DigitaliseringGründer og startupsMarkedsføring og strategiTeknologi og utvikling

Dette må du vite om Google Analytics og GDPR

Dette må du vite om Google Analytics og GDPR

Den 25. mai 2018 trer GDPR-forordningen i kraft. Det nye lovverket gjelder for alle virksomheter som behandler personopplysninger om egne ansatte, kunder, brukere eller andre.

Hva er GDPR?

GDPR står for «General Data Protection Regulation» – og er EUs forordning for personvern. Det betyr at vi får nye regler for personvern – med et regelverk som gir virksomheter mange nye plikter, og enkeltpersoner/forbrukeres rettigheter styrkes.

GDPR er bygget rundt to hovedprinsipper:

  • Gi enkeltpersoner/forbrukere mer kontroll på egne personlige data
  • Forenkle regelverket for virksomheter med et enhetlig regelverk i EU

Det er viktig å huske på at GDPR vil gjelde for alle virksomheter som behandler personlige data om EU-borgere, noe som betyr at virksomheter utenfor EU som behandler personlige data om EU-borgere, også må følge GDPR.

Hvorfor GDPR?

Målet med GDPR er å beskytte alle EU-borgere fra personvern- og informasjonssikkerhetsbrudd i et stadig mer datadrevet samfunn.

Google Analytics og GDPR

Dersom du benytter Google Analytics på ditt nettsted / din virksomhet sitt nettsted, så er Google din databehandler. Du/Din virksomhet er da behandlingsansvarlig, siden du kontrollerer hvilke data som sendes til Google Analytics.

1. Hva sender du/din virksomhet av informasjon til Google Analytics?

Du må sørge for at du ikke samler inn personlig identifiserbar informasjon gjennom Google Analytics. Dette er heller ikke lov i følge «Google Analytics Terms of Service«.

Sikre derfor:

  • at adresser til sider, titler på sider etc. ikke inneholder personlig identifiserbar informasjon. Enkelte nettsteder overfører f.eks. e-postadresse og andre personlige data via variabler i URL (https://www.abcdef.no/bruker/brukerprofil.html?epost=roger.andersen@blabla.no)
  • at data som brukerne sender via skjema på nett, ikke inneholder personlig identifiserbar informasjon

Det å filtrere ut personlig identifiserbar informasjon i Google Analytics er ikke godt nok, da dataene allerede er blitt lagret. Oppgaven vil være å sikre at slik informasjon  i utgangspunktet ikke oversendes Google Analytics.

2. Anonymisering av IP-adresser

IP-adresse blir sett på som personlig identifiserbar informasjon (i GDPR). I Google Analytics må du da aktivere anonymisering av IP-adresser under innstillinger. Dersom din virksomhet benytter Google Tag Manager, så må du endre dette under innstillinger på riktig «Tag» (sette anonymizeIp til true).

3. Oppdater personvernerklæringen til din virksomhet

Personvernerklæringen må skrives på en måte som er klar, forståelig og kortfattet.
Overfor brukerne/kundene/de besøkende («de registrerte»), så skal din virksomhet beskrive dette på en enkel måte:

  • Hvilken informasjon virksomheten samler inn
  • Hvordan samles informasjonen inn
  • Hvorfor har virksomheten behov for disse dataene
  • Hvordan vil denne informasjonen bli brukt videre
  • Hvem vil ha tilgang til informasjonen
  • Hvor lenge vil informasjonen oppbevares
  • Kontaktdetaljer til den behandlingsansvarlige virksomheten
  • Kontaktdetaljer til et eventuelt personvernombud

4. Opt-In / Opt-Out

Dersom du har et standard oppsett av Google Analytics, så vil det ikke være nødvendig å innhente et samtykke for sporing (anonymisering av IP-adresser bør aktiveres). Google Analytics samler mye data fra hvert besøk, men lagrer ingen personlig identifiserbar informasjon ved et standard oppsett. En besøkendes IP-adresse (blir sett på som personlig data i GDPR), men selve IP-adressen er ikke data som kan nås via Google Analytics. Alle dataene i Google Analytics er aggregerte og anonymiserte, men som forklart i punkt 1, så bør man vite hva nettstedet sender over av data til Google Analytics.

Ansattnett.no / Per-Espen Kindblad

Nettkurs i GDPR
Nettkurs i GDPR