Personvern

Nå haster det med å finne et alternativ til Google Analytics

Store deler av tech-verdens øyne er nervøst rettet mot Østerrike for tiden. Eller rettere sagt, de burde være det.

Seksjonssjef i Datatilsynet, Tobias Judin.
Publisert Sist oppdatert

Bakgrunnen er Schrems-dommen avsagt i EU-domstolen sommeren 2020, som gjør det vanskelig å overføre personopplysninger fra EØS-land til USA.

Dommen, oppkalt etter aktivisten Max Schrems, slo fast at mange av tjenestene som de fleste virksomheter bruker i dag, også mange offentlige, i praksis er ulovlige å bruke.

Et eksempel er Google Analytics, men dommen rammer også det fleste andre analyseverktøy eller tjenester som sender personopplysninger til amerikanske servere.

Mange har nok stukket hodet i sanden og tenkt at vi fortsetter som før

Tobias Judin, seksjonssjef i Datatilsynet

Persondata er enhver opplysning som kan knyttes til et identifiserbart individ. Det holder ikke å anonymisere navn og arbeidsplass hvis interessene gjør det mulig med litt kløkt å identifisere en person.

Sist uke konkluderte det østerrikske datatilsynet med at IP-adresser, nettleserparametre og pseudonymisert cookie-informasjon til analyseformål er personopplysninger.

– Mange har nok stukket hodet i sanden og tenkt at vi fortsetter som før, uten å være klar over hvilke data de sender fra seg, sier seksjonsleder i Datatilsynet Tobias Judin til Shifter.

101 klager

Problemet som ble tatt opp i dommen og som EU ikke kan akseptere, er at amerikanske myndigheter har uforholdsmessige overvåkningslover som gir dem rett til innsyn i disse personopplysningene.

Omfanget av amerikanske myndigheters bruk av denne innsynsretten ble kjent da varsleren Edward Snowden lakk hemmelige dokumenter fra National Security Agency (NSA) og rømte til Russland.

Judin forklarer at selv om mange har glemt en del av disse hendelsene, er det ingenting i lovverket som har endret seg siden den gang.

En som ikke har glemt, er Max Schrems. Organisasjonen hans Noyb (None of your business) har sendt 101 klager til det europeiske datatilsyn angående Google Analytics eller Facebook Connect.

– Den østerrikske saken er den første i det sakskomplekset, men vi har likelydenes klager i alle EØS-land, sier Judin og viser til at også norske Datatilsynet vurderer saken uten å ha nådd en endelig avgjørelse.

– Jeg tror at mange har tenkt at Google anonymiserer IP-adressene og at det derfor ikke er personopplysninger som sendes til USA, men i realiteten samler Google Analytics også inn personopplysninger via cookies fra alle som er logget inn hos Google, fortsetter han.

– Og der ligger kruttet.

Kort forklart: Har man en Gmail-konto eller er innlogget bruker hos Google av andre grunner, vil analytics sende personopplysninger til USA dersom man ikke logger av når man er ferdig med å bruke tjenesten. Det er rett og slett for enkelt å identifisere deg med denne informasjonen. Samtidig er det grunn til å tro at svært få av brukere logger av med jevnlige mellomrom eller i det hele tatt.

Det hjelper ikke at serveren er stasjonert i et EØS-land. Så lenge selskapet er amerikansk, og underlagt amerikanske overvåkningslover, kan det komme til å sende data til USA.

Også andre land har blitt mer oppmerksom på dette i den senere tid. Mens mediene gjerne peker på at kineserne ikke skal få innsyn i vestlige data, er de på den annen side opptatt av å sikre seg på samme måte som EU. Om hensynet er til egne borgeres rettsvern eller av frykt for amerikansk overvåkning, spiller mindre rolle.

Konsekvensen for norske selskaper

Advokat i Bull & Co Christine Stousland skrev i en kronikk i Dagens Næringsliv nylig at nettsideeiere som benytter seg av Google Analytics gjør lurt i å enten vurdere alternative leverandører av analyseverktøy som oppbevarer personopplysningene i Europa, eller få på plass tiltak som for eksempel å oppbevare krypteringsnøkkelen trygt i EØS-området.

– Hvor rask bør man være i å finne alternativer?

– Det er prekært. Dommen er fra 2020, sånn at alle burde ideelt sett ha innrettet seg allerede. Det er ikke snakk om noen overgangsperiode, sier Judin.

Selv om Datatilsynet ikke har konkludert i sine klagesaker angående Google Analytics ennå, sier han at de er opptatt av å koordinere med de andre europeiske datatilsynene slik at reglene tolkes likt i hele EØS-området.

Ytterste konsekvens for norske virksomheter som ikke legger om kursen, er bøter.

– Men da skal det være en alvorlig sak. I de fleste sakene tyr vi ikke til det. Men vi kan si at du umiddelbart må slutte, og har du ikke klart et alternativ da, så får du store vanskeligheter, sier Judin.

Forsiktig forandring

Datatilsynet oppfordrer alle til å finne alternativer. EØS-området kan være et alternativ, men også Storbritannia er greit. Landet har fått en såkalt adekvansbeslutning fra EU-kommisjonen om at de ivaretar personopplysninger godt nok. Andre land utenfor EØS som anses som trygge er for eksempel Sveits, Israel, Japan, Sør-Korea, Canada og New Zealand.

Spørsmålet er hva amerikanske tech-selskaper gjør fremover. Hvis de vil fortsette å høste europeiske personopplysninger og tjene gode penger på det europeiske markedet, bør de trolig legge mer press på egne myndigheter om å endre på overvåkningslovverket.

Judin ser forsiktige tendenser til at ting er på gang.

– Amerikanske myndigheter og EU-kommisjonen snakker om en overføringsavtale, men USA må trolig slutte med masseovervåkning, og det kan bli vanskelig. Uansett hadde det gjort ting enklere for alle, sier han.