Är Google Analytics GDPR compliant?

Tomas Persson
2018-09-03

Om man kikar på GDPR så finns det 8 punkter vi behöver förhålla oss till rent generellt:

1. Rätten att bli informerad

Rätten att bli informerad handlar om din skyldighet att tillhandahålla "rättvis bearbetningsinformation", vanligen genom ett privacy meddelande. Det betonar behovet av insyn i hur du använder personuppgifter.

2. Rätten till åtkomst

Individer har rätt att få tillgång till den data och personuppgifter som finns lagrade om dem.

3. Rätten till rättelse

GDPR ger enskilda individer rätt att få personuppgifter korrigerade. Personuppgifter skall därför kunna ändras om de är felaktiga eller ofullständiga.

4. Rätten att bli bortglömd

Denna rättighet handlar om att en individ kan begära att personuppgifter raderas eller tas bort där det inte finns någon tvingande orsak till dess fortsatta behandling. Undantag finn tex för myndigheter.

5. Rätten att begränsa bearbetningen

Individer har rätt att "blockera" eller begränsa behandling av deras lagrade personuppgifter. Denna kommer att bli väldigt svårt att bedöma är min gissning.

6. Rätten till dataöverföring

Rätten till dataöverföring tillåter individer att begära ut och återanvända sina personuppgifter för sina egna ändamål som tex i en annan tjänst.

7. Rätten att invända

Individer har rätt att invända mot: bearbetning baserat på legitima intressen eller utförandet av en uppgift i allmänhetens intresse / utövande av offentlig myndighet (inklusive profilering).

8. Rättigheter i relation till automatiserad beslutsfattande och profilering.

GDPR ger skydd för enskilda personer mot risken att ett potentiellt skadligt beslut fattas utan mänsklig intervention. Identifiera om någon av dina bearbetningsoperationer utgör automatiserad beslutsfattande och överväga om du behöver uppdatera dina procedurer för att hantera kraven i GDPR.

Huvudutmaningen med webbanalys och GDPR

I teorin finns inga problem så länge du inte lagrar personliga data. Då faller i princip allt punkter ovan bort.

Så vad är då problemet med Google Analytics?

Du skickar data om alla besökare till Google

En del av denna data är den IP-adress som användaren kommer ifrån. Just IP adresser kan ibland vara personuppgifter och skall därför behandlas som en. Nu har Google släppt funktioner som möjliggör maskning av IP adresser i gränssnittet men i praktiken är uppgiften redan röjd så snart ett anrop görs.

IP adresser hamnar i webbservrar, databaser och brandväggar hos Google behöver. Det betyder att även om du inte ser adressen i gränssnittet så finns den i loggar etc.

All data lagras dessutom utanför EU så det blir ytterligare problem med att följa lagen.

Du kan inte garantera huruvida s.k profiling sker

Att Google sedan länga erbjudit "gratis" tjänster som Gmail, Google Analytics etc kan man bara göra eftersom den data man samlar in om användarna används till att i huvudsak sälja annonsplatser där man tack vare den kunskap man samlat in kan presentera annonser med personligt budskap.

Du kan inte radera data selektivt

Även om man skulle komma runt problemen med IP adresser på något sätt, så kan man råka lagra personlig data ändå. Det är väldigt vanligt.

Vad gör man om man lagrat personlig data i Google Analytics?

Man kan antingen ta bort kontot eller via Googles APIér ta bort de sessioner som kan ha haft access.

Du kan aldrig redogöra för vem som kan ha haft access till datat som läckt.

En av datainspektionens rekommendationer vid en incident är att man skall redogöra för vilka personer som kan ha fått tillgång till datat.

Det kommer ingen på Google att kunna svara på kort ock gott. Det innebär i praktiken att kunna redogöra för alla personer med administrativ access till både applikation, miljöer och fysisk utrustning.

No items found.

Another Test Item

Hur gör man när man hittar persondata i sin webbanalys?

Matomo och persondata incidenter

Om du använder Matomo har du ett antal verktyg som hjälper dig att hantera dessa situationer.I Matomo kan du nämligen genom gränssnittet rensa bort de besök (visits/sessioner) som innehåller persondata och därigenom minska spridningen / skadan.

Så här gör du för att ta bort data i Matomo

Den enkla processen man behöver följa är:

1. Rensa bort data i visitor loggen.

2. Invalidera rapporter - Dvs processa om de aggregerade rapporterna så att data även försvinner från dessa.

3. Testa och validera (repetera 1 & 2) om du hittar mer data.

Hur skickar vi statistik till Europeiska kommissionen enligt SingleDigitalGateway (SDG)?

