Artikler

Kan Google Analytics brukes før brukeren har gitt samtykke?

Det har vært mye forvirring og usikkerhet rundt Google Analytics og regelverket for Personvern (GDPR) de siste årene. Kan du spore trafikken på websiden din med Google Analytics uten at den besøkende har gitt aktivt samtykke?
Det enkle svaret er "NEI" da bryter du GDPR-lovverket.

Profilbilde av Øyvind Østmo
Skrevet av Øyvind Østmo
15. Sep 2022
Lesetid: 5 min

De fleste markedsførere er godt kjent med Google Analytics. Det er en kraftig alt-i-ett-plattform bygget for å måle engasjement og trafikk på tvers av nettsteder og apper, og kan være veldig nyttig både når det gjelder innhenting og kapitalisering av data.

Men er det i samsvar med GDPR å bruke Google Analytics? Hvordan balanserer du Google Analytics, informasjonskapsler og sluttbrukers samtykke på nettstedet ditt?

I denne artikkelen ser vi på både Google Analytics, informasjonskapsler og EUs GDPR-krav for websiden din. Vi ser også på hvordan du kan bruke Googles samtykkemodus for å få Google Analytics til å kjøre basert på sluttbrukers samtykke, for å få mest mulig ut av Google Analytics innenfor GDPR-regelverket.

Hvordan fungerer Google Analytics, og er det lovlig i henhold til GDPR?

På et teknisk nivå fungerer Google Analytics gjennom JavaScript-tagger i nettstedets kildekode som setter informasjonskapsler i nettleseren til brukeren. Informasjonskapslene henter inn personlige og noen ganger sensitive data fra den besøkende på nettstedet.

I henhold til EUs GDPR-lovverk er du pålagt å be om og innhente det eksplisitt samtykke for å utføre enhver form for informasjonskapsel eller sporing på nettstedet ditt som behandler personopplysninger.

Bruk av Google Analytics på nettstedet ditt setter informasjonskapsler på brukernes nettlesere som behandler personopplysninger.

Bruk av Google Analytics er derfor ikke GDPR-kompatibelt som standard.

Les videre for å finne ut hvordan kan du gjøre nettstedets bruk av Google Analytics GDPR-kompatibelt. Det er mulig å balanserer Google Analytics, informasjonskapsler og brukersamtykke på nettstedet ditt så du fortsatt får denne verdifulle statistikken og innsikten uten å bryte europeiske databeskyttelseslover og brukernes tillit.

Bilde til artikkel om brudd på GDPR
Relatert artikkel

TEST: Over 250.000 norske bedrifter bryter personvernreglene (GDPR) på websidene

Steg for å gjøre Google Analytics GDPR-kompatibelt

Steg 1: Brukersamtykke

Du må be om og innhente eksplisitt og gyldig samtykke fra brukerne dine for å bruke Google Analytics i samsvar med GDPR på nettstedet ditt.

Eksempel på dialog for brukersamtykke på norden.no
Eksempel på dialog for brukersamtykke på norden.no

Et gyldig GDPR-samtykke ser slik ut:

  • Eksplisitt samtykke må innhentes før aktivering av informasjonskapsler (bortsett fra hvitelistede, nødvendige informasjonskapsler).
  • Samtykker må være granulære, det vil si at brukere må kunne aktivere noen informasjonskapsler i stedet for andre og ikke være tvunget til å samtykke til verken alle eller ingen.
  • Samtykke skal gis fritt, det vil si at de ikke kan tvinges.
  • Samtykker må kunne trekkes tilbake like enkelt som de er gitt.
  • Samtykker skal oppbevares sikkert som juridisk dokumentasjon på at samtykket er innhentet.
  • Samtykke må fornyes minst én gang i året.

For å hente brukersamtykke bruker en gjerne en såkalt CMP (Cookie Management Platform) som CookieYes. Denne kan legges inn på websiden via Google Tag Manager, og er kompatibel med Google sin nye Samtykkemodus som forenkler brukersamtykke i Google-produktene. Riktig implementert vil Google Samtykkemodus sørge for at Google Analytics kun aktiveres dersom brukeren har gitt sitt samtykke.

