Ekstremt populært Google-værktøj er ikke længere tilladt i standard-indstilling - millioner af danske websider ramt

I årevis har det været standardløsningen, hvis en hjemmeside gerne ville holde øje med antal besøgende, eller en webshop ville lave avanceret måling af salget.

Men nu bliver det gratis værktøj Google Analytics sendt i den juridiske skammekrog. Det lever ikke op til de europæiske GDPR-regler, uden man tilføjer en ekstra beskyttelse af data, har Datatilsynet netop meldt ud. Dermed følger de danske myndigheder efter en række andre europæiske lande, som er nået frem til samme konklusion.

»Det er et meget bredt anvendt værktøj, så vi fandt det nødvendigt med en konkret vejledning. Og bruger man Google Analytics, skal man kigge på opsætningen. Hvis den er, som Google tilbyder den, ser det ikke ud til at være inden for rammerne af reglerne,« siger Makar Juhl Holst, chefkonsulent i Datatilsynet.

Google Analytics er et værktøj, som bliver bygget ind i en hjemmeside og holder øje med de besøgende. Det har siden 2005 været gratis at bruge og bliver af samme grund brugt på millioner af danske hjemmesider. Ejeren af hjemmesiden kan så i detaljer følge med i besøgstallene, men også koble værktøjet til andre systemer eller afviklingen af reklamekampagner. På den måde kan Google Analytics for eksempel meget præcist vise, om en reklame fører til nok ekstra salg til at kunne betale sig.

Problemet – set med GDPR-øjne – er at disse data bliver sendt videre til Googles computere i USA, altså uden for EU. Og fordi Google med tilpas mange data kan koble et besøg til bestemte personer, skal disse data beskyttes efter EU’s dataregler. Allerede i sommeren 2020 afgjorde EU-Domstolen, at USA ikke var et sikkert sted at sende persondata hen.

»EU-Domstolen fandt, at lovgivningen, der regulerer USA’s efterretningstjenesters adgang til oplysninger, ikke lever op til grundlæggende, europæiske lovregler. Der er blandt andet ikke den nødvendige domstolskontrol med adgangen, hvis ens rettigheder bliver krænket,« forklarer Makar Juhl Holst om den dom, der fik navnet Schrems II.

Siden har der hersket stor forvirring omkring de mange tjenester, som sender data til USA, for eksempel en del af Googles værktøjer. Det har også for nyligt ført til et forbud mod at bruge Google Workspace i Helsingør Kommunes skoler.

»Fordi der var en uklarhed omkring tjenester, der overfører data til USA, har vi mærket en efterspørgsel i Danmark efter, hvordan man skal forholde sig. Og hvis man bruger Google Analytics under de forudsætninger, som vi har set på, så er det nok ikke lovligt i sin nuværende form,« siger Makar Juhl Holst.

Løsningen på problemet er, at man skyder et ekstra lag ind, så alle data i første omgang havner på en server - en computer - man har kontrol over. Derfra kan man så sende data videre til Google, og sortere nogle af dem fra.

»Så kan man selv indstille, hvilke data, der bliver sendt videre. Det skal være sat op, så det er mindst muligt data,« siger Makar Juhl Holst.

Er man blandt de mange, mange tusind danske virksomheder, som lige nu bruger Google Analytics uden den tilpasning, skal man i gang med en plan for, hvordan man gør det lovligt, lyder hans råd.

Datatilsynet har dog ingen planer om selv at føre tilsyn på netop dette felt, i hvert fald ikke i år, siger chefkonsulenten.

»Men vi er ikke herre over, om andre mener, at deres rettigheder bliver krænket. De vil altid kunne klage til Datatilsynet, og så ser vi på, om det er en sag, vi skal behandle,« siger Makar Juhl Holst.