GDPR och Google Analytics: vad du bör veta

Kan du fortsätta använda Google Analytics trots de nya riktlinjerna för behandling av personuppgifter? Är Google Analytics GDPR-kompatibelt? Vi förklarar hur du som marknadsansvarig kan tänka kring GDPR och ditt Analytics-konto.

Denna artikel är granskad av och framtagen i samarbete med jurist med erfarenhet av juridiskt arbete kring just GDPR för några av Sveriges största organisationer och varumärken.

Vi får just nu många frågor kring huruvida det är okej att fortsätta använda Google Analytics i sin marknadsföring, med tanke på GDPR och ePrivacy-förordningen (EPR). 

Inte så konstigt – GDPR och Schrems II-domen har satt saker och ting i rullning. Det Privacy Shield som många företag tidigare kunde luta sig mot för delning av personuppgifter med tredjeland är numera underkänt som överföringsskydd.

Just nu granskas bland annat COOP, CDON, Tele2, Dagens Industri och företagen bakom sajterna familjeliv.se och synonymer.se efter att intresseorganisationen None of Your Business anmält dem till Datainspektionen, meddelar IntegritetsmyndigetenHär kan du se vilka frågor Datainspektionen ställt till bolagen i sin granskning.

En del organisationer, inte minst offentliga verksamheter, har som försiktighetsåtgärd börjat titta på alternativa webbanalysverktyg som MatomoVizzit och Siteimprove, som Resultify är partners med, då det är oklart om Google Analytics är lämpligt som verktyg.

Kan du fortsätta använda Google Analytics som webbanalysverktyg i din digitala marknadsföring och försäljning?

Kan du fortsätta använda Google Analytics?

Det korta svaret är: ja, på vissa villkor. Vi kommer att nämna några av dem nedan.

Genom att använda Google Analytics skickar du data till tredjeland som kan innehålla personuppgifter. Det går förstås att sluta använda Analytics och använda ett annat webbanalysverktyg istället, som Siteimprove eller Matomo, men för att få ut maximalt av din Google Ads-annonsering, målgruppssegmentering och retargeting kommer du behöva fortsätta dela data till Google och Facebook. 

Därför bör du se över hur ditt Google Analytics är inställt. Google Analytics förutsätter ett välinformerat samtycke från dina besökare. När du samlar in giltigt samtycke blir det din nya grund för tredjelandsöverföring istället för motsvarande skyddsnivå.

Google Analytics och GDPR: Fem åtgärder du bör vidta

Vi på Resultify kan inte kan ge juridiska råd, men vi kan rekommendera åtgärder som vi vet har löst viktiga säkerhetsproblem för många företag. Nedan listar vi fem viktiga åtgärder som du som vill fortsätta använda Google Analytics för ditt företags webbanalys bland annat bör titta på.

1. Kolla upp om och hur du samlar in personuppgifter

Gör en genomlysning av din datainsamling för att ta reda på om du samlar in och lagrar personuppgifter på ett sätt som gör det möjligt att identifiera användare, så kallad Personally Identifiable Information (PII)

Sådana uppgifter är till exempel namn, adresser, telefonnummer, e-postadresser eller data som tillsammans med data från andra källor gör det möjligt att veta vem en användare är.

Sajter kan också samla in och lagra opersonliga användaruppgifter, till exempel i form av användar-ID:n. Det kallas för pseudonyma identifierare och innebär att uppgifterna inte längre kan tillskrivas en specifik person om inte kompletterande uppgifter används. Så länge någon har tillgång till kompletterande uppgifter räknas dock även detta som personuppgifter. 

Ta reda på hur din webbplats samlar in data. Resultify är partners med ledande analysverktyget Siteimprove och kan hjälpa dig att göra en komplett sajtanalys.

2. Anonymisera IP-adresser i ditt Google Analytics

I Google Analytics 4 är anonymiseringen av IP-adresser automatiskt påslagen, men i vanliga Google Analytics Universal behöver du bland annat aktivera funktionen Anonymize IP (“anonymize_ip” med gtag.js).

Här är Googles egna korta guide till hur du gör i Analytics steg för steg. Vi på Resultify kan också hjälpa dig att göra det.

Använder du Google Tag Manager? Genom att byta till den nya varianten av Google Tag Manager Server som kan köras på egen server kan du välja att filtrera bort data mellan dina besökares webbläsare och Google Analytics, som annars kan delas med tredjeland.

3. Ge dina besökare möjlighet att acceptera eller avvisa cookies

Gårdagens pop up-rutor med information om cookies sade ofta: “Genom att fortsätta använda webbplatsen godkänner du användandet av cookies”. I dag måste alla webbplatser ha en GDPR-kompatibel cookie banner som ger besökaren möjligheten att tacka ja eller nej till hela eller delar av cookie-användningen och spårningen, så kallat “opt in/opt out”. 

Resultify samarbetar med Google-verifierade Cookie Information som har en av de enklaste lösningarna för en GDPR-kompatibel cookie banner. Läs mer om Cookie Information här.

4. Skriv nytt avtal med din byrå/leverantör

Jobbar du med en byrå eller underleverantör som har tillgång till ditt Google Analytics? Då behöver du skriva ett så kallat personuppgiftsbiträdesavtal där det står hur personuppgifter från ditt företag delas vidare, bland annat genom att underleverantören får tillgång till ert Analytics.

Skulle en extern leverantör hantera ditt företags datainsamling fel och du blir granskad kan du då utkräva ansvar.

5. Uppdatera din integritetspolicy

Sist men inte minst: Glöm inte att uppdatera integritetspolicyn eller Privacy Policyn på din webbplats så att den är uppdaterad enligt dina nya inställningar.

Google Analytics är bara ett av många verktyg som samlar in och delar personuppgifter – det kan även ske i Microsoft Teams, Salesforce, Hotjar och andra molnbaserade verktyg. Därför är det bra att ta ett grepp om din digitala närvaro enligt GDPR redan nu. Vi hjälper dig gärna!

Vill du ha hjälp med till exempel IP-anonymisering i ditt Google Analytics eller att implementera en GDPR-kompatibel cookie banner? Fyll i dina uppgifter nedan, så kontaktar vi dig.

Kontakta oss så berättar vi mer.