JUSS OG SAMFUNN

Nytt vedtak om Google Analytics: Anonymisering av IP-adresser ikke nok

Italias datatilsyn, Garante, følger de andre datatilsynene i Europa og advarer italienske nettstedeiere mot bruk av Google Analytics.

Det er ikke nok å fjerne deler av IP-adressen før overføring til tredjeland, konkluderer det italienske datatilsynet.
Det er ikke nok å fjerne deler av IP-adressen før overføring til tredjeland, konkluderer det italienske datatilsynet. Skjermbilde: Google Analytics
27. juni 2022 - 05:00

– En nettside som bruker Google Analytics, uten sikkerhetstiltakene fastsatt i GDPR, bryter personvern-loven fordi den overfører brukeres data til USA, et land som mangler tilstrekkelig databeskyttelse.

Det skriver det italienske datatilsynet Garante i en pressemelding torsdag.

Vis mer

I tett samarbeid med andre datatilsyn i Europa har Garante gjennomført det de beskriver som en «kompleks undersøkelse» basert på flere klager.

Konklusjonen: Nettsider som bruker Google Analytics samler, gjennom informasjonskapsler, informasjon om brukeres interaksjon med nettsidene, besøkte sider og tjenester. Dataene som blir samlet inkluderer IP-adresser, nettleser-informasjon, operativsystem, skjermoppløsning, språkvalg, dato og tidspunkt. Denne informasjonen blir overført til USA, noe som er ulovlig etter Schrems II-kjennelsen.

Det blir stadig viktigere for skyleverandørene å kunne love digital suverenitet til kunder med sensitive data. Bildet er en illustrasjon av det nye datasenteret Google bygger i Skien.
Les også

Google lover bedre datakontroll til visse Workspace-kunder

Ikke nok å anonymisere IP-adresse

– IP-adressen er persondata og ble ikke anonymisert, selv om den ble avkortet – gitt Googles evner til å berike slike data gjennom tilleggsinformasjon de allerede sitter på, skriver Garante.

De følger dermed både Østerrike og Frankrike, som har konkludert med at anonymiseringen Google tilbyr gjennom å fjerne en del av sifrene i IP-adressen, ikke er nok.

Østerrike parkerte i sitt siste vedtak både argumentene om anonymisering og risikobasert tilnærming som irrelevante.

Venter på ny transatlantisk data-avtale

25. mars sto USAs president Joe Biden, og EU-kommisjonens president Ursula von der Leyen sammen på talerstolen og la stolt frem at de hadde «blitt enige om en enestående avtale for beskyttelse av personvernet til våre innbyggere».

Nyheten ga håp om etterlengtet juridisk klarhet etter at Schrems II-dommen i 2020 slo fast at Privacy Shield, avtalen som sikret lovlig utveksling av persondata over Atlanterhavet, var ugyldig.

En slik avtale ville igjen gjøre bruk av verktøy som Google Analytics uproblematisk.

Men allerede før avtaleteksten er på plass, varsler personvernforkjempere at de vil sørge for å få prøvet det nye «transatlantiske personvern-rammeverket» i retten. Det kan dermed ta flere år før en reell ny dataoverføringsavtale er klar.

Brukere av Google Analytics må uansett belage seg på å se etter alternative webanalyseverktøy ettersom verktøyet, slik vi kjenner det, blir slått av i 2023.

Advarer nettstedeiere

Selskapet Garante har behandlet klagen på, har nå 90 dager på seg til å endre egen praksis. Garante benytter anledningen til å sende en advarsel til alle italienske nettstedeiere.

– Det italienske datatilsynet ønsker å gjøre alle italienske nettstedoperatører, både private og offentlige, oppmerksomme på at det er ulovlig å overføre data til USA gjennom bruk av GA, skriver Garante. 

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
På trappene til internasjonal suksess
På trappene til internasjonal suksess
Åpenhet om behandling av personopplysninger er en forutsetning for at folk skal kunne ivareta rettighetene sine, skriver TV 2s personvernombud Erlend Bakken.
Les også

Samtykket har fått en renessanse

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.