Conversion

Vi skaber effektive online marketing løsninger, fordi vi forstår teknologi og brugeradfærd. Vi arbejder dedikeret med data og søger konstant at omsætte indsigt i brugeradfærd til forretningskritiske handlinger.

  • google
  • google analytics
  • dataanalyse
  • data

Fremtiden for Google Analytics

Skrevet af Simon Westphall Pansch | 28-09-2022

Datatilsynet har d. 21. September 2022 afgjort, at Google Analytics ikke lovligt kan benyttes uden væsentlige tilpasninger ift. delingen af data med Google Analytics’ servere. I denne artikel går vi i dybden med afgørelsen, eventuelle løsningsforslag og vurderer, om der er en fremtid for Google Analytics.

Med risiko for at være lyseslukkere, så kan vi lige så godt starte med konklusionen: Vi ser ikke længere en farbar vej med Google Analytics for virksomheder i Danmark. Det skyldes de mange datapunkter og datatyper, som ikke længere må deles med Google Analytics’ servere - og som mere eller mindre tager al styrken ud af vores rapporter og indsigter. 

I denne artikel gennemgår vi afgørelsen og kommer med alternative løsningsforslag – hvis der er nogen. I sidste ende, er det naturligvis op til jeres forretning at vurdere, hvilken vej, der er rigtig for jer fremadrettet.

Vores anbefaling: 

  1. Tag kontakt til os eller jeres partner på tracking ift. afklaring af jeres behov i dag og i fremtiden. Hvad vil I gerne kunne bruge jeres web- og appdata til?
  2. Foretag en vurdering af mulighederne med Google Analytics og alternative værktøjer i samarbejde med jeres DPO
  3. Udarbejd en konkret handlingsplan

Afgørelsens elementer - og konsekvenser

I Datatilsynets afgørelse henviser Datatilsynet til deres egen FAQ i forbindelse med Google Analytics samt en vejledning fra det franske tilsyn, CNIL.

I den franske vejledning har franskmændene en række løsningsforslag, som vi vil gå i dybden med her, og derefter give vores vurdering af: 

Helt generelt, foreslår CNIL en reverse-proxy løsning, som fx en Google Tag Manager server-side eller en klassisk server-side-implementering. Her er nogle forslag til den reduktion/censurering af data, der skal ske, før dataen sendes til Google Analytics’ servere. 

  • the absence of transfer of the IP address to the servers of the analytics tool. If a location is transmitted to the servers of the measurement tool, it must be carried out by the proxy server and the level of precision must ensure that this information does not allow the person to be re-identified (for example, by using a geographical mesh ensuring a minimum number of Internet users per cell);

Hvad betyder det? IP-adressen bruges til at bestemme en cirka lokation for brugeren af vores website eller app. Det er ikke på adresse- eller vejniveau, men hvilken by, og deraf region og land også.

Konsekvens: Her mister vi adgang til de af Google Analytics indbyggede rapporter, der anvender geografi.

Delvis løsning: Ved udvidelse af tracking-setuppet, kan vi sende geografi-data med i custom parametre og laver rapporter med geografi i GA4 eller DataStudio.

  • the replacement of the user identifier by the proxy server. To ensure effective pseudonymisation, the algorithm performing the replacement should ensure a sufficient level of collision (i.e. a sufficient probability that two different identifiers will give an identical result after a hash) and include a time-varying component (adding a value to the hashed data that evolves over time so that the hash result is not always the same for the same identifier) ;

Hvad betyder det? Her er tale om en datatype, der spænder over flere forskellige datapunkter. For at blive klogere på, hvad de mener, kan man læse den korte version af CNILs egen afgørelse her eller den lange her.

I CNILs fulde afgørelse nævner CNIL flere datapunkter op som værende “user identifiers”;

  • Google Analytics cookie-ID’er
  • Transaktions-ID’er
  • Interne ID’er (fx brugerID, subscriber ID)
  • Eksterne ID’er fra services til bekræftelse af identitet (fx Google login)

Ud over de specifikke eksempler, så understreger de, at lignende datapunkter, der refererer til en specifik bruger, også gælder som persondata. Så ovenstående liste er ikke udtømmelig. 

Konsekvens: Vi kan ikke længere dele fx Google Analytics cookie-ID’er med Google Analytics’ servere. Det har vidtrækkende konsekvenser for, hvad vi kan få ind i Google Analytics - og vi må forvente, at kvaliteten af vores data forringes væsentligt.

