I forbindelse med EU´s nye regulativ for beskyttelse af persondata, GDPR (General Data Protection Regulation), som træder i kraft fredag d. 25. maj 2018, er der mange ting, som du bør forholde dig til.
Et af disse er Google Analytics, som stort set alle danske virksomheder anvender til tracking af trafik og adfærd på deres website.
Lad os starte med de tre vigtigste opgaver, som virkelig begynder at brænde på!
De 3 vigtigste opgaver
1. Data Retention
Inden d. 25. maj 2018 SKAL du i Analytics tage stilling til hvor længe Google skal gemme dine ”User and event data”. Vi anbefaler at du vælger ”Don´t automatically expire”, så du ikke uønsket mister data, som er ældre end 26 måneder (som er standard indstillingen).
Du finder ”Data Retention” i Admin området under ”Tracking Info” i Property kolonnen i midten.
Se evt. dette screenshot:
2. Data Processing Amendment
I Analytics skal du inden 25. maj 2018 læse og acceptere aftalen for ”Data Processing Amendment”, således at Google fortsat har lov til at håndtere dine data.
Det gælder i øvrigt også andre Google produkter såsom Tag Manager og Data Studio. I Analytics finder du aftalen i Admin området under ”Account Settings” i Account kolonnen i venstre side.
Se evt. dette screenshot: (Klik på billedet for at gøre det større)
3. DPA administration
I Analytics skal du inden 25. maj 2018 indtaste kontaktoplysninger (legal entity + contact), som er påkrævede oplysninger i forhold til databehandleraftalen mellem dig og Google.
Det gælder i øvrigt også andre Google produkter såsom Tag Manager og Data Studio. I Analytics finder du linket til ”DPA administration” i Admin området under ”Account Settings” i Account kolonnen i venstre side.
Se evt. dette screenshot: (Klik på billedet for at gøre det større)
GUIDE: Kom godt i gang med Google Data Studio
Derudover bør du også forholde dig disse punkter
(haster dog ikke lige så meget som ovenstående)
• Anonymisering af IP-adresser
At gemme personhenførbare data er både et problem i forhold til de gængse Analytics vilkår samt GDPR lovgivningen. IP-adresser for dine besøgende på hjemmesiden gemmes rent teknisk på Googles servere selv om de ikke er direkte tilgængelige for dig i rapporterne.
Spørgsmålet er så om en IP-adresse er en personhenførbar oplysning… og om denne tekniske konstruktion udgør et problem eller ej.
Det er der delte meninger om, men jurister anbefaler generelt at man anonymiserer IP-adresser i Analytics for at være på den sikre side. Du skal dog være opmærksom på at dine geografiske rapporter i Analytics bliver mindre præcise og IP-adresse filtre vil ikke virke, hvis de indeholder den sidste tal-blok i ip-adressen. I det hele taget vil filtrering på baggrund af ip-adresser blive en mere upræcis løsning.
Hvis du alligevel ønsker at anonymisere dine ip-adresser kan det meget let implementeres via en funktion, som Google selv stiller til rådighed.
Læs mere her: https://support.google.com/analytics/answer/2763052?hl=da
• Brugeraccept af cookies
Det har egentlig længe været påkrævet at man indhentede en accept fra brugerne af hjemmesiden i forbindelse med brug af cookies og særligt 3. part cookies. Men GDPR lovgivningen sætter øget fokus på dette område og du bør derfor aktivt forholde dig til hvordan du vil indhente en sådan accept fra dine brugere.
Læs mere her: https://www.google.com/about/company/consentstaging.html
Og her: https://www.cookiechoices.org/intl/en/
• Persondatapolitik
Sørg for at have en Persondatapolitik (også indeholdende en Cookie politik) på din hjemmeside og link til den fra alle sider på dit website – evt. fra din footer.
• Personhenførbare data
I forbindelse med GDPR lovgivningen kan det være en rigtig god idé at få tjekket op på om dine Analytics data indeholder personhenførbare data som f.eks. navne, adresser, telefonnumre, e-mail adresser osv.
Nogle gange kan der godt være blevet gemt den slags data i din Analytics konto uden at du har været opmærksom på det.
Det kan f.eks. ske ved at din nyhedsbrev signup funktion tilføjer brugerens e-mail adresse til en URL på dit site – eller at brugere misforstår formularer eller søgefunktioner på dit site og indtaster personhenførbare data i disse felter.
• Sletning af oplysninger
I praksis så kræver GDPR lovgivningen at alle virksomheder skal give deres hjemmeside brugere mulighed for at anmode om at deres oplysninger (altså personlige data) slettes. At give brugerne denne mulighed er naturligvis det absolut mindste problem.
Det helt store problem er hvordan disse data i praksis kan slettes, hvis en bruger anmoder om det. Har du overblik over alle steder, hvor din virksomhed gemmer personlige data og har du styr på hvordan data kan slettes i alle disse systemer?
Kontakt os hvis du har brug for hjælp til Analytics i forbindelse med GDPR
Det var ordene herfra omkring GDPR og særligt Analytics. Jeg håber du har fået et lidt bedre overblik over hvilke opgaver, du først og fremmest bør kaste dig over. Har du spørgsmål til noget eller brug for hjælp til at få løst nogle af disse opgaver er du naturligvis meget velkommen til at kontakte os.
God arbejdslyst.