Hvordan du kan gjøre Google Analytics 4 (mest mulig) lovlig
Dato publisert:
Dato oppdatert:
Fem justeringer du kan gjøre i innstillingene til Google Analytics 4 for å begrense innsamlingen og delingen av persondata
Google Analytics er et kraftig verktøy for å spore og analysere hva som skjer på nettstedet ditt. For å få til dette samler verktøyet inn individuelle data om atferden og programvaren til de som besøker nettstedet. Selv om du ikke er i stand til å bruke disse dataene til å identifisere enkeltpersoner, så er det per definisjon snakk om persondata.
I følge Schrems II-dommen fra 2020 kan det ikke lenger overføres persondata mellom EU/EØS-land til USA på grunnlag av den såkalte Privacy Shield-avtalen, som tidligere regulerte denne overføringen. Dette påvirker alle som bruker Google Analytics siden dette verktøyet lagrer all data i USA.
Datatilsyn i flere europeiske land har i forlengelsen av dette konkludert med det samme i flere ulike klagesaker. Google Analytics er ulovlig. Dette inkluderer Østerrike (januar 2022), Frankrike (februar 2022), Italia (juni 2022), Danmark (september 2022) og nå sist Norge (april 2023).
5 justeringer du kan gjøre i Google Analytics 4
Ved å justere noen av innstillingene i Google Analytics 4 kan du redusere mengden persondata som samles og sørge for at verktøyet overholder GDPR og Schrems II.
1. Skru av "Google Signals"
Google Signals gir deg tilgang til demografi-rapporter og teller unike brukere på tvers av enheter. Dette er basert på Googles tredjepartsidentifisering. Men når Google Signals er aktivert, sender du også all data du samler inn til Google. Og Google bruker dataen til sine egne formål. For å deaktivere Google Signals, går du til Data Settings > Data Collection:
2. Skru av "Granular data collection"
Ved å skru av innstillingen “Granular data collection”, kan du redusere mengden persondata som samles inn. Dette gjør det mye vanskeligere å identifisere en person.
"Granular location and device data" inkluderer:
- by
- breddegrad (for byen)
- lengdegrad (for byen)
- underversjon av nettleser
- brukeragentstreng for nettleser
- enhetsmerke
- enhetsmodell
- enhetsnavn
- underversjon av operativsystem
- underversjon av plattform
- skjermoppløsning
For å slå av innstillingen går du til Data Settings > Data Collection:
3. Skru av "Personalized Advertising"
Hvis du har koblet Google Ads-kontoen din til Google Analytics 4, bør du skru av “Personalized Advertising” for å redusere mengden persondata som sendes til Google Ads. Dette betyr at du ikke lenger kan drive remarketing basert på data fra Google Analytics.
For å deaktivere "Personalized Advertising" går du til Product links > Google Ads Links:
4. Redusér hvor lenge data lagres
Google Analytics 4 sletter automatisk individuelle brukerdata etter minimum 2 eller maksimum 14 måneder. Standardrapportene baserer seg på aggregerte anonymisert data som aldri slettes, mens analyser som du vil gjøre i "Explore" krever individuelle data. Når du reduserer datalagringen til minimumsgrensen på 2 måneder, kan du redusere mengden persondata som lagres over tid.
For å gjøre dette, går du til Data Settings > Data Retention:
5. Redusér cookie-levetid
Cookies bidrar til å samle persondata fordi atferdsopplysninger knyttes til samme ID-nummer over lang tid. Ved å redusere cookie-levetiden til 1 uke, 1 dag eller 1 time vil du kraftig redusere mengden atferdsmønster som samles om en enkelt bruker.
For å gjøre dette, går du til Data Streams > Details > Configure Tag Settings > Show All > Override Cookie Settings:
Hva med IP-adresser?
Google Analytics 4 lagrer ikke IP-adresser, og derfor finnes det ingen innstilling for å anonymisere eller slette dem. IP-adresser prosesseres i innsamlingen for å fastslå lokasjon, men sendes ikke videre. Google presiserer at denne prosessen skjer på europeiske servere før data sendes til USA.
Du kan lese mer om personvernsinnstillinger i Google Analytics her >>>
Viktig å få med seg før du gjør endringer
Disclaimer 1
Strammer du inn alle disse innstillingene får du et datasett med mye mindre informasjon om brukerne enn du er vant til. Det er litt av poenget.
Disclaimer 2:
Det er ingen garanti for at Datatilsynet eller andre vil vurdere disse justeringene som godt nok. Det har enda ikke blitt gjort noen konkret vurdering av en sak med så stramme innstillinger i Google Analytics 4.
Disclaimer 3:
Dette er ikke å regne som juridisk rådgivning. Vennligst snakk med din advokat og ditt personvernombud. Det er virksomhetens ledelse som er ansvarlig for å etterleve GDPR, ikke markedsansvarlig, webmaster, byrået som gir råd eller andre involverte.
Har du flere spørsmål?
Les gjerne det danske Datatilsynets generelle veiledning og FAQ om Google Analytics, eller ta kontakt med oss for en prat.
Alternativet til å stramme inn innstillingene i Google Analytics er selvsagt å velge et annet verktøy, som enten ikke samler like mye data eller som lagrer data i EU.