Realtid

Google Analytics är väldigt olagligt: “Ingen överraskning”

Joakim Söderberg, datajurist och Karl Emil Nikka, it-säkerhetsexpert.
Joakim Söderberg, datajurist och Karl Emil Nikka, it-säkerhetsexpert.
Anders Frick
Uppdaterad: 03 juli 2023Publicerad: 03 juli 2023

Att fyra bolag nu fälls av Integritetsskyddsmyndigheten är ingen överraskning för datajuristen Joakim Söderberg och it-säkerhetsexperten Karl Emil Nikka. Snarare överraskar det dem att så många internetverksamma bolag fortfarande inte har bytt ut statistikverktyget Google Analytics.

ANNONS
ANNONS

Mest läst i kategorin

Tele2, Dagens Industri, CDON och Coop fälls nu av Integritetsskyddsmyndigheten för att ha överfört personuppgifter till USA i strid mot dataskyddsförordningen – med hjälp av statistikverktyget Google Analytics.

– Google Analytics körs på var och varannan webbplats i Sverige. Att det är oförenligt med GDPR är egentligen inga nyheter. Det har vi redan fått besked på från IMY:s motsvarigheter i andra EU-länder. Men nu ökar pressen på att snabbt byta ut Google Analytics. Nu handlar det ju inte bara om risk för att tappa kundförtroende utan även risk för sanktionsavgifter. IMY skriver till och med att deras beslut är vägledande för andra organisationer, säger Karl Emil Nikka, it-säkerhetsspecialist på Nikka Systems.

Hans branschkollega Joakim Söderberg, GDPR-expert och datajurist, håller med.

– Konsekvensen av IMY:s beslut är att det nu är bekräftat att Google Analytics är olagligt också i Sverige. Det är ingen överraskning, bland annat eftersom datainsamlingen från Google Analytics inte bara skickas över till ett tredjeland utan sannolikt även meranvänds av Google i olika former. Informationen stannar alltså inte enbart hos den som samlar in den. Det finns ju en anledning till att Google Analytics är och gratis, säger Joakim Söderberg.

Samtidigt som IMY:s beslut möjligen skapar en oro bland alla de tusentals företag som använder Google Analytics så är det även ögonöppnare för alla som slentrianmässigt samlar in data på sina webbplatser, det menar Joakim Söderberg.

– Beslutet innebär att man måste tänka igenom vilka mätdata som man faktiskt behöver och inte. Den gamla versionen av Googles verktyg, den som folk gillade, den håller nu på att fasa ut och bytas till GA4, och eftersom man som sajtägare ändå måste byta ut gamla Google Analytics så är det ett bra tillfälle att helt och hållet byta verktyg, säger Joakim Söderberg.

Karl Emil Nikka är inne på samma spår och menar att ett verktygsbyte bör ske så snart som möjligt.

– Det bästa tillfället att byta var när Schrems II-domen föll sommaren 2020. Det näst bästa tillfället är nu, säger Karl Emil Nikka.

ANNONS

Du föreslår verktyget Matomo som alternativ till Google Analytics – varför det?
– Matomo är det närmsta du kommer en rak ersättare till Google Analytics. Matomo är en servermjukvara med öppen källkod som organisationen kan drifta själv eller köpa som tjänst av en GDPR-förenlig molntjänstleverantör. Det finns till och med webbhotell som erbjuder Matomo till sina privatkunder.  Med Matomo överför organisationen aldrig insamlade personuppgifter till land utan adekvat dataskydd. Detta gäller självfallet under förutsättning att Matomo-instansen driftas av en GDPR-förenlig molntjänstleverantör. Matomo är dessutom kostnadseffektivt. Själva Matomo-grunden är till och med gratis, säger Karl Emil Nikka.

Han förklarar att IMY:s beslut även får ringar på vattnet, då USA:s lagstiftning begränsar de amerikanska bolagens möjligheter att hantera EU-medborgares personuppgifter inte är isolerat till Google Analytics.

– Schrems II-domen påverkar alla amerikanska molntjänster som hanterar EU-medborgares personuppgifter. Och med amerikanska menar jag specifikt USA-baserade. Kanada erbjuder fortfarande adekvat dataskydd, säger Karl Emil Nikka.

– Google Analytics är bara ett av problemen, för det finns även många andra trackers som man kanske inte är medveten om, även om alla kanske inte är lika invasiva. Facebook Pixel är en, och den är lika olaglig som Google Analytics. IMY:s beslut handlar visserligen om en specifik tjänst, men andra tjänster har likartade problem som också innebär motsvarande övertramp av GDPR, säger Joakim Söderberg.

Läs mer från Realtid - vårt nyhetsbrev är kostnadsfritt:
ANNONS