De tre største faldgruber: Google Analytics og persondataforordningen

EU’s General Data Protection Regulation (GDPR) forandrer måden der arbejdes med data på. Alle kilder til personlig data i virksomheden er underlagt den nye forordning. Det er lige fra HR-data til data i jeres CRM-værktøj og på jeres nyhedsbrevsliste. For virksomheder, der vælger at ignorere ændringerne, kan konsekvenserne blive store i form af bøder.

- En stor del af vores medlemsvirksomheder er allerede nu i gang med at forberede sig på, at forordningen træder i kraft. Men mange overser deres web analytics som en potentiel kilde til persondata, siger chefkonsulent Liv Thøger fra DI Handel.

Ifølge Steen Rasmussen fra IIH Nordic, så er det mere reglen end undtagelsen, at Google Analytics indeholder persondata, som er underlagt GDPR. Steen Rasmussen hjælper til hverdag større danske og internationale virksomheder med bl.a. datastrategi, data governance og GDPR compliance. Han er partner hos IIH Nordic, der er et digitalt data konsulenthus, der er specialiseret i data og analytics såvel som digital markedsføring.

Læs også: Podcast: GDPR efter stormen

3 tips til at undgå de nye problematikker

IHH Nordics ekspert støder ofte på persondataproblematikker i virksomhedernes web analytics-opsætning. Han første spørgsmål er; Er din Analytics konto opsat korrekt? For så er I som udgangspunkt ikke i konflikt med GDPR.

- Google Analytics er nemlig GDPR-compliant, og der står i vilkårene, at der ikke må indsamles personligt identificerbare data. Men i realiteten er der alligevel ofte disse persondata i virksomheders Google Analytics-opsætninger, der bringer jer på kant med GDPR-lovgivningen, siger Steen Rasmussen.

Læs også: Vejledning om de registreredes rettigheder i GDPR

Herunder er en hans liste med de tre mest almindelige årsager til persondata i Google Analytics:

Tip 1: IP-adresser

IP-adresser er en GDPR-mæssig gråzone, da de i visse tilfælde kan være personligt identificerbare. En løsning på dette er at tilføje en funktion, der hedder anonymize IP. Det skræller de lagrede IP-adresser for de sidste to cifre og anonymiserer dem dermed yderligere.

Tip 2: Persondata i url’er

Et andet problem, som mange virksomheder har, er at der i deres historiske data findes personligt identificerbar information. Det kan f.eks. skyldes kampagner, hvor persondata har været brugt som parameter. Et eksempel, som vi ofte ser, er url’er, hvor en brugers indtastede mailadresse indgår som parameter i url’en, som dermed bliver personligt identificerbar. En metode til at komme uden om dette er ved at opsætte filtre, der frasorterer denne personlige information ved f.eks.at ekskludere url’er med @.

Tip 3: Eksterne datakilder

En tredje årsag til personlig identificerbare data er eksterne datakilder, som integreres i Google Analytics. Det kan f.eks. være et e-mailmarketingsystem, hvor brugernes personlige e-mailadresse bruges som identificeringsnøgle. Det er i direkte modstrid med GDPR-lovgivningen og kan i værste fald føre til en udelukkelse fra at bruge Google Analytics – for ikke at nævne de store bøder, som GDPR-overtrædelser ser ud til at kunne komme til at kaste af sig. Når eksterne datakilder skal integreres i Google Analytics, er det altså bydende nødvendigt, at det sikres, at personligt identificerbar information ikke hældes ind i analytics.

Læs også: DI: Fem typiske fejl i håndtering af persondata

Stort potentiale i stedet for en øv-proces

Selv om der ligger mange potentielle faldgruber i GDPR, og arbejdet med at overholde den nye forordning kan være lidt af en udfordring, så er der også et stort potentiale for mange virksomheder.

- Vi ser GDPR som en oplagt mulighed for at få styr på data. Se det som ”Return of Analytics” fremfor en øv-proces. Flere af vores kunder, som vi har hjulpet med fundamentet, har netop gjort det muligt at arbejde med aktivering af data til f.eks. machine learning og dermed skabe forretning baseret på data, uddyber Steen Rasmussen.

Du kan læse meget mere om, hvordan den nye GDPR-lovgivning skal tolkes, og hvad det betyder for din virksomhed her.