Detta är det andra blogginlägget i en serie om fyra inlägg där vi delar våra diskussioner och insikter från den internationella dataskyddsdagen som vi på Knowit firade genom ett internt webbinarium den 28 januari. Bland annat samlades jurister, informationssäkerhets-specialister, analytiker, psykologer, utvecklare och UX-designers för att prata om dataskydd från fyra olika perspektiv. Här kan du läsa det första inlägget.
Carl Löjdqvist, Head of Performance och Johanna Grundberg, dataskyddsjurist, höll i den andra delen av webbinariet. Vi pratade om dataskydd från ett analysperspektiv, mer specifikt om analys i praktiken, samt dess utmaningar och lösningar kopplat till dataskydd.
Carl inledde med att berätta om att analys handlar i stora drag om att förstå vad besökarna gör och varför, i syfte att optimera användarupplevelsen och nå de mål man satt med sin digitala närvaro. I praktiken innebär det att analysera data och hitta insikter som leder till handlingar. Det kan vara alltifrån att ändra innehåll och göra det mer relevant för besökarna, till att genomföra tekniska förändringar på en webbplats eller app för att förbättra besökarnas upplevelse.
Samtycke genom cookiebanner
De utmaningar som vi identifierade var först att ju mer data en analytiker får desto bättre och mer precisa blir slutsatserna. Datan kan inhämtas genom cookies och liknande tekniker. En förutsättning för att samla in analysdata genom cookies och liknande tekniker är att användaren först samtycker till det. Ofta implementeras en cookiebanner för att göra jobbet. Kravet på samtycke kommer från dataskyddslagstiftning och ställer strikta krav på hur samtycket ska inhämtas. Det innebär att mängden analysdata ofta minskar i det fall dataskyddskraven efterlevs jämfört med att inte följa kraven. Som analytiker vill man ofta ha stora datamängder att jobba med, något som kan bli en utmaning i och med dataskyddskraven. Samtidigt anser vi att det är en rimlig och bra utveckling att användarna själva får bestämma vilka cookies man vill acceptera för att ge användaren kontroll över de uppgifter denne lämnar ifrån sig. I grund och botten vill vi båda jobba för att skydda användares integritet.
Endast EU-företag på listan till kakbjudningen?
Den andra utmaningen som identifierades var att hitta analysverktyg (och samtyckesverktyg) som är dataskyddsvänliga. Dataskyddsregler gällande tredjelandsöverföringar samt säkerhetslagstiftning i länder utanför EU/EES, inte minst den amerikanska säkerhetslagstiftningen som uppmärksammats genom Schrems II-domen, gör detta till en utmaning. Den amerikanska säkerhetslagstiftningen har av EU-domstolen förklarats möjliggöra mer övervakning än vad som är strikt nödvändigt i ett demokratiskt samhälle samt sakna regler som möjlighet för individer att tillvarata sina rättigheter genom effektiva rättsmedel (t.ex. att överklaga beslut om övervakning hos en oberoende myndighet).
Utmaningen är relevant för analys eftersom många analysverktyg (och samtyckesverktyg) har en amerikansk molntjänst i botten. Amerikanska molntjänster lever ofta under den amerikansk säkerhetslagstiftningen och risken att dessa aktörer kan tvingas lämna ut personuppgifter till amerikanska myndigheter kan inte bortses från. Nyligen beslutade den österrikiska tillsynsmyndigheten att en webbsideansvarig som använde Google Analytics agerade i strid med kraven i GDPR. Läs mer om beslutet här. Viktigt att påminna sig om är att webbsideansvariga är den som ska kunna visa att GDPR efterlevs. Det räcker alltså inte att peka på att leverantören sagt att den är ”GDPR friendly”, utan att säkerställa att utfästelsen stämmer.
Något som vi okså vill uppmärksamma är att i det fall personuppgifterna lagras hos en amerikansk molntjänst inom EU bör amerikanska myndigheters möjlighet till åtkomst av personuppgifterna beaktas för att undersöka om personuppgifterna är tillräckligt skyddade. Gemensamt håller vi analytiker och jurister på Knowit på att undersöka lösningar för att kunna fortsätta jobba med analys i dataskyddsvänliga verktyg. Tillsammans tittar vi på tekniska lösningar för att fortsätta jobba i Googel Analytics och samtidigt kunna säkerställa att reglerna efterlevs. Vi undersöker dessutom alternativa analysverktyg som gör att personuppgifterna stannar i EU. Vi vill kunna säga att vi har säkerställt att ni har anlitat en ”GDPR friendly” leverantör som möjliggör att ni kan fortsätta att jobba med både analys och integritetsskydd. Det ena ska inte behöva utesluta det andra.