Alternativa analysverktyg och den nya EU-USA-lösningen
Likt ett mellanstadiedisco känns det som om frågan kring Google Analytics, GDPR och tredjelandsöverföringar dansar fram och tillbaka i en konstig baktakt som bara de riktigt inbitna kan hänga med i. Men håll i hatten, slå dig ner, luta dig tillbaka så ska vi försöka reda ut några viktiga delar kring det nya avtalet mellan EU-USA samt hur du kan navigera din organisation bland de olika verktygen, Google Analytics-knepen och alternativen som finns på marknaden.
Alternativa verktyg och lösningar - är de verkligen GDPR-compliant?
Det finns många verktyg på marknaden som kan användas istället för Google Analytics. Det finns även knep och lösningar för att kontrollera sina tredjelandsöverföringar via Google Analytics genom att använda sig av så kallad proxyserver. Läs noga nu, för nu kommer dagens sanning: även om många (alla?) av de tillgängliga verktyg på marknaden påstår sig vara GDPR-compliant, så är det din organisations implementation och användning av verktygen som påverkar om användningen av verktyget är så kallat GDPR-compliant. Därför är vårt råd att man ska ta dessa ”compliant-påståenden” med en nypa salt. Det är inte rekommenderat att se deras uttalanden som en garanti för att din organisation kan implementera verktyget utan att kontrollera hur er implementation, er data och era dataflöden förhåller sig till reglerna i GDPR. Anledningen till det är att organisationer som använder verktygen är de som är ansvariga att följa och kunna visa hur GDPR följs.
Innan du implementerar ett verktyg eller lösning är det alltså viktigt att göra en grundlig undersökning om hur din organisation uppfyller GDPR:s krav. IMY:s beslut grundar sig i de utmaningar som finns (eller fanns, se nästa stycke) med överföring av persondata till USA. Ett sätt att undvika tredjelandsutmaningar är att inte behandla personuppgifter i tredjeland (land utanför EU/EES). Många av våra kunder har efter förstudier valt att tex implementera en lösning från vår partner Piwik PRO för att undvika tredjelandsutmaningar. Piwik PRO hanterar tredjelandsfrågorna genom att erbjuda lagring i den svenska molntjänsten Elastx och därmed undviks lagring av personuppgifter i tredjeland.
Det nya lösningen mellan EU och USA
10 juli 2023 blev det klart! The EU-US Data Privacy Famework (DPF), det nya ramverket mellan EU och USA, har godkänts. Innebär DPF att vi kan börja använda Google Analytics som innan?
Organisationer i USA kan nu certifiera sig inom DPF. Efter en certifiering kan personuppgifter överföras från organisationer i EU/EES till den certifierade amerikanska organisationen. Det innebär i sin tur att personuppgifter kan flöda säkert från EU till amerikanska företag som har certifierat sig, förutsatt att andra bestämmelser i GDRP är också uppfyllda så klart.
Oavsett så är det viktigt att ha med sig att Google har underleverantörer i flera olika länder i världen som också räknas som tredjeländer. Därför behöver man förhålla sig till risken att personuppgifter fortfarande kan hamna i ett annat tredjeland där personuppgifterna inte är tillräckligt skyddade (på grund av brister i det landets lagstiftning och avsaknad av tillräckliga skyddsåtgärder för personuppgifterna).
Är det dags att byta verktyg nu?
Frågan om det är dags att byta verktyg kan bara besvaras av varje enskild organisation, det beror på organisationens specifika behov. Det är viktigt att väga fördelarna och nackdelarna med att byta till ett nytt verktyg mot att behålla det befintliga verktyget. Oavsett om ni väljer att stanna eller byta kan det här vara ett ypperligt tillfälle att fundera kring vad ni behöver mäta och varför. För oavsett vilket verktyg ni använder och vilken data ni samlar in är det insikterna från datan som gör den stora skillnaden och skapar det verkliga värdet.
Ska jag välja Google Analytics eller Piwik PRO?
Valet mellan Google Analytics eller Piwik PRO beror på din specifika situation. Båda verktygen har sina fördelar och nackdelar. Google Analytics är det mest använda verktyget i världen, men har som sagt också varit under luppen hos tillsynsmyndigheter runtom i Europa på grund av dataskyddsutmaningar. Piwik PRO är ett nyare verktyg som liknar Google Analytics i både utseende och funktion.
Var ska jag börja?
Om du känner dig överväldigad av all information, är det bästa stället att börja att göra en behovsanalys. Du behöver förstå dina affärsmål, digitala mål, KPIer och targets.
Du behöver också förstå vad du behöver mäta och varför. Du behöver identifiera vilka resurser och förutsättningar som finns och behövs för att kunna jobba datadrivet. Du behöver också förstå hur implementation och användning av verktyget kan göras för att uppfylla kraven i GDPR.
Frukostseminarium: Lär dig mer om dataskydd och vad ni som organisation kan göra nu.
I höst kommer vi att hålla ett frukostseminarium där vi kommer gå igenom dessa frågor mer detaljerat. Intresseanmäl dig redan nu så meddelar vi tid och plats. Detta är ett utmärkt tillfälle att lära dig mer om dataskydd och hur du kan navigera i denna komplexa värld. Vi ser fram emot att träffa dig där!
Blogginlägget är skrivet av Carl Löjdqvist, Head of Performance på Knowit Experience och Johanna Grundberg, dataskyddsjurist på Knowit Cybersäkerhet och Juridik.