Så tar du kontroll över din hantering av personuppgifter

Dålig kontroll är det egentliga problemet

I somras föll domar mot några stora svenska företag för sättet de använt Google Analytics Universal Analytics (UA) på sina sajter. Domen från Integritetsskyddsmyndigheten (IMY) – som i ett fall innebar böter i mångmiljonklassen – kan bli vägledande även för andra organisationer i hur insamlad data hanteras.

Problemet är egentligen inte Google Analytics, utan hur data hanteras och används, förklarade morgonens talare, Madhusha Silva, dataskydds- och IT-jurist på Dirsys och Uno Ullvén, Head of Media på Mardi Gras. Majoriteten använder sig av ett sätt att spåra som kallas klientsidig spårning och skickar persondata direkt från användaren till USA. Eftersom det dåvarande persondataavtalet mellan USA och EU (EU–US Privacy Shield) sänkts av organisationen None of Your Business (NOYB) var det helt enkelt inte lagligt att överföra personuppgifter på detta sätt. Men som tur är finns det lösningar.

Spårning på serversidan och alternativ till Google Analytics

En möjlig lösning är spårning på serversidan, eller serverbaserad spårning, förklarade Uno Ullvén. Då samlas datan istället in på den egna servern först för att sedan skickas vidare till valt analysverktyg. Det ger dig full kontroll över vilken data som överförs och du kan uppfylla kraven på anonymitet.

En annan möjlig lösning är att använda sig av ett annat spårningsverktyg än Google Analytics, spårningsverktyg som stödjer lokal datainsamling. Det finns en uppsjö att välja på, till exempel Matomo (tidigare Piwik).

Skillnaden mellan GDPR och Lagen om elektronisk kommunikation

Det är också viktigt att hålla isär vilken lag som styr vad, påpekade Madhusha Silva. 

“Många har inte koll på att GDPR “bara” hanterar hantering av personuppgifter och att det är Lagen om elektronisk kommunikation som styr användningen av till exempel cookies, pixlar och servertracking”, förklarade hon.

Det är även här samtycke om hur hanteringen av det som samlas in går till kommer in i bilden. Den gamla tidens “Vi använder cookies på den här sajten” är inte ok längre. En cookiebanner måste lista exakt vad som samlas in, hur länge det sparas och så vidare, och det måste också gå att dra tillbaka sitt samtycke när som helst.

Det finns många leverantörer av cookiebanner-lösningar, däribland några svenska, som gör det lättare att följa lagen. Men Madhusha varnar lite för att lita för blint på dessa lösningar.

“De texter som finns i cookiebanner-lösningar är standardtexter som det är bra att se över för att säkerställa att all information stämmer för just ditt företag, och att texterna är skrivna på ett sätt som är lätt för användaren att förstå.”

Att göra idag, att göra i morgon, att göra nästa vecka

Så vad är planen nu? Var börjar man? För det är inte riktigt läge att sitta lugnt i båten. Uno gav oss en bra lista på vad du behöver göra idag, vad du behöver göra imorgon och vad du behöver göra nästa vecka för att framtidssäkra din datainsamling.

1. Att göra idag: Systembanta/ta bort alla script som inte används. Ta till exempel bort scriptet för UA (Universal Analytics). Även om Google hävdar att scriptet inte samlar in data längre så kan man inte vara säker på att det är sant.
2. Att göra i morgon: Byt till serverbaserad spårning.
3. Att göra nästa vecka: Ta fram en framtidssäkrad marknadsstrategi.
   
   

Om du vill veta mer eller behöver hjälp med vad du kan och bör göra för att säkerställa att du följer alla lagar kring personuppgiftsintegritet och dataöverföring, kontakta Uno Ullvén, Head of Media, uno.ullven@mardigras.se. 

Har du frågor om Mardi Gras Mornings? Kontakta projektledare Ida Berglund, ida.berglund@mardigras.se. 

Missa inte nästa Mardi Gras Morning, anmäl dig till vårt nyhetsbrev!