Gå til indhold
cutty.dev
All posts

Link-forkorter og GDPR — hvad du skal vide, før du indsætter et link til et nyhedsbrev

URL-forkortere indsamler klikdata — og det er allerede et spørgsmål om GDPR. Vi forklarer, hvad en URL-forkorter kan se, hvor disse data ender, og hvorfor serverens placering har betydning, når du opererer i EU.

Et enkelt klik på et forkortet link er i gennemsnit fire data, der gemmes i det skjulte: IP-adresse, browser, system, indgangskilde. Fire. Og gang nu dette med 3000 nyhedsbrevsmodtagere, som klikker på linket til dit tilbud søndag morgen. Du har pludselig en database med flere tusinde poster, som du ikke engang har set med egne øjne.

Og det er præcis det øjeblik, hvor link-forkortere og GDPR ophører med at være et teoretisk juridisk problem for advokater og begynder at være dit eget.

Fordi en IP-adresse i EU er en personoplysning. Ikke "næsten", ikke "i visse tilfælde". En personoplysning. Hvis du indsætter et forkortet link i en virksomhedskampagne, er du som administrator ansvarlig for, hvad der sker med IP-adressen på de mennesker, der klikker på det.

Hvad ser en trimmer egentlig, når nogen klikker

Listen er kortere, end den ser ud, men tilstrækkelig tæt:

  • IP-adressen for den besøgende (det vil sige den person, der er nævnt ovenfor),
  • user agent, hvilket er browseren og systemet,
