Feb.
07
2013

Er Google Analytics ulovlig i Danmark?

Artikel,Analytics,
8 kommentarer
.

I sidste halvår af 2012 cirkulerede der en del historier i pressen, som alle var præget af dårlig research. Lige fra historien om, at Google Analytics måske er ulovligt, til en artikel i JP om, at cookies er "små IT-programmer". Se en god opsummering hos IIH Nordic.

Den slags får jeg virkelig knopper af, så jeg satte mig for noget tid siden ned og researchede (læs: Googlede) på, hvad der egentligt er lovligt. Denne artikel er en opsummering af hvad jeg fik gravet frem.

Og så den sædvanlige disclaimer: Jeg er ikke jurist eller jurauddannet, så jeg kan sagtens være helt forkert på den. Det jeg skriver, er hvad jeg var istand til at Google mig frem til på en 3-4 timer. Jeg opfordrer dig til at drage dine egne konklusioner også.

Hvad er en IP-adresse

Alt udstyr, der er koblet på internettet, har en såkaldt IP-adresse. Det er lige fra din bærbare PC, til din mobiltelefon, tablet, eller cola automaten med indbygget webcam. Man kan lidt sammenligne det med et telefonnummer, og det er dette "nummer" alle maskinerne på nettet bruger til at kommunikere med hinanden.

Hvad er en cookie

Nej JP, en cookie er ikke "et lille IT-program". Det er en ganske simpel tekstfil på din computer, hvor et website kan gemme lidt informationer til næste gang, du besøger sitet. Tit og ofte er der gemt et unikt ID på dig, som er et tilfældigt genereret nummer, websitet kan slå dig op på.

Personoplysninger i følge persondataloven

Rent teknisk kan en IP-adresse ikke nødvendigvis bruges til at identificere en specifik person, ihvert fald ikke uden at du går til de forskellige internetudbydere med en dommerkendelse. Det samme gælder de fleste tracking cookies, der som nævnt bare indeholder et tilfældigt nummer.

I resten af denne artikel vil jeg derfor behandle cookies og IP-adresser som værende det samme. Og i første omgang helt holde cookie-lovgivningen ude af billedet.

Så hvad er problemet?

Lad os lige starte med at få påhæftet de korrekte labels på sådanne informationer. Datatilsynet arbejder med disse to kategorier (se punkt 6):

  • Personoplysninger
    Så som dit navn og adresse. Oplysninger, der for de flestes vedkommende, er offentligt tilgængelige.
  • Følsomme personoplysninger
    Så som CPR-nummer og bankkontonummer. Oplysninger, der kræver særskilt tilladelse at registrere og gemme.

Der er således ikke noget, der hedder "personlige oplysninger", hvilket er den betegnelse de fleste dårligt researchede artikler har brugt. Det er ihvert fald ikke en betegnelse der kan bruges, når man vil vurdere om Google Analytics er lovlig eller ej.

Det store spørgsmål er så, hvilken af disse to kategorier IP-adresser og cookies falder ind under. Eller om det bare er "tilfældige, anonyme informationer", som ikke falder ind under persondataloven.

Her bliver det tricky. Det danske Datatilsyn har ikke rigtigt taget stilling til dette endnu. Men graver man dybt i EU-lovgivningen, dukker følgende fodnote op på side 10 i en PDF-fil:

"I sin udtalelse nr. 1/2008 om databeskyttelsesproblemer i forbindelse med søgemaskiner, som blev vedtaget den 4. april 2008, bekræfter Artikel 29-Gruppen, at cookies og IP-adresser i de fleste tilfælde skal betragtes
som personoplysninger."
Udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet

Jeg vil ikke lige citere de mere tekniske detaljer, men i korte træk anerkendes det, at en IP-adresse i sig selv ikke er en personoplysning. Men når man begynder at registrere flere "hits" fra den samme IP-adresse, så kan man langsomt opbygge en personprofil, der i ekstreme tilfælde kan identificere unikke personer.

Derfor betragter EU en IP-adresse som en personoplysning, på højde med dit navn og din adresse. Og i flere tilfælde er jeg faldet over, at cookies vurderes på samme måde.

Find sølvpapirshatten frem

At et website i sig selv registrerer personoplysninger er ikke noget problem. Men når disse oplysninger udleveres til en 3. part uden brugerens viden, så begynder det at blive problematisk.

Persondataloven siger, at personoplysninger ikke må udleveres til 3. land uden personens godkendelse. Et "3. land" defineres her, som et land uden for EU, og dette falder Google Analytics under, da Google hører hjemme i USA.

Set med de øjne, så er Google Analytics faktisk ulovligt.

Problemet er så bare, at i kraft af "Safe Harbor"-ordningen anno 2012, er USA i praksis nu også betragtet som et ikke-tredjeland. Og derved må et dansk website godt "udlevere" personoplysninger til et amerikansk firma, uden at orientere brugeren om det.

Så nej, Google Analytics er ikke ulovligt. Men derfor kan du godt finde sølvpapirshatten frem alligevel, og få paranoia over at disse oplysninger kvit & frit må udleveres til USA, hvor vi på ingen måde har kontrol over om de bliver misbrugt!

