Hva betyr GDPR for deg som bruker Google Analytics? GDPR er bare litt over en måned unna, og det finnes et hav av informasjon der ute. I dette blogginnlegget om GDPR og Google Analytics skal vi prøve å forklare hva det betyr i praksis for deg.
Hva betyr GDPR for Google Analytics?
Ved hjelp av Google Analytics (GA) samler Google inn en mengde opplysninger fra hvert besøk gjort på en nettside, slik at man kan gå inn og analysere og måle antall besøk på siden, hva besøkende foretar seg, hvor de klikker osv.
Her samler Google inn blant annet informasjon om hvilken nettleser du bruker, hvilken mobil du bruker og hvor du befinner deg i Norge. Men de samler ikke inn personlige opplysninger i den grad at man kan spore hvem du er.
I følge GDPR blir IP-adressen til en besøkende sett på som en personopplysning. Denne informasjonen blir kun brukt til å vise hvor den besøkende er lokalisert grovt sett, men IP-adressen er ikke synlig for dem som har tilgang til data i GA.
Anonymisering av IP-adresser
I GA kan man ved hjelp av kodesnutten
ga(‘set’, ‘anonymizeIp’, true);
anonymisere IP-adressen slik at den ikke blir tilgjengelig for Google eller noen andre. Når den besøkende trykker seg inn på nettsiden henter Google kun ut den grove lokasjonen til den besøkende, registrerer besøket i GA og IP-adressen blir deretter anonymisert og ikke tilgjengelig for noen i ettertid.
Her kan du lese mer om hvordan man anonymiserer IP-adresser for å bli kompatibel med GDPR.
Du er ansvarlig for personopplysninger i Google Analytics
I GA opererer Google som en behandler av personlige data som håndteres i tjenesten, mens du opererer som kontrollør av opplysninger siden du kontrollerer hvilke data som blir sendt til GA.
Reglene for databehandling er tilgjengelige for godkjenning i GA under Administrator → Kontoinnstillinger.
Her kan man se at det er du som har hovedansvaret for behandlingen av personlig informasjon i GA, og for å være kompatibel med GDPR må man ha kontroll på hvilke opplysninger man behandler, luke bort de man ikke trenger eller sette inn tiltak for å anonymisere data.
Hvordan samle inn samtykke?
Den enkleste formen for samtykke, og hva Google krever i brukervilkårene i GA, er at du ikke lagrer noen personlig identifiserbar informasjon om de besøkende.
Selv om Google vil samle samtykke til innsamling av brukerdata på egne tjenester som for eksempel Gmail og YouTube, legger selskapet mye av vekten på tredjepartsutgivere og annonsører sine skuldre for å få samtykke til å fortsette å samle inn informasjon som den trenger for å levere målrettede annonser.
Her må man derimot ha på plass et samtykke fra alle kunder, slik at man bare tilbyr annonsering til de som faktisk har gitt godkjenning for dette.
Tilgangskontroll er også viktig. Man bør se på hvem som har tilgang til GA-kontoen, og sørge for at alle som har tilgang er klar over GDPR og ser viktigheten av å ikke behandle personlige opplysninger som det ikke er gitt samtykke for.
Hvilken informasjon bør gis kunden?
Kunder må få informasjon om hva de ulike opplysningene brukes til, selv om de er anonymisert. Det holder ikke å skrive; “Disse opplysningene brukes til å gi deg en bedre opplevelse på vår side”.
Man må ha spesifikke og begrunnede formål for innsamling av opplysninger.
Det er også viktig å ikke lagre informasjon lenger enn nødvendig. Dette er et krav fra GDPR, og går ut på at bedrifter ikke skal ha informasjon om kunder lagret bare for at man kanskje en gang får bruk for det i fremtiden.
GDPR og lange webadresser
Lange webadresser kan være problematisk i rapportering, for eksempel i innsamling av informasjon i et skjema som du har på nettsiden kan inneholde personopplysninger uten at man er klar over det. Eksempel:
minside.no/skjema?gender=mann&alder=24&firma=Utheve&sted=Trondheim
Her ser vi at skjema-lenken inneholder informasjon som kan bli brukt til å identifisere en person. Da er det bedre å ha en lenke som kun sier: minside.no/skjema.
Grunnen til dette er at en kombinasjon av forskjellig personlig informasjon kan til slutt føre til at man kan identifisere en person, noe som gjør at man ikke er i henhold til GDPR.
Hvor lenge kan man ha opplysninger lagret i Google Analytics?
Det er også viktig å ha oversikt over hvor lenge data blir lagret i GA. Man har fire tidsperspektiv å velge mellom når det gjelder hvor lenge opplysningene skal være lagret.
- 14 måneder
- 26 måneder
- 38 måneder
- 50 måneder
Her må man kartlegge hva opplysningene brukes til, hvor lenge trenger man dem og hvorfor trenger man å ha slike data lagret så og så lenge.
Om du ikke trenger å analysere og sammenligne data lenger tilbake enn ett år, er det ikke noen vits å ha dem lagret i 26 måneder, bare fordi man kanskje en dag får bruk for dem.
Oppsummering
Hvis du bruker GA til å samle mye personlig informasjon, må du ha svært gode grunner for å gjøre akkurat dette, og du bør ha gode rutiner for innsyn og sletting av slik informasjon hvis du blir kontaktet av kunder som ønsker dette.
Det enkleste er jo som sagt å ikke lagre personlig informasjon, men bare bruke ikke-identifiserbar informasjon for å analysere kunders bruk av din nettside. På denne måten vet man at man er kompatibel med GDPR.
Hvis du enda ikke har satt deg inn i hva GDPR er, kan du lese mer informasjon her, eller om du ønsker å lese mer om hva GDPR kommer til å bety for digital markedsføring kan du trykke her.
Hvis du ønsker innføring i hvordan Utheve bruker Google Analytics kan du gå inn på vår side om Google Annonsering eller ta kontakt for en hyggelig prat.
NB: Dette er vår tolkning av loven slik den er skissert på dette tidspunktet, og er ikke ment som en fasit på hvordan du skal følge loven. For juridisk rådgivning anbefaler vi deg å ta kontakt med advokat.