Bryter din bedrift personvernreglene?

Vi sjekker websiden deres uten kostnad og sender et uforpliktende forslag til løsning.

Bestill gratis sjekk

Steg 2: Detaljerte retningslinjer for personvern og informasjonskapsler

Personvernerklæringen deres må inneholde detaljert informasjon om alle informasjonskapsler Google Analytics setter og andre sporingsteknologier som er i drift på nettstedet ditt.

Her må du være åpen om databehandlingen på nettstedet ditt. Sørg for at all databehandling på nettstedet ditt er tydelig angitt i personvernreglene dine, inkludert formålene du samler inn data for, hva slags data du samler inn og hvem du deler dem med.

I tillegg til – eller som en del av personvernreglene dine – bør retningslinjene for informasjonskapsler være tilgjengelige for brukerne dine. Angi hvilke informasjonskapsler som er i bruk, hvilket formål de tjener, og hvordan man kan velge seg inn og ut av dem.

Steg 3: Anonymisér IP-adressen til brukeren i Google Analytics

Som standard henter Google Analytics 3 inn IP-adressen til brukeren. Vi anbefaler alltid å skru på anonymisering av IP i Google Analytics. I den nye versjonen Google Analytics 4 er dette standard.

Steg 4: Sjekk at løsningen faktisk virker som den skal

Nå er det på tide å vise hvem som er sjefen :) Hvis du har fått satt opp en samtykkeløsning er det enkelt å sjekke om den virker som den skal, eller om du som hundre tusener av andre norske bedrifter bare tror at alt er i orden. Det er nemlig ingen automatikk i at samtykke-dialogen brukeren klikker "Nei takk" på sperrer f.eks. en Facebook-pixel som er strengt forbudt å fyre av uten samtykke.

Slik sjekker du din egen side i Google Chrome:

Vi kan scanne websiden din og gi deg en rapport - helt gratis - bare fyll ut skjemaet her.

Konklusjon: Google Analytics kan ikke aktiveres av uten aktivt samtykke fra brukeren

Det er altså ikke lov i henhold til GDPR-regelverket å aktivere Google Analytics før brukeren har gitt aktivt samtykke til bruk av informasjonskapsler.

Vi hjelper deg gjerne å sette opp samtykkeløsning og løpende monitorere websiden din, så slipper du også å bli ekspert på GDPR og samtykke på web - det tar nemlig ganske lang tid :) Her kan du se mer om hvordan CookieGuard-tjenesten fungerer og oversikt over abonnementer vi tilbyr til bedrifter i alle størrelser.

Finnes det noen alternative analyseløsninger som ikke krever brukersamtykke?

Det er faktisk helt mulig å måle trafikken på websiden uten å bruke Google sine produkter, og uten å sette informasjonskapsler hos brukeren. Her er noen alternativer. Ta gjerne kontakt med oss hvis du vil lære mer om mulighetene dine.

Matomo

Matomo er et alternativ til Google Analytics som beskytter brukerens personvern, og ikke krever brukersamtykke. Det betyr at all trafikken kan måles, og vi ikke kun får registrert besøk fra brukere som gir samtykke. Vi har noen kunder som har erstattet Google Analytics med Matomo, og noen som kjører den ved siden av Google Analytics for å ha en kilde som sporer all trafikk uavhengig av brukersamtykke.

Plausible

Plausible er en lettvekts-alternativ til Google Analytics, med åpen kildekode. Plausible setter ingen informasjonskapsler og er fullt kompatibel med GDPR, CCPA og PECR. Produktet er laget i EU og driftes på europeisk skyinfrastruktur.

Piwik PRO

Piwik PRO er utviklet i Europa som et fullverdig alternativ til Google Analytics. Plattformen har innebygget brukersamtykke, og har alternativer for å spore bruk uten å sette informasjonskapsler.

Trenger du hjelp med en samtykkeløsning?

VI er eksperter på oppsett av samtykkeløsninger og løpende monitorering som holder deg innenfor GDPR-regelverket.

Se priser
Sjekk webside
Book samtale