Vi har utvecklat två pluginer för Matomo för att stödja den nya EU-förordningen, Single Digital Gateway(SDG), läs mer här. Det första pluginet heter SingleDigitalGateway och den är byggd i enlighet med kraven från EU-kommissionen, för att skicka in kvantitativa rapporter baserad på besöksstatistik i Matomo. Er superanvändare i Matomo kan då definiera vilka URL:er som datat ska skickas för samt er unika API nyckel.

Det andra pluginet heter UserFeedback och ger stöd för att samla in den kvalitativa analysen med hjälp av formulär som bäddas in på er sajt med Matomo Tag Manager (MTM). För att sända insamlad data till EU-kommissionen så krävs SDG pluginet.

För utvecklingen av dessa plugin så har vi samarbetat med Arbetsförmedlingen och Skatteverket. Vi har även varit delaktiga i DIGG:s samarbetsrum tillsammans med andra myndigheter. Önskemål om nya funktioner tillkommer tätt och vi jobbar löpande med förbättringar.

Vi har även utvecklat en PHP klient för att koppla din analysplattform från SDG. Du hittar klienten här.

Installeras med composer: composer require digitalist/sdg-php-client

Är det möjligt att migrera befintlig statistik från Google Analytics?

Ja, det är möjligt att importera data från Google Analytics med hjälp av ett plugin, GoogleAnalyticsImporter - https://matomo.org/docs/google-analytics-importer/

Det kräver normalt handpåläggning för att det ska fungera.

Test FAQ Category

Hur gör man när man hittar persondata i sin webbanalys?

Matomo och persondata incidenter

Om du använder Matomo har du ett antal verktyg som hjälper dig att hantera dessa situationer.I Matomo kan du nämligen genom gränssnittet rensa bort de besök (visits/sessioner) som innehåller persondata och därigenom minska spridningen / skadan.

Så här gör du för att ta bort data i Matomo

Den enkla processen man behöver följa är:

1. Rensa bort data i visitor loggen.

2. Invalidera rapporter - Dvs processa om de aggregerade rapporterna så att data även försvinner från dessa.

3. Testa och validera (repetera 1 & 2) om du hittar mer data.

Är det möjligt att migrera befintlig statistik från Google Analytics?

Ja, det är möjligt att importera data från Google Analytics med hjälp av ett plugin, GoogleAnalyticsImporter - https://matomo.org/docs/google-analytics-importer/

Det kräver normalt handpåläggning för att det ska fungera.

Matomo vs Google Analytics - vad skiljer verktygen åt?

Det faktum att Matomo en gång skapades för att vara ett open source alternativ till GA innebär att väldigt mycket saker i plattformarna är lika, framförallt när det kommer till hur mätning görs. Har du arbetat med GA kommer du snabbt känna igen dig i Matomo.

  • En Property i GA kallas Website i Matomo
  • Users i GA heter Visitors i Matomo
  • Sessioner i GA heter Visits i Matomo
  • Pageviews och Event finns i Matomo också och fungerar mycket likt GA.
  • Landing pages i GA heter Entry pages i Matomo
  • Exit pages finns i Matomo också
  • Site search finns i Matomo också
  • Båda platformarna tillåter Custom Dimensions
  • Båda plattformarna erbjuder Segmentering av användare
  • Kampanjtaggar fungerar i Matomo också
  • Du kan integrera Google Search Console i Matomo för att få mer detaljerad info om organiska sökningar

Hur hanterar Digitalist personuppgifter?

Vi upprättar ett Personuppgiftsbiträdesavtal (DPA) med er så ni kan vara säkra på att ni är i trygga händer. Vidare har Matomo inbyggda funktioner för att gallra personuppgifter, anonymisera IP-adresser, tillgodose GDPR-principerna om interoperabilitet, användarnas rättighet att bli glömda m.m.

Vi kan även erbjuda övervakning av PII-data och generera automatisk larm till våra incidentkanaler.

Hur genomförs utbildningen i Matomo?

Vi har genomfört många halvdags- och heldagsutbildningar genom åren. Vi tar fram det upplägg som passar er bäst. Utbildningar kan genomföras under ett eller flera tillfällen, men allra helst genom att vi arbetar praktiskt med verkliga exempel och behov.

Kontakta oss om ert nästa projekt!

Vill du prata med en kundansvarig direkt? Klicka här! För jobb eller praktik klicka här!