GDPR, DPF och lagligheten av Google Analytics
Har du en webbplats, har du säkert också funderat på hur folk använder den och hur många som besöker den dagligen. För att få reda på det behöver du någon sorts analytikverktyg. Ofta är valet av verktyg lätt, för det finns en tjänst som dominerar marknaden, nämligen Google Analytics. Det är svårt att tävla med Google; den är lätt att installera, gratis och ger en massa data som du inte kan få på andra sätt, t.ex. om användarnas demografi.
Google Analytics är bäst inom analytik just för den orsaken, att den är installerad på nästan alla webbplatser. Eftersom den följer alla användare från plats till plats, vet den var du bor, hur gammal du är, vad dina inkomster är och vad du tycker om att göra. Eller den ”vet” ju inte detta med säkerhet, men den gör en gissning som är så bra att den kan ge användbar data åt webbplatsägaren.
Google Analytics är gratis för att den utnyttjar uppgifterna den samlar in i sin huvudsakliga business, reklamer. Eftersom den vet vem du är, var du har varit, vad du är intresserad av och hur mycket pengar du har, så kan de sälja informationen vidare till annonsörer. Så i praktiken är det annonsörerna som betalar för din Google Analytics. Det är väldigt fördelaktigt för webbplatsens ägare, men inte nödvändigtvis lika bra för användaren.
GDPR och kakor
Här kommer GDPR (General Data Protection Regulation) in i bilden. GDPR är för det mesta en bra sak, men när man ska samla in analytik kan den bli väldigt jobbig. Den kräver att användaren tillåter att de insamlade uppgifterna skickas till Google, eller att hen går med på att ”använda kakor” (cookies), som det så ofta lite missvisande frågas på webbplatserna. Följer man lagen här och gör det lite lättare att neka än att ge tillstånd, så tenderar användarna att inte ge sitt godkännande. Till exempel när Apple införde ett system som bad tillstånd att följa användaren å apparnas vägnar, tillät bara cirka en fjärdedel av användarna apparna att följa dem.
DPF (Data Privacy Framework)
För tillfället är lagligheten av Google Analytics oklar. Den skickar personuppgifter utanför EU-området, vilket inte är tillåtet. Men den nya överenskommelsen mellan EU och USA, ”EU–U.S. Data Privacy Framework” (DPF), ger tillstånd åt företag att spara data i U.S.A., ifall företaget är godkänt i DPF. Vi kan anta att Google kommer att få detta godkännande.
I praktiken betyder DPF att ett amerikanskt företag som vill ansluta sig till ramverket måste självcertifiera sig på DPF-programmets hemsida. Självcertifierade företag kommer att läggas till DPF:s lista och för att få stå kvar på listan, måste certifieringen förnyas varje år. Det kommer också att finnas en offentlig lista över företag som strukits från listan, där också orsaken till borttagningen anges.
En europeisk organisation, som planerar att överföra personuppgifter till en amerikansk organisation, måste alltså försäkra sig om att den amerikanska organisationen är ansluten till Data Privacy Framework-ramverket och att företaget finns med på DPF-listan.
Matomo
Men Google är givetvis inte det enda alternativet för analytik. Det finns andra tjänster också, t.ex. Matomo. Matomo är en analytikmjukvara med öppen källkod som man kan köra på sin egen server, eller som molntjänst. På många sätt är det svårt för tjänster som Matomo att konkurrera med Google Analytics. En orsak är att de sällan kan erbjuda samma nivå av data som Google. Det finns inte heller ett gratis alternativ för Matomo, antingen kör du den på en egen server, som kostar pengar, eller använder någon av de befintiliga betalda hosting tjänsterna. I princip är den enda orsaken att använda Matomo den att man då har kontroll över sin data.
Ifall du valt att inte spara personlig information eller att följa användare genom t.ex. kakor mellan besöken till din webbplats, behöver du inte heller be om tillstånd för analytiken. Det finns inget i GDPR som säger att du måste störa dina användare med ännu ett popup-fönster, så varför inte sträva efter det?
Med hjälp av Matomo kan man t.ex. ställa in analytiken så att den låter bli att samla in personuppgifter, och endast sparar uppgifter om hur många besök sidan fått och vilka sidor som besökts. Med denna analytik kommer man ju redan långt – man kan mäta hur trafiken utvecklas och ser hurdant innehåll användarna intresserar sig för. I detta fall samlar man inte “kakor”, så man behöver inte heller visa pop ups föra att berätta om det.
Summa summarum, som webbplatsens ägare måste du göra ett val – vill du i fortsättningen tryggt göra personifierad marknadsföring över webben, behöver du sätta dig in i GDPR, DPF och kakor. Om du inte är intresserad av att rikta digital marknadsföring åt dina webbanvändare och har råd att satsa några euro extra, kan du välja ett verktyg som låter bli att samla in uppgifter som kunde tolkas som personuppgifter.
Låter det jobbigt? Ingen panik! Slå en signal, vi hjälper, oberoende hur du väljer!
Lue myös
ÄR NI I BEHOV AV EN LIKNANDE LÖSNING?
Ta kontakt
”*” anger obligatoriska fält