Google Analytics 4 (GA4) är den senaste uppdateringen av det populära webbanalysverktyget från Google. Trots de förbättringar och nya funktioner som introducerats, kvarstår dock grundläggande problem när det kommer till GDPR.
Ett av de mest kritiska problemen med GA4, likt tidigare versioner, är den systematiska profileringen av användare.
Enligt GDPR krävs uttryckligt och informerat samtycke från användaren för att utföra profilering. GA4, som samlar in och analyserar användarnas beteende för att skapa detaljerade profiler, kan därför bryta mot denna grundläggande dataskyddsprincip.
Profilering och fingerprinting
För att kunna skapa en mjukvara för webbanalys med någon sorts vettig funktionalitet krävs det att man kan identifiera en besökare mellan varje sidvisning och besök. Det är detta som man tidigare använt cookies till, men grundfunktionen finns givetvis fortfarande kvar. I GA4 finns fortfarande en unik identifierare koppat till varje enskild besökare. När man lagrar detta id över tid (dvs inte bara för att knyta ihop sidvisningar under samma besök) så kallas det profilering och det kräver ett medgivande i GDPR. Detta görs i GA4 som sagt inte med cookies utan med hjälp av teknik på Googles servrar som brukar benämnas som fingerprinting.
Fingerprinting kan inkludera insamling av information som:
- Typ och version av webbläsaren
- Operativsystem och dess version
- Skärmupplösning
- Installerade typsnitt
- Plug-ins eller tillägg till webbläsaren
- Användarens IP-adress
- Andra unika inställningar eller egenskaper
Genom att kombinera denna information kan ett unikt "fingeravtryck" skapas för varje användare, vilket gör det möjligt att identifiera och spåra dem över tid och på olika webbplatser, även om de raderar sina cookies eller använder privat surfning. Denna metod är praxis för webbplatser och annonsörer för att samla in detaljerad information om användare, ofta utan deras vetskap eller samtycke.
I Googles fall handlar det om annonsprofileringar av individer. Google vill såklart gärna påvisa att detta sker anonymt, men trots det så klassas besökare in i olika grupper vilket inte skulle vara möjligt om data inte samkördes med andra system. Även om detta står i konflikt med GDPR:s princip om ändamålsbegränsning. Enligt denna princip får personuppgifter inte behandlas för andra ändamål än de de ursprungligen samlades in för. Så om GA4-data samköras med andra system för nya ändamål, så utgör det en överträdelse av GDPR.
Slutligen är det frågan om överföring av data till tredje länder. Trots att Google's försök att förbättra dataskyddet i GA4 tex genom att skapa europeiska datacenter eller genom att anonymisera och pseudonomisera information så kvarstår problematiken kring att man faktiskt lagrar persondata. Enligt den amerikanska lagen FISA 702 kan amerikanska myndigheter därför få tillgång till data som lagras av amerikanska företag, vilket kan bryta mot principen om adekvat skyddsnivå enligt GDPR.
Skulle det vara juridiskt möjligt för Google att begära in ett medgivande kopplat till deras tjänster som gäller för alla webbplatser i Europa som använder GoogleAnalytics 4
I teorin kan Google begära ett generellt samtycke från användare för att tillåta datainsamling för alla webbplatser som använder Google Analytics 4. Men i praktiken skulle det vara mycket svårt, och kanske omöjligt, att genomföra detta på ett sätt som uppfyller GDPR:s krav.
GDPR ställer mycket specifika krav på samtycke. Samtycket ska vara:
- Frivilligt: Detta innebär att det inte får finnas något tvång eller påtryckningar för att få användaren att ge sitt samtycke.
- Informerat: Användaren måste få tillräcklig information för att förstå vad de ger samtycke till. Detta skulle inkludera detaljer om vilka personuppgifter som samlas in, hur de kommer att användas, och vilka tredje parter de kan komma att delas med.
- Specifikt: Samtycket ska vara specifikt för varje särskilt ändamål med datainsamlingen och datan får inte användas för andra ändamål än de som samtycket gavs för.
Ett generellt samtycke till datainsamling över alla webbplatser som använder Google Analytics 4 skulle troligen strida mot dessa principer. Specifikt, det skulle vara mycket svårt att säkerställa att samtycket är informerat och specifikt, eftersom varje webbplats kan använda Google Analytics på olika sätt och för olika ändamål.
Det är dessutom inte Google som är ansvariga för ett samtycke när besökaren besöker din webbplats, det är du!
GA4 redan utdömt av danska motsvarigheten till IMY
Det är inte bara vi på Digitalist som har en åsikt i denna fråga den danska Integritetsskyddsmyndigheten har redan dömt ut GA4 och det borde svenska IMY också göra.
https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/internet-medier-og-apps-/google-analytics
Vad bör ni göra?
Byt till ett GDPR säkert webbanalysverktyg som Matomo, men se till att välja en partner som kan Matomo! Er IT avdelning eller webbbyrå är förmodligen inte rätt partner för det.
Kontakta oss på Digitalist så hjälper vi er igång med Matomo omgående och vi kan även hjälpa er att migrera data från Google Analytics till Matomo.
