GDPR legger opp til at virksomheter selv skal vurdere om deres behandling av personopplysninger ivaretar forordningens informasjonssikkerhets-krav og personvernprinsippene i tilstrekkelig grad. Det er mange områder å holde kontroll på, og det kan være vanskelig å prioritere fokus og ikke minst å få lagt noen baller døde. Særlig siden Schrems-II-dommen har det regulatoriske landskapet vært skiftende, og etter mer enn 18 måneder senere er mange fremdeles i prosess med å kartlegge, vurdere og ha dialog med leverandører om overføring.
I januar kom det et nytt kapittel i Schrems-II sagaen da det østerrikske datatilsynet kom til at bruk av Google Analytics innebærer ulovlig overføring av personopplysninger til USA. Kort tid etter ga de danske og nederlandske tilsynene signaler om at de muligens vil følge den østerrikske avgjørelsen og nå i februar kom det en tilsvarende avgjørelse fra CNIL, det franske datatilsynet. Datatilsynet i Norge har gått offentlig ut med at de trolig vil vurdere Google Analytics på samme måte. Det ligger dermed i kortene at tilsynsmyndighetene i Europa vil fokusere på dette fremover. Så hva kan virksomhetene gjøre for å redusere risikoen for sanksjoner? Heldigvis kan det være langt enklere å redusere risikoen denne gangen.
Det enkleste tiltaket
Google Analytics er et svært populært analyseverktøy som bruker cookies for å spore besøkende på nettsider. Den enkleste utgaven av Google Analytics er gratis og lett å ta i bruk. Teknologirådet kartla i 2021 at fire av fem offentlige virksomheter sporer og analyserer brukerne på sine nettsider enten ved bruk av cookies eller andre sporingsteknikker som pixels (sporingsbilder) der nettleseren samler inn og deler informasjon brukerne av sidene, og på tvers av ulike sider nettsider.
Hvis din virksomhet bruker Google Analytics er det like lett å avbestille tjenesten ved å slå den av som å ta den i bruk. Dette er et enkelt tiltak for å sikre at egen virksomhet er i tråd med signalene fra tilsynsmyndighetene i Europa.
Andre viktige tiltak for å unngå sanksjoner
I den østerrikske avgjørelsen vurderte tilsynsmyndigheten først om brukerdataen var personopplysninger. Google hevdet at opplysningene som ble overført til USA var anonymisert. Personopplysninger som er anonymisert er ikke omfattet av GDPR, og kan derfor overføres fritt.
Tilsynsmyndigheten gjorde en helhetsvurdering av opplysningene som samles inn i forbindelse med bruk av analyseverktøyet, dette var bl.a. innstillinger i nettleseren, IP-adresse og sidene brukeren besøket, og kom til at det var mulig for Google, og andre, å finne tilbake til den enkelte bruker. Da dataene var personopplysninger, var veien kort til å konkludere med brudd på reglene om overføring, siden Google ikke tilbød kryptering av opplysningene hvor krypteringsnøkkelen oppbevares hos tredjepart.
Hvilke verktøy kan brukes fremover?
Det er usikkert om det østerrikske tilsynet ville kommet til samme konklusjon dersom kategoriene av brukerdata var andre eller med flere anonymiseringstiltak. Tilsynsmyndigheten la til grunn den såkalte «motivert inntrenger»-testen hvor målestokken for hvor godt dataene er anonymisert, er om dataene lar seg reidentifisere dersom en motivert inntrenger skulle prøve seg. Tilsynsmyndigheten tok ikke stilling til spørsmål om f.eks. anonymisering av IP-adresser ville vært et tilstrekkelige tiltak, siden det ikke var en del av saksforholdet.
Det franske tilsynet har imidlertid publisert anbefalinger for analyseverktøy som ivaretar resultatet av den østerrikske avgjørelsen. Disse kan være relevante for norske virksomheten å se til siden resultatet i Google Analytics-avgjørelsen har kommet til gjennom dialog med alle tilsynsmyndighetene. Anbefalingene går blant annet ut på umiddelbart å anonymisere IP-adressen til den besøkende, at data analyseres på aggregert nivå, og at anonymisering skjer før data overføres utenfor EØS. Dette gjør det vanskelig å bruke de mest populære analyseverktøyene fra de store amerikanske tjenesteleverandørene som Google og Facebook.
Siden Google Analytics er enkelt å ta i bruk, ofte kostnadsfritt for virksomheten, er det ikke vanskelig å se for seg at mange ikke har tatt tilstrekkelige vurderinger da verktøyet ble tatt i bruk, og ikke fulgt egne rutiner for anskaffelse av nye løsninger eller funksjonalitet (risikovurderinger, vurdering av underleverandører, gjennomføring DPIA osv.). De som ønsker å fortsette å bruke analyseverktøy, bør ta en grundigere vurdering av nye verktøy eller undersøke om Google Analytics kan settes opp på måter som ivaretar nettsidebesøkendes anonymitet. Det finnes flere alternative tjenester som ikke innebærer overføring av personopplysninger utenfor EØS.
Sporing på nettsidene er høyrisikosport for virksomheten
Ulovlig sporing på nettsider er høyrisikosport når det gjelder etterlevelse av GDPR av minst to årsaker. For det første er bruken av cookies og andre sporingsverktøy synlig for brukerne som besøker siden. Det er lett for brukerne selv å sjekke dette med verktøy som er gratis tilgjengelig på nett, f.eks. et utviklet og tilgjengeliggjort av det franske datatilsynet. Etter hvert som bevisstheten øker om personvern i samfunnet, er det det derfor mer sannsynlig å bli klaget inn til Datatilsynet.
For det andre er det tilsvarende enkelt for tilsynsmyndighetene å gjennomføre kontroll med nettsider. Max Schrems’ organisasjon som jobber for bedre personvern i Europa, gjennomførte en automatisert analyse av HTML-kodene på nettsider som resulterte i 101 klager mot selskap i hele EØS for brudd på overføringsreglene, herunder Sbanken og Telenor. Både den østerrikske og franske avgjørelsen har bakgrunn i disse klagene. I prinsippet kan tilsynsmyndighetene også benytte seg av lignende metoder for å gjennomføre kontroll med nettsider. Det er lett å konstatere at det foreligger et brudd ved å sjekke hvilke sporingsverktøy som brukes, siden tilsynsmyndighetene anser at Google Analytics ikke er innenfor Schrems-II slik tjenesten nå foreligger.
Den samme gjelder for andre forhold som ligger åpent på siden, f.eks. om cookie-banneren er i henhold til regelverket. Spørsmålet om hvordan denne skal se ut er fremdeles ikke klart i Norge, men i resten av Europa skal det være like enkelt å si nei til sporing som å si ja. Derfor kan det være hensiktsmessig å følge ekstra godt med på utvikling for bruk av cookies og andre sporingsverktøy, eller velge en leverandør som har fokus på personvernvennlige løsninger.
Visma med stor IT-blemme: – Vi tar hendelsen alvorlig