IMY: "Svenska bolag måste sluta använda Google Analytics"

Fast de har inte tillgång till nycklarna.

https://learn.microsoft.com/en-us/microsoft-365/compliance/cu...

Ifall det var så simpel för dem att få nycklarna så hade ingen bank, sjukhus eller myndighet kört 365

Kräver E5-licenser, vilket långt ifrån alla organisationer investerar i, samt listas bara data at rest, dvs det står inget om hur data in transit berörs.

Vet inte hur mycket du följer utvecklingen, men nyttjandet av M365 i offentlig sektor är långt ifrån ett oproblematisk område. Åtskilliga miljoner skattekronor lägga på analyser och hantering av frågan.

Kryptering av "data in rest" är en sak, men data kan inte vara krypterad "in use" då fungerar det inte att använda det.. så där faller hela den såkallade "krypteringen".

Många myndigheter spenderar en hel del pengar på att inte använda Office 365 (som är ett enda stort j*vla säkerhetshål). Sen finns det alltid dumskallar som köper skit de inte borde ha. Men att office 365 skulle vara säkert för att annars så "hade ingen bank, sjukhus eller myndighet kört 365" är helt enkelt inte sant.

googla t.ex. "office 365 esam" så får du lite att läsa.

IP-nummer kan vara en personuppgift men behöver inte vara det, om du t.ex. sitter på jobbet och surfar lär du förmodligen göra det med en publik IP adress som du delar med alla andra på kontoret och då lär den inte kunna knytas till dig som individ. Om du däremot sitter hemma och surftar med en IP-adress som kan knytas till dig eller åtminstone till ditt hushåll är det förmodligen en personuppgift. Dock är det väl ändå i praktiken rätt smart att se alla IP-adresser som personuppgifter risken annars är uppenbar att man bryter mot lagar och regler i de fall de faktiskt är det.

Återigen, lagen pekar inte ut IP-adresser som personuppgifter, däremot pekar den ut det som kan knytas till en viss person som personuppgifter, vilket skulle kunna vara en IP-adress men lika väl en anteckning på ett papper med en penna efter ett telefonsamtal. I praktiken är det nog dock klokt att ta höjd för risken att en IP-adress skulle kunna knytas till en viss person / vissa personer och att det därmed skulle kunna vara en personuppgift. Man måste skilja på juridik och teknik även om det i praktiken ofta kan hänga ihop.

Fel igen. Microsoft kan läsa din data när den processas på servern, därav "in use".

Du verkar inte riktigt ha koll om du tror att esam ska utveckla något eget, det är inte det de är där för. Men om myndighetsledningarna vill det så går det ju, men då behövs det helt andra resurser (och antagligen ett regeringsbeslut om framtagande av gemensamma system).

Jag ser det nog omvänt - vid ett fall av lagbrott att det inte går att styrka att individen är skyldig baserat på en eventuell loggning av IP. Är det ett litet större företag så är nog chansen högre att om företaget blir stämt att man spårar stämningen till någons interna dator, vilket inte ger samma möjligheter i hemmet.

Om dom skapar ett underföretag? Eller det räcker inte om modern är amerikansk?

Ser inte riktigt kopplingen till GDPR och diskussionen i tråden om spårning via GA etc?

Behöver du det? Det är du som argumenterat väl för att det kan vara en personuppgift men att det kan skilja på privat och arbete - jag säger att det i många fall är en svag sådan. Att Google Analytics inte längre spårar IP-nummer måste väl ändå vara en tydlig koppling till att det i detta fall också blir en svagare personuppgift än det var innan.

Fast nu introducerade du kopplingen till att IP-adressen skulle användas för att spåra individer skyldiga till lagbrott snarare än att skydda deras personliga integritet vilket är något annat även om det såklart kan finnas ett samband i vissa fall.

Huvudfrågan här är väl inte i första hand rätten för den webbplats du besöker att logga IP-nummer utan spridning av informationen till tredje part. Sen finns det väl iof ytterligare aspekter på detta som bortrensning av data man samlat in legitimt men inte längre har rätt att spara osv

Min åsikt är nog snarare att det är väldigt svårt att sprida något som inte lagras, båda sakerna vilka är i sin egen definition ett lagbrott. Den ena mot GDPR, den andra mot valfri applicerbar lag. Kan inte påstå att jag ser skillnaden i sak alls.

Vilken/vilka lagar skulle förbjuda innehavaren av en webbplats att föra loggar över besökarnas IP-adresser?

Tidigare versioner av Google Analytics har inte varit GDPR compliant på grund av att de loggar IP-nummer som sedan kan överföras till amerikanska bolag eller bolag med amerikanskt ägarintresse, med eller utan användarens medgivande. Sedan en knapp vecka tillbaka har denna funktion försvunnit i sin helhet.

Det andra är som vi redan har pratat om i ett par inlägg nu: Om någon exempelvis laddar hem piratmaterial så blir det nu än svårare att påstå att abonnemangsinnehavaren är den skyldige om IP-nummer inte längre lagras genom GA4, Matomo eller andra alternativ. Det är alltså ett lager som fungerar som ett generellt skydd för användarna, och gäller i synnerhet om plattformen är utanför EU.

Du har vad jag kan se fortfarande inte svarat på frågan vilka lagar du åsyftade med ditt påstående. Det är väl i sig helt ok men ökar knappast trovärdigheten för påståendet.

Om GA eller någon annan extern tjänst var enda sättet att lagra information om besökares IP-adresser skulle det möjligtvis kunna få den konsekvensen, men så är inte fallet. Dessutom lär det knappast exekveras några script för GA etc t.ex. om man skulle ladda ner upphovsrättsskyddat material via Torrents etc. Skulle nu någon ändå göra det via sin webbläsare skulle dom förmodligen ändå ha någon form av AdBlocker eller motsvarande som blockerade klienten från att köra skripten för spårning t.ex. via GA.

