Er Google Analytics ulovlig? Dette spørsmålet er det mange som stiller seg, eller bør stille seg, i disse dager. Spør du det østerrikske datatilsynet er svaret, «ja». I hvert fall ifølge en fersk avgjørelse i en sak mot et helsenettsted. Nettstedet ble klaget inn av personvernorganisasjonen NOYB, ledet av Max Schrems, etter den beryktede «Schrems II»-dommen i juli 2020. Spør du det norske Datatilsynet, som digi.no har gjort, er svaret at «det er vanskelig å se hvordan bruk av Google Analytics kan være lovlig»? Hvis du har levd under en stein de siste årene, så kan jeg gi en veldig rask oppsummering av de faktiske forhold:

- GDPR slo fast i 2018 at «online identifiers» og tilhørende opplysninger om maskinvare og adferd på nett er å regne som personopplysninger.

- I den ferske begrunnelsen fra det østerrikske datatilsynet understrekes det at ID-nummeret som lagres av Google Analytics i en cookie, og brukes til å identifisere brukere som besøker et nettsted over tid, er å regne som en slik «online identifier». Det er altså ikke bare IP-adressen det handler om, hvis du har tenkt at det er godt nok så lenge denne er «anonymisert»

- Schrems II-dommen fra 2020 slo fast at overføring av personopplysninger til USA er ulovlig, fordi amerikansk lovgivning gir amerikanske myndigheter en rett til innsyn i dataene på en måte som ikke er forenlig med europeisk lovgivning.

- I etterkant av dommen sendte NOYB inn klager på 101 europeiske virksomheter, inkludert norske Telenor og Sbanken, på deres bruk av Facebook Pixel og Google Analytics. Avgjørelsen i Østerrike nå er den første av disse sakene som er konkludert.

De fleste norske virksomheter som kjenner til disse forholdene har de siste par årene befunnet seg i en tilstand av fornektelse. Når Datatilsynet nå sier klart at dette «vanskelig kan være lovlig», og anbefaler norske virksomheter å se etter alternativer, så er det på tide å våkne. 

Merk også at selv om det kanskje fortsatt er rom for en akademisk diskusjon om hvorvidt cookie-ID, sidevisninger og enhetsinformasjon egentlig bør regnes som personopplysninger, så er bildet et helt annet når det gjelder tjenester som Facebook Pixel, Google Signals og andre koblinger til tredjeparts annonseplattformer. Disse har spesifikt til hensikt å lage fyldige personprofiler på tvers av hele Internett, og opplysningene knyttes til de navngitte profilene folk har opprettet hos disse aktørene. Dermed er det meningsløst å omtale dette som «anonyme data».

Når vi vet alt dette, kan man kanskje tenke seg fire ulike tilnærminger for tiden fremover.

1. Håpe at det ikke er riktig

Det vil si at lovverket ikke egentlig er så strengt som det fremstår i disse avgjørelsene, og at høyere rettsinstanser vil komme til andre konklusjoner. Dette krever antagelig en vedvarende tilstand av fornektelse, for Schrems II-dommen falt i EU-domstolen som er høyeste rettsinstans.

2. Håpe at det ikke håndheves, eller at det i alle fall ikke rammer min virksomhet

Denne tilnærmingen har fungert godt så langt, og for de fleste norske virksomheter kan den sannsynligvis fungere en god stund fremover. Men det er en strategi som vanskelig kan anbefales.

3. Håpe at de store aktørene ordner opp

Det er store systemer og store verdier i spill her, og mange spekulerer i om Google og Facebook er «too big to fail». En slik overordnet løsning må enten innebære at USA endrer sin lovgivning for overvåkning og innsyn, eventuelt at EU endrer sine krav, eller at Google, Facebook og co faktisk endrer sine produkter og sin infrastruktur til å bli fullt ut kompatible med EUs lovgivning. Endringene det vil kreve er massive, men det er også konsekvensene av et worst-case-scenario hvor EU ser seg nødt til å blokkere tilgang til disse selskapenes tjenester.

4. Finne alternativer

Hvis alt du gjør av sporing er å samle webanalyse for å følge med på hvordan nettstedet brukes, så kan det være en nokså enkel sak å bytte fra Google Analytics til for eksempel open source-alternativet Matomo Analytics. Hvis du derimot opplever at du er avhengig av å være koblet til, og utveksle data med, de store profileringsmaskinene hos Google og Facebook for å kunne drive effektiv markedsføring, så har du et mye større plaster du må rive av. Det finnes ingen «alternativer» som sådan, annet enn å akseptere en dårligere presisjon i annonsemålrettingen og resultatmålingen.

Som representant for et digitalbyrå sitter jeg åpenbart i glasshus, men noen steiner bare må kastes, og vi i Synlighet må innrømme at vi befinner oss mest i gruppe tre.

Samtidig jobber vi for at kundene våre skal ta dette på alvor og gjøre sine egne vurderinger, og vi bistår så godt vi kan med å finne alternativer. På kort sikt gir det nå et konkurransefortrinn om du stikker hodet i sanden og fortsetter som før, men da er det ikke sikkert du rekker å løpe når bulldozeren kommer. 

Markedsføringsbransjen lever sannelig i interesting times.