Afgørelsen fra Datatilsynet, om at gøre Google Analytics og andre trackingsystemer ikke overholder GDPR, har efterladt mange i tvivl om, hvordan de skal overholde EU's generelle databeskyttelsesforordning.
Forordningen, som fortolket i "Schrems II"-sagen, fastsætter, at enhver hjemmeside, der anvender Google Analytics, skal sikre, at fulde eller afkortede IP-adresser ikke sendes udenfor EU. Google Analytics er imidlertid et vigtigt redskab for mange til at forstå, hvordan de besøgende interagerer med hjemmesiden.
Som følge heraf kæmper mange virksomheder for at finde en måde at overholde Datatilsynets afgørelse på, uden at ofre den værdifulde indsigt, som Google Analytics giver.
Det er endnu uvist, hvordan denne situation i sidste ende vil blive løst, men det er klart, at Datatilsynets afgørelse kan skabe en betydelig udfordring for virksomheder, der opererer i Danmark.
På trods af Datatilsynets afgørelse, er det ikke et decideret forbud mod brugen af Google Analytics i Danmmark. Afgørelsen kan dog være et forvarsel om mere vidtrækkende tiltag fra Datatilsynets side i fremtiden. Hvis tredjepartsværktøjer overfører personoplysninger til USA, kan de tiltrække sig opmærksomhed.
Hver gang en bruger indlæser en hjemmeside, indlæses der også scripts fra tredjepart, som etablerer en forbindelse mellem slutbrugerens browser og tredjepartsserveren. I denne kommunikation afsløres den besøgendes IP-adresse også for tredjepartsserveren.
Herefter kan IP'en bruges til at spore brugernes online aktiviteter og opbygge en profil af brugerens interesser og vaner.
Som følge af dommen bør virksomheder, der bruger Google Analytics eller andre tredjepartsværktøjer, overveje nogle forskellige løsninger.
En mulig løsning kan være helt at deaktivere brugen af trackingsystemer, men det er næppe en holdbar løsning, da det betyder ingen data. En anden mulighed er at bruge et andet system end f.eks. Google Analytics, som ikke sender dataen ud af EU. Det kan være Matomo eller lignende.
Zaraz giver dog en helt tredje mulighed. Zaraz er designet til at hjælpe med at overholde EU's generelle forordning om databeskyttelse (GDPR). Zaraz giver mulighed for at indsamle anonymiserede data om, hvordan brugerne interagerer med en hjemmeside, uden at indsamle nogen personligt identificerbare oplysninger.
Det betyder, at det stadig er muligt at bruge værktøjer som Google Analytics til at indsamle nyttige data, men uden at give køb på brugernes privatliv.
Efterhånden som flere og flere virksomheder bruger tredjepartsværktøjer til at drive deres hjemmesider og applikationer, er der opstået en stigende bekymring for privatlivets fred og sikkerheden. Hvis værktøjerne ikke forvaltes korrekt, kan de afsløre følsomme oplysninger, gøre sideindlæsningen langsommere og skabe andre sikkerhedsrisici.
Zaraz hjælper med at holde dataen sikre og indlæsningen af hjemmeisder hurtig. Zaraz indlæser værktøjer fra tredjeparter ved hjælp af Cloudflare Workers. Dette giver et ekstra lag af sikkerhed og kontrol over personlige identificerbare oplysninger (PII), beskyttede sundhedsoplysninger (PHI) eller andre følsomme oplysninger, som ofte utilsigtet videregives til tredjepartsleverandører.
Den traditionelle måde at indlæse tredjepartsværktøjer på, enten via en Tag Management Software (TMS), en Customer Data Platform (CDP) eller ved at inkludere JavaScript-snippets direkte i HTML-koden. Her sender browseren altid forespørgsler til tredjepartsdomænet. Det er problematisk af en række årsager, men primært fordi man ikke kan skjule brugerens IP-adresse, selv om man ville.
Den afsløres ved hver HTTP-forespørgsel.
Det er også problematisk, fordi værktøjerne eksekverer eksterne JavaScript-ressourcer, og du har næsten ingen indsigt i de handlinger, de foretager i browseren, eller de data, de overfører. Selv hvis du har tillid til tredjepartsudbyderen, er der ingen garanti for, at deres servere er sikre, eller at deres kode er fri for sårbarheder. Det giver også en sikkerhedsrisiko.
Selvom du måske ikke er klar over det, er vores IP-adresse ligesom et digitalt fingeraftryk. Den kan bruges til at spore onlineaktivitet og endda afsløre brugerens fysiske placering. Derfor er det vigtigt at være opmærksom på, hvordan din IP-adresse bliver brugt og delt. Når en bruger besøger en hjemmeside med Google Analytics, vil der blive downloadet en fil kaldet analytics.js fra Google Analytics. Denne fil indeholder brugerens IP-adresse samt andre personlige oplysninger som f.eks. vores Google Client ID.
Oplysningerne sendes derefter til Google i en HTTP POST-forespørgsel. Selvom dataen er anonymiserede, kan den stadig bruges til at spore onlineaktivitet. Da vi i stigende grad deler flere og flere af vores personlige data online, er det vigtigt at være opmærksom på, hvordan de bruges og deles. Ved at forstå, hvordan vores IP-adresse bruges, kan vi bedre beskytte privatlivet online.
I sammenligning med andre dataindlæsningsværktøjer tilbyder Zaraz et højere beskyttelsesniveau for brugerdata. Når Zaraz bruges til at indlæse Google Analytics, er der ingen kommunikation mellem browseren og Googles slutpunkt. I stedet fungerer Zaraz som mellemled, og hele kommunikationen foregår mellem Zaraz og tredjeparten. Det ekstra lag af beskyttelse giver mulighed for at inkludere nogle effektive funktioner til beskyttelse af personlige oplysninger.
For eksempel giver Zaraz kunderne mulighed for at beslutte, om slutbrugerens IP-adresse skal overføres til Google Analytics eller ej. Så enkelt er det.
Anders Larsen, SEO Specialist