Om en IP-adress kan kopplas till en person så är det en personuppgift enligt GDPR. Precis som en regskylt på en bil också är en personuppgift om den kan kopplas till en privatperson som ägare.

I sådana fall förstår jag inte din fråga. Om du inte gör kopplingen till piratmaterial, barnporr, hatbrott etc utan att det ska behövas skrivas rakt ut så är det inte någon mening att fortsätta. Det borde vara uppenbart för alla att anonymitet på internet inte är en rättighet, men att det heller inte går att ha det som det är nu. GDPR är riktmärket för alla som har utbyte med EU. Jag har sagt det i andra trådar i liknande ämnen att vi har de tre sedvanliga stegen för teknisk utveckling:

1. Privat sektor utvecklar tjänster

2. Marknaden styr behovet

3. Marknaden regleras av myndigheter

Myndigheterna är alltid sist på pucken, det är den berömda "trögheten" i systemet. Eftersom tråden handlar om Google Analytics är det väl rimligt att fokusera på det, då det är väldigt vanligt på hemsidor av olika slag. Att Google Analytics 4 inte samlar in IP-nummer och loggar dem längre är väl således också en ytterst relevant information som stärker skyddet för individen och samtidigt försvagar IP-nummer som en personuppgift. Kontentan är att vår information är bättre skyddad vilket kan vara både på gott och ont. Givet att det finns alternativ men Google Analytics handlar om att driva trafik till en sida, ljusskygga sidor fungerar kanske på samma sätt riktigt!

Ja, precis som jag skrivit ovan ett par gånger. Men det innebär inte, som många verkar tro, något genrellt förbud för att hantera och lagra personuppgifter i största allmänhet. Då skulle t.ex. tjänster som BankID vara olagliga vilket dom inte är.

Man kan vara hur kreativ som helst men det finns enkla regler inom GDPR som sätter stopp för mycket i och med att datat inte får vare sig varken direkt eller indirekt identifierbar. base64 som går att decoda tillbaka är alltså inte okej. Alltså är bara förstörande kryptering okej men du får heller inte matcha den mot samma person igen. Exempelvis ett hashat IP kan ju matchas om användaren med samma IP besöker tjänsten igen.

En annan grej som många inte förstått är att man bara får lagra så mycket uppgifter som är skäligt för tjänsten. Man får alltså inte lagra vad som helst om en person bara för att det finns en consent-ruta. Varje datapunkt ska kunna styrkas att den är skälig så att säga.

BankID var nog ett dåligt exempel då du först och främst måste vara kund hos en av våra banker som ger ut detta. Dessa banker lyder under Finansinspektionen och i den världen finns det regler som trumfar GDPR. Exempelvis på grund av penningtvättsdirektiven måste allt vara spårbart.

Det håller absolut som exempel. En av de lagliga grunderna för att få behandla personuppgifter är ju just rättslig förpliktelse.

Precis som Improwise är inne på så utgör inte dataskyddsförordningen något absolut förbud att behandla personuppgifter. I fallen som diskuterats i tråden så är det ju inte heller den generella behandlingen som är kärnfrågan, utan överföringen till tredje land.

Jag upplever att du blandar många olika frågor och utifrån ditt resonemang blir jag lite undrande hur väl insatt du är i "tekniken" när du verkar anse att tjänster som GA etc. skulle användas till brottsbekämpning och liknande. Har själv varit inblandad i diverse olika utredningar gällande hackerattacker, intrång, bedrägeri etc. och jag har hittils aldrig varit med om att man försökt nyttja informationen i GA eller motsvarande och jag kan heller inte se vad de skulle tillföra i detta arbete när man redan har tillgång till bättre och mer detaljerad information på närmre håll. Men bidra gärna med lite mer/fler detaljer hur du tänkt här.

Precis så, det verkar finnas stora missuppfattningar kring GDPR och vad det innebär, både när det gäller rättigheter och skyldighet. Detta både hos privatperson och företag, men kanske främst de förstnämnda som verkar fått för sig att dom nu plötsligt inte alls behöver dela med sig av någon data om sig själv och om dom nu ändå gjort det när som helst kan begära att allt skulle raderas.

Det verkar även finnas en hel del missuppfattningar kring hur tjänster som GA med flera faktiskt fungerar rent tekniskt och många verkar tro att det fungerar som någon slags brandvägg eller liknande som all trafik flödar igenom mellan besökaren klient och den "hemsida" man besöker.

Självklart är inte GDPR ett förbud mot att lagra personuppgifter. Det var inte föregångaren PUL heller. Har jag antytt det så menar jag inte det. Givetvis handlar GDPR om hur personuppgifter får hanteras. Jag är också medveten om att vissa andra lagar trumfar på vissa områden.

Ja GA-frågan handlar om tredje land men råkade hoppa in i diskussionen som hade svävat ut från det.

Det var ingen stor grej, mest de här inläggen lite längre upp jag kommenterade på:

Yes, och jag svarade på frågan utifrån ett rent GDPR-perspektiv. Det vill säga vad som gäller om inga andra lagar trumfar.

Jag vet inte om jag förstår vad du menar här riktigt. Vad menar du gäller om "inga andra lagar trumfar"?

Exempel. En tidigare arbetsgivare har lagrat data om dig och du åberopar "Rätten att bli glömd". I det fallet hade de i stort sett behövt radera allt om dig men det finns regler som säger att finansiell information ska lagras ett antal år. Detta skulle trumfa GDPR och de hade behövt informera dig om att viss information kommer att finnas kvar säg 5 år till.