Du måste sluta använda Google Analytics
Om du vill följa lagen, den 3 juli kom nämligen IMY (Integritetsskyddsmyndigheten) ut med ett pressmeddelande ”Bolag måste sluta använda Google Analytics”.
Vilka är IMY?
De arbetar för att skydda dina personuppgifter och säkerställa korrekt hantering och så att de inte hamnar i orätta händer. Deras huvudsakliga uppgifter innefattar att granska och tillämpa dataskyddsreglerna, ge vägledning och stöd till myndigheter, företag och allmänheten, främja enhetlig tillämpning av reglerna inom EU, bevilja tillstånd och övervaka kamerabevakning, inkassoverksamhet och kreditupplysningar, samt följa och rapportera om integritetsområdets utveckling.
Så vad handlar pressmeddelandet om?
Den handlar om att IMY har granskat hur fyra företag använder Google Analytics för besöksstatistik och har utfärdat sanktionsavgifter mot två av dem. Ett av företagen har redan slutat använda verktyget på egen initiativ, medan IMY har förelagt de tre andra att också sluta använda det.
Granskningarna bygger på klagomål från intresseorganisationen None of Your Business (NOYB) efter EU-domstolens Schrems II-dom. Klagomålen hävdar att företagen överför personuppgifter till USA i strid med lagen.
Varför spelar det någon roll?
Enligt GDPR får personuppgifter endast överföras till länder utanför EU/EES om EU-kommissionen har bedömt att landet har tillräcklig skyddsnivå för personuppgifter som motsvarar den inom EU/EES. Genom Schrems II-domen fastställde EU-domstolen att USA vid den tidpunkten inte hade en sådan skyddsnivå.
IMY anser efter sina granskningar att de uppgifter som överförs till USA via Google Analytics är personuppgifter, eftersom de kan kopplas samman med andra unika uppgifter som överförs. Myndigheten anser också att de tekniska skyddsåtgärder som företagen har vidtagit inte är tillräckliga för att garantera en skyddsnivå som motsvarar den inom EU/EES.
Vad gjorde de för fel?
IMY:s beslut i dessa ärenden tydliggör kraven på tekniska skyddsåtgärder och andra åtgärder vid överföring av personuppgifter till tredjeländer, i detta fall USA. Alla fyra företag har använt sig av standardavtalsklausuler som grund för överföring av personuppgifter via Google Analytics. IMY har funnit att inga av företagens ytterligare tekniska skyddsåtgärder är tillräckliga.
Vad för ”straff” har de fått?
Tele2 har fått en sanktionsavgift på 12 miljoner kronor, medan CDON har fått en avgift på 300 000 kronor. Coop och Dagens Industri, som har vidtagit mer omfattande skyddsåtgärder, har inte fått några sanktioner. Tele2 har nyligen slutat använda verktyget på eget initiativ. IMY förelägger de tre andra företagen att sluta använda verktyget.
Så vad innebär det för dig?
Om du använder Google Analytics är det dags att sluta och överväga andra analysprogram.
Fråga dig själv: Vilken statistik är det jag faktiskt vill följa och varför? Vad hjälper det mig att förstå och förbättra?
Ibland kanske man bara har hört att Google Analytics är det man ska använda utan att riktigt förstå syftet med all statistik och information som man samlar in. Kanske är man bara intresserad av att se antalet besökare och vilka sidor de besöker. Men det är viktigt att veta varför du vill ha den informationen och hur den hjälper dig att framåt med din hemsida eller webshop.
Överväg starkt att byta analys program om du känner att du fortfarande vill samla statistik och information.
Behöver du ha panik?
Nej, mest troligt kommer det ta ett bra tag innan de ens börjar granska mindre företag, däremot bör du ändå påbörja processen relativt snart för att vara säker på att din hemsida följer lagen. Dessutom tror jag inte att varken USA eller Google kommer ge sig i att hålla kvar sina europeiska kunder, de kommer försöka hitta en lösning.
Vilka andra program finns (som är GDPR enliga)?
Det enda program som dykt upp i alla diskussioner i alla forum jag är med i för WordPress hemsidor är ett som heter Matomo.
Matomo är ett dataverktyg för att analysera besöksstatistik på webbplatser. De erbjuder en GDPR-vänlig och integritetsvänlig alternativ till Google Analytics och liknande verktyg. Med Matomo kan du få information om antalet besökare, deras aktiviteter på hemsidan, deras beteende och hur de hittade till dig. Det unika med Matomo är att du kan köra det på din egen server, vilket betyder att besöksdata inte skickas till någon tredje part. Du har full kontroll över datan och integriteten.
Oderland (webbhotell) har skrivit en väldigt bra artikel hur man kan installera Matomo till sin WordPress sida om man har ett Webbhotell som erbjuder Softaculous och cPanel.
Kortfattat
Du måste sluta använda Google Analytics om du har det idag, se över andra alternativ, t.ex. Matomo, när du ändå är i farten se även strategin kring statistik och analys, vad är syftet och målet med att samla in all statistik? Behöver du göra detta i panik? Nej inte om du är ett litet företag, IMY kommer ha ganska fullt upp att granska större bolagen till en början, men det är lika bra att börja fundera och tillämpa nytt analys program så snart du kan, eller ta in hjälp för det om du inte har tid, vilket man som företagare sällan har!
Källor:
Vilka är IMY – https://www.imy.se/om-oss/
Pressmeddelandet – https://www.imy.se/nyheter/bolag-maste-sluta-anvanda-google-analytics/
Matomo – https://matomo.org/
Guide installera Matomo – https://www.oderland.se/support/artikel/hur-installerar-jag-matomo/
