Som kode24 meldte tidligere i sommer, er det slutt på de strenge reglene som forbyr utlevering av persondata til USA, som kom gjennom Schrems II-dommen.
"Nå har EU-kommisjonen avgjort at USA oppfyller kravene til at det igjen skal være en trygg havn for våre persondata" skrev Hans Kristian Henriksen i kode24.
Nå kan USA igjen få alle persondataene dine: - Samme rettigheter
Én av konsekvensene av de tidligere reglene, var at det norske Datatilsynet mente bruk av Google Analytics ikke var lovlig for norske tjenester.
Etter den nye ordningen, snur tilsynet: I et nytt vedtak sier de nå at bruken av Analytics ikke lenger er ulovlig i Norge. Digi.no meldte nyheten først.
Spørsmålet er om det er så enkelt som at du nå bare kan si opp alle Google Analytics-alternativene, og sende brukerdataen over dammen som før.
Godkjenner ingenting
- Det mange utviklere nå lurer på helt konkret, er jo: Kan vi nå skru på Google Analytics igjen? Er det faktisk så enkelt?
- Dette med Google Analytics er litt komplisert, fordi vi ikke godkjenner tjenester. Vi kan si «skru av», men vi kan ikke nødvendigvis si «skru på», forteller seksjonssjef Tobias Judin i Datatilsynet til kode24.
- I stedet kan vi si noe sånt som det var tidligere problematisk med overføringer til Google i USA, men den problemstillingen er borte nå. Vi har tidligere anbefalt nettsteder å utforske alternativer til Google Analytics, men det gjør vi ikke lenger nå, fortsetter han.
GDPR-trygge alternativer til Google Analytics? Tormund har oversikten
Må vurdere selv
Altså: Der Datatilsynet tydelig sa nei til Google Analytics tidligere, sier de ingenting nå. Og ordspråket tilsier at den som tier, også samtykker.
Det nye vedtaket til Datatilsynet handler om Telenor.com sin bruk av Google Analytics. Tilsynet skriver på egne nettsider at denne bruken var ulovlig, men ikke lenger er ulovlig, med de nye reglene.
"Med andre ord: Det som frem til nå har vært et stort problem med Google Analytics, virker å være løst. Når det er sagt, utelukker vi ikke at det kan være andre personvernutfordringer med verktøyet" skriver Datatilsynet.
- Er det noe konkret dere er skeptiske til?
- Her er poenget: Analyseverktøy kan brukes på ulike måter og i ulike sammenhenger. Under personvernregelverket er det derfor stort sett ikke mulig å si et at verktøy alltid er lovlig eller alltid ulovlig. Det betyr at virksomhetene må vurdere alle verktøy de bruker opp mot kravene i GDPR i lys av deres individuelle situasjon, svarer Judin, og tipser om deres egen sjekkliste for slikt.
Kan skje igjen
- For å ta et konkret eksempel: Noen nettsider, som nettapotek, bør helst unngå analyseverktøy som behandler personopplysninger. Grunnen er at analysedataene ville vært så sensitive. Da har det ikke noe å si om det er Google Analytics eller noe annet, fortsetter Judin i Datatilsynet.
- Men si man nå skrur på Google Analytics igjen; kan man risikere at det igjen blir vurdert som ulovlig i Norge?
- Ja. Max Schrems ønsker å utfordre det nye rammeverket med USA. Dersom han vinner frem, blir det igjen vanskelig å overføre personopplysninger lovlig til USA, og i så fall vil Google Analytics bli skadelidende igjen.