I januar vendte det østrigske datatilsyn tomlen ned for organisationers brug af Google Analytics. Siden har tilsynene i Frankrig og Italien - og nu også Danmark - fulgt trop og sagt stop. Den fortolkning deles af Det Europæiske Databeskyttelsesråd og kommer til at gælde i hele EU, skriver Datatilsynet i en pressemeddelelse.

- Reglerne i GDPR er lavet for at beskytte europæiske borgeres privatliv. Det betyder blandt andet, at man skal kunne besøge en hjemmeside, uden at ens oplysninger kan ende i de forkerte hænder. Vi har gennemgået mulighederne i Google Analytics nøje og er kommet frem til, at man ikke kan bruge værktøjet i sin nuværende form uden at træffe yderligere foranstaltninger, siger Makar Juhl Holst, chefkonsulent i Datatilsynet.

Problemet er, at Analytics-data sendes videre til Googles servere i USA, hvilket EU-domstolen ikke betragter som sikker beskyttelse af persondata. Ligesom Google - trods pseudonymisering af data – med tilpas store datamængder på den enkelte, kan koble et hjemmesidebesøg til bestemte personer.

Siden afgørelsen fra det østrigske datatilsyn i januar har Google forsøgt at komme dommen i møde med nye tilpasninger af indstillingsmulighederne i Analytics. Men det har ikke været nok, uddyber han:

- Siden vores europæiske kollegaers afgørelser har vi set nærmere på værktøjet og de konkrete indstillinger, man kan gøre brug af, hvis man gerne vil bruge Google Analytics. Det har været særligt relevant, da Google i kølvandet på den første afgørelse fra Østrig er begyndt at stille yderligere indstillinger til rådighed i forhold til, hvilke oplysninger der kan indsamles via værktøjet. Men konklusionen er dog stadig, at værktøjet ikke uden videre kan bruges lovligt.

Det betyder, at danske virksomheder nu har to valg: Stoppe med at bruge det populære værktøj – eller lave justeringer, som gør det lovligt. Og det har datatilsynet et bud på.

For selv om tilsynets vigtigste opgave er at sikre borgernes rettigheder, så skal tilsynet også vejlede virksomheder i af efterleve databeskyttelsesreglerne - og gør en undtagelse, hvad angår teknologineutralitet, fordi så mange virksomheder benytter Google Analytics.

- Som det er tilfældet med databeskyttelsesreglerne, er vi i Datatilsynet teknologineutrale, og vi har derfor ingen interesse i hverken at blåstemple eller forbyde visse produkter. Det har vi slet ikke beføjelser til. Men i kølvandet på vores europæiske kollegaers afgørelser har vi dog oplevet en stor efterspørgsel på konkret vejledning i forhold til lige præcis Google Analytics, og vi har derfor brugt kræfter på at undersøge dette specifikke værktøj nærmere, forklarer Makar Juhl Holst.

En mulig løsning er at lave en effektiv pseudonymisering, fx via en reverse proxy, foreslår det danske datatilsyn. Altså at virksomhedens data i første omgang sendes til en server i EU, hvor det skal sikres, at pseudonymiserede personoplysninger på ingen måde kan bruges til at identificere enkeltpersoner – før disse data sendes videre til Googles servere i USA.

Kan din virksomhed ikke lave sådanne tiltag, opfordrer Datatilsynet til at finde et andet værktøjet, der kan levere sikker webstatistik og overholde EU's databeskyttelsesregler.

Datatilsynet har dog ingen autuelle planer om at holde tilsyn med området i år, siger chefkonsulent Makar Juhl Holst til Finans.dk.

- Men vi er ikke herre over, om andre mener, at deres rettigheder bliver krænket. De vil altid kunne klage til Datatilsynet, og så ser vi på, om det er en sag, vi skal behandle.

Udmeldingen fra Datatilsynet møder stærk kritik fra interesseorganisationen IT-branchen, som forudser alvorlige konsekvenser for de 80 pct. af danske virksomheder, som i dag anvender Google Analytics til at blive klogere på kunderne og optimere deres e-handel.

Brancheforeningen vurderer man, at dette er den brik, som kan starte en dominoeffekt, der kan true med helt at slukke internettet, eller som minimum gøre det til et langt mindre anvendeligt værktøj for dets brugere.