Den digitale utviklingen har gått kjemperaskt og endrer samfunnet kontinuerlig, men i forhold til personvern har vi enda ikke klart å henge med. Personvern er viktig og blir tatt på alvor i Europa.
Personvern er en fundamental menneskerett og en forutsetning for fungerende demokratier. Historien har lært oss hvordan stater kan misbruke informasjon om enkeltindivider. Derfor er også overføring av data mellom land en viktig del av det europeiske personvernregelverket - GDPR.
Problemene med Google Analytics
De fleste virksomheter og organisasjoner i Norge har en webside, og analyser av brukerne er viktige for å måle fremdrift og ta beslutninger. 80% av norske virksomheter bruker Google Analytics til dette og vi i the North Alliance har selv hjulpet mange bedrifter med å få dette på plass. Det østeriske datatilsynet konkluderte i vinter at data registrert i en vanlig Google Analytics instans kunne knyttes til identifiserte personer og at overføring av disse dataene til Google i USA derfor var ulovlig. Les dommen på denne linken her.
Det andre problemet er at Google Analytics baserer seg på informasjon fra såkalte cookies. Mange teknologileverandører har hatt en god og proaktiv holdning til personvern og ofte ligget foran lovgivningen på dette. Selskaper som Microsoft og Apple har de siste årene satt store begrensinger på hvilke persondata verktøyene deres overfører, særlig gjennom cookies. Microsoft Edge og Apples Safari, som er de to mest populære nettleserne etter Google Chrome, har begge strammet inn på at personidentifiserbar informasjon overføres til det man kaller 3. Parter. Dette påvirker Google Analytics. Samtidig har det kommet teknologi som ytterligere begrenser hva som sendes, slik som VPN for privatpersoner, adblockers og anonyme nettlesere som Brave.
Dataoverføring utenfor GDPRs virkeområde - eksplisitt brudd på GDPR
Det personvernmessige problemet til Google Analytics er at summen av den informasjonen de samler inn gjør det mulig med stor nøyaktighet å identifisere hvilken person det er snakk om, da blir det personopplysninger. Og siden amerikanske sikkerhetsmyndigheter har rett til innsyn i amerikanske data, uansett hvem datasubjektet er, strider det mot GDPR.
GDPR stiller krav til at personidentifiserbare data ikke overføres til USA, men lagres innenfor EU eller andre land som er innenfor Privacy Shield som Australia og New Zealand. Tidligere ordninger som Safe Harbour og Privacy Shield har ikke gitt god nok sikring mot dette, og siden Google lagrer dataene i USA er de nødt til å følge amerikansk lovgivning.
Med bakgrunn i dette har det østeriske datatilsynet sagt at Google Analytics er ulovlig etter en klage fra gruppen til Max Schrems (None Of Your Business”, https://noyb.eu/en. Denne gruppen har levert inn over 100 klager på databehandling de mener strider mot GDPR og på tverrs i Europa behandles det nå mange tusen klager.
Det franske datatilsynet har kommet til samme konklusjon i en lignende sak. Tolkningen av det østeriske datatilsynets avgjørelse skjer nå i de europeiske datatilsynene, inklusiv det norske. Det er flere aspekter med denne som er uavklart, blant annet om man kan innhente et eksplisitt og informert samtykke av brukerne som tillater det. Dette samtykket vil måtte være så tydelig at det neppe er mange som vil godta det og det finnes bedre måter å løse dette problemet på.
Cookie-døden og sporing
Google Analytics er et av flere verktøy som baserer seg på data fra cookies. Cookies er problematiske:
- For det første blir mange cookies aldri fanget opp i det hele tatt, for eksempel når folk bruker annonseblokkere, anonyme browsere og andre verktøy for å blokkere dem.
- For det andre har de upålitelig holdbarhet. Cookies kan forsvinne på vilkårlige tidspunkter siden de utløper eller slettes manuelt av brukeren.
- For det tredje er cookies enhetsspesifikke, og de fungerer ikke bra på mobil – spesielt apper og mange browsere har strenge restriksjoner på hvilke cookies de sender, selv i public mode.
Problemet har blitt gradvis større og er i dag kritisk. Hvis man sammenligner variabler som antall brukere mellom web rapporteringen og loggene fra serverne som distribuerer web sidene er det ikke uvanlig med avvik mellom 40 og 60%.
