. Logga in med ditt befintliga konto på Nikka Systems Academy eller skapa ett nytt konto helt gratis.

Kommentar