Løsning: Måske vores server-side-løsning kan udskifte cookie-ID’er med andre tilfældigt udstedte ID’er. Spørgsmålet er, hvordan vi ender med at sætte dem i spil - for vi kan let ende med at disse nyudstedte ID’er går hen og bliver personhenførbare i sin egen ret. Man skal derfor i sidste ende overveje om outputtet i sidste ende er den store indsats værd.

  • the removal of external referrer information from the site;

Hvad betyder det? Ved alle website-besøg anvender Google Analytics (og alle andre web analytics-platforme) “referrer data”, som fortæller Google Analytics, hvor trafikken kommer fra helt overordnet.

Konsekvens: Uden “referrer data” og uden UTM koder, så vil al trafik blive puljet i én trafikkanal: (Other) / (Andet).

Løsning: Der er ingen løsning på dette ved fortsat brug af Google Analytics. Hvis man fortsat ønsker denne information, skal man anvende en anden web analytics-løsning.

  • the removal of any parameters contained in the collected URLs (e.g. UTMs, but also URL parameters allowing internal routing of the site);

Hvad betyder det? UTM-koder bruger vi til at genkende og differentiere trafik fra medier og kampagner, vi har en kontrol over. I stedet for blot at få at vide, at vores trafik kommer fra Facebook, får vi information om, hvilken specifik kampagne og annonce, der har ledt til et klik.

Konsekvens: Uden “referrer data” og uden UTM-koder, så vil al trafik blive puljet i én trafikkanal: (Other) / (Andet).

Løsning: Der er ingen løsning på dette ved fortsat brug af Google Analytics. Hvis man fortsat ønsker denne information, skal man anvende en anden web analytics-løsning.

  • reprocessing of information that can be used to generate a fingerprint, such as user-agents, to remove the rarest configurations that can lead to re-identification;

Hvad betyder det? Når en bruger åbner en app eller browser, så har vi faktisk adgang til at identificere ret mange informationer om brugerens enhed. User-agent bliver nævnt som et eksempel, og netop user-agent fortæller os, hvilket device en bruger benytter (fx iPhone 12), hvilken version af styresystem og lidt andet. Det kan være ganske nyttig information for os, så vi kan optimere kodningen af vores app/website til dem, der faktisk benytter det - men det giver os også adgang til megen anden information. Spørgsmålet er, hvor meget vi kan lytte til og indsamle, før en bruger bliver re-identificerbar ud fra dataen via “device fingerprinting” metoder.

Konsekvens: Vi skal være påpasselige med at samle data op om brugerens enhed eller andre omstændigheder. Vi kan ende med et tilstrækkeligt datasæt, som vi kan bruge til at re-identificere brugere, og dermed producere persondata. Vi skal altså vurdere, forklare og dokumentere alt, vi indsamler, hvorfor vi gør det og hvordan, vi undgår at producere et datasæt, vi kan re-identificere brugere med.

Løsning: Begræns jeres dataindsamling, og lad være med at anvende fingerprinting.

  • the absence of collection of cross-site or lasting identifiers (CRM ID, unique ID);

Hvad betyder det? Her kommer vi ind på de interne ID’er, som CNIL gik mere i dybden med i deres egen afgørelse. Interne ID’er kan man dele med Google Analytics for at opnå brugergenkendelse over længere tid og på tværs af enheder.

Konsekvens: Vi kan ikke længere benytte brugergenkendelse med Google Analytics

Løsning: Stop delingen af interne ID’er med Google Analytics.

  • the deletion of any other data that could lead to re-identification.

Hvad betyder det? Denne har vi næsten været omkring, men her er fokus at få slettet allerede opsamlet data, der kan benyttes til re-identifikation.

Konsekvens: Vi skal slette meget Google Analytics-data. Særligt med Universal Analytics har vi dårlig mulighed for at få slettet data - og formelt set har vi ikke kontrollen. Vi sender blot et “data deletion request”.

Løsning: Slet jeres Google Analytics konto fuldstændigt.

Med denne gennemgang står det nok klart, at vi ikke er særlig optimistiske på Google Analytics’ vegne. Umiddelbart kan det virke uoverskueligt at udskifte Google Analytics med andre værktøjer, men det er dog alligevel vores anbefaling. For hvis ikke nu, så ender det nok sådan på et tidspunkt alligevel. Hvis I har brug for hjælp til det bedste alternativ til lige netop jeres setup, så hjælper vi gerne.

Brug for assistance?

Leder du efter en digital partner, der kan hjælpe jer med at strukturere og styrke jeres dataindsamling så I får mere værdi ud af Google Analytics – så ræk ud. Vi giver kaffe både i København og Aarhus.