Konsekvensene av å bruke cookies som grunnlag for måling er at man ikke får gode data. Bransjen har akseptert at cookies oppfyller minimumskravet til måling over lang tid, men problemet har blitt gradvis større og er i dag kritiskt.
Utviklingen går mot å bruke førstepartsdata fra den tekniske infrastrukturen, uten å bruke cookies. Dette gjelder spesielt i digital markedsføring, men også like mye for å måle inngående trafikk og markedsføringseffektivitet. Et økende antall markedsførere har vært på jakt etter mer meningsfulle og komplette måleløsninger som gir bedre faktisk innsikt.
Alternativer for å få god rapportering og opprettholde personvernet
En analyseplattform bør være basert på riktige data, skal leve i flere år, og være grunnlaget for å ta gode beslutninger, ikke åpne opp for brudd på GDPR og gi andre stater tilgang til informasjon om kunder. Innsikt i kundenes opplevelser og hvor godt man gjør det, er for viktig til å ta lett på. De to første alternativene er løsninger hvis man ønsker å fortsette med webrapportering som nå.
- Anonymiser dataene. Det finnes flere ulike tjenester som legger et mellomlag mellom Google Analytics og anonymiserer dataene, mens de videresender viktige data. Dette løser ikke det grunnleggende problemet med manglende data fra cookies.
- Erstatt Google Analytics med et likeverdig verktøy som samler data serverside. Det finnes en rekke alternative verktøy for webrapportering og flere av disse samler også inn data serverside for å få et riktigere bilde av kunden.
De siste alternativene er hvis man vil gå dypere inn i analysene eller hvis man vil få en effektivt rigg for datadrevet markedsføring og personalisering.
- Gå dypere med mer avanserte innsiktsverktøy. Det finnes en rekke verktøy for webrapportering som går dypere, forenkler AB testing og bruker smarte metoder for å se brukertrender, samtidig som de samler data både på cookienivå og serverside
- Bli smartere med egne data. Ved å kombinere analytiske verktøy og å sentralisere brukerdata, for eksempel gjennom en kundedataplattform, får man kontroll på dataene om kundene og kan bruke de til avansert digital markedsføring og personalisering av brukeropplevelsen på tvers av kanaler. Og man får økt kontroll på dataene - noe som forenkler etterlevelsen av GDPR vesentlig. Personvern er grunn nr 1 til at mange bedrifter investerer i en kundedataplattform.
Løsningene beskrevet ovenfor begynner å fremstå som beste praksis i det nordiske markedet. De kan bli brukt for en pekepinn på bevisst innhenting av brukerdata som garanterer at behandlingen er i henhold til GDPR. Prosessmessig anbefaler vi å få klarhet om hvilke brukerdata som samles inn fra web-sider, apper og i markedsføringskanalene. Vurder deretter hvilke av disse dataene som er knyttet opp til personidentifiserbare variabler, inkludert IP adresse.
Samtidig bør det vurderes hvordan man ønsker å bruke disse dataene. Ønsker man å få bedre innsikt og forståelse av kundene? Ønsker man å bruke data til personalisering og datadrevet kommunikasjon? Da er dette riktig tid for å gjøre de rette valgene.
Hva med nettsteder basert på innlogging?
Identitetsbaserte nettsteder, som aviser og andre digitale plattformer basert på innlogging, er unikt posisjonert for å klare seg uten cookies, eller til og med dra nytte av det. For mange vil dette kunne danne et mye rikere datagrunnlag enn man ellers ville fått. Men de fleste websteder vil fortsette å være designet med en stor åpen del som ikke krever innlogging, så en stor del av innholdet og bruk vil skje uten innloggingsdata. Derfor blir dette spesielle tilfeller.
Fokuser på dette nå og gjør det skikkelig
Mange store organisasjoner legger nå planer for å få personvernmessig datainnsamling og nettstedsmålinger, blant disse mange av våre kunder i the North Alliance. Markedsføring, kundeservice og salgsfunksjoner er blant de delene av organisasjonen som er mest eksponert for kundedata og vil derfor fort komme i skuddlinjen ved eventuelle saker.
Brudd på GDPR kan gi store bøter, men først og fremst bryter man kundenes personvern og tiltro til hva man gjør med dataene. Brudd på GDPR og kundenes tillit kan få store konsekvenser økonomisk og omdømmemessig. Vi må ligge på den trygge siden av personvernet og dette er ikke i veien for å sikre både god innsikt og gode datadrevne digitale opplevelser.