Hvad byder fremtiden på?

Endnu værre bliver det, når den nye Google Analytics kaldet Universal Analytics bliver rullet ud i 2013. Her vil oplysningerne ikke længere blive gemt i cookies på brugerens lokale PC, men blive registreret server-side hos Google. Og ikke nok med det, oplysningerne vil også kunne kædes endnu tættere sammen med virksomhedernes egne CRM-oplysninger, uden at brugeren bliver informeret om hvad der samkøres af oplysninger.

Har du ikke allerede sølvpapirshatten fremme nu, så kan du godt gå i gang med at støve den af.

Godt nok vil Universal Analytics give os nogle helt unikke og fantastiske muligheder for at analysere på brugernes adfærd og hvad vores online marketingbudget bliver brugt på, men det indeholder også nogle vilde privacy issues, som ingen rigtigt har taget stilling til endnu.

Hvad så med cookie loven?

Den frygtede og berygtede cookie lov specificerer, at alle EU websites skal oplyse om hvilke cookies de sætter på brugerens PC, og give mulighed for brugeren for at fravælge disse.

Men problemet her er, at det er op til selve websitet at gøre dette. Det er således ikke Google's problem, hvis dit website ikke følger cookie loven.

I England har de i skrivende stund oven i købet opgivet at implementere loven til fulde, og går efter at man bare skal informere om hvilke cookies et website sætter, og hvad oplysningerne i dem bruges til. Noget du i princippet bør gøre uanset hvad loven siger. Der er dog ingen rygter (endnu), om vi vil se en lignende opblødning af loven i Danmark, eller om England får lov af EU til deres holdning.

Konklusion

Som jeg nævner i disclaimeren i starten, så er jeg på ingen måder jurist på området. Jeg vil endda ikke engang kalde mig selv ekspert.

Men ingen steder har jeg kunnet grave noget frem, der indikerer at Google Analytics skulle være ulovligt at bruge. Altså, så længe du ikke tager cookie loven seriøst, men det er en anden historie.

Så nej, spørger du mig, så er Google Analytics er ikke ulovlig i Danmark!

UPDATE: Sjovt, netop som jeg trykkede publish til denne blog post kom det frem, at Norge nu er kommet frem til konklusionen, at Google Analytics ikke er ulovligt hos dem.

 En fornøjelse at læse dit indlæg! Det giver jo lige det overblik, som mange savner i den her sag.
Ann , den 7. februar 2013 13:23:00
.
 God, objektiv og saglig artikel. Norge har kun taget stilling til selve IP delen indtil videre og ikke cookies. Det bliver interessant at se hvad dtn nye EU cookie direktiv bringer med sig.

Ulrik sandholt , den 7. februar 2013 21:46:25
.
 Der er een ting du har overset i lovgivningen, og det er, at når persondata udleveres til tredjepart, så skal der være en skriftlig aftale, der sikrer at databehandleren (tredjepart) kun handler efter instruks fra den dataansvarlige (websiteejeren). Google Analytics tilbydes ikke med en sådan skriftlig aftale, og derfor er det ulovligt at bruge. I øvrigt har Datatilsynet i Danmark erklæret IP adresser for personhenførbare (se deres Årsberetning 2005, s70). Og endeligt så har det norske Datatilsyn kun accepteret brugen af GA i to specifikke virksomheder efter at Google sendte skriftlig garanti. Alle websiteejere med GA er stadig forpligtede til at få en lignende garanti fra Google. Så længe GA anvendes uden er det ulovligt.
Anders , den 13. marts 2013 03:48:16
.
 @Anders: Fantastisk, dejligt med flere detaljer :-)

Har du en reference til, hvor det der med den skriftlige aftale står henne? Synes ikke lige jeg er faldet over noget lignende.
Søren Sprogø , den 13. marts 2013 09:23:57
.
 Kravet om skriftlig aftale med en databehandler/tredjepart er anført i Persondatalovens paragraf 42.
Anders , den 13. marts 2013 16:17:50
.
.
 
Om mig
Jeg er en pragmatisk midtjyde med mere end 25 års erfaring i IT-branchen, de sidste 16 med alt inden for eCommerce.

Se hvad jeg kan gøre for dig
Eller se min referenceliste
 
Nyhedsbrev
Få besked per mail, når der er nye posts her på bloggen
 
Tilmeld nyhedsbrev
 
Samtidigt får du en mail med de bedste indlæg, så du ikke behøver at vente på guldkorn.
 
Få det som RSS feed     RSS feed
Få også kommentarer, sitemap
Kategorier
 
Søg
Rapporten over alle rapporter anno 2012, vinder af SEMaward 2012
 
Rapporten over alle rapporter anno 2012, vinder af SEMaward 2012
 
GA tricks: Skaffer mine kampagner nye eller gamle kunder? vinder af SEMaward 2011
 
Google Analytics rapporten over alle rapporter, vinder af SEMaward 2010
Afdeling 18 Søren Sprogø E-commerce Guru work Nyvangen 28 8600 Silkeborg Danmark work 26727404 56.165787 9.537120 Søren Sprogø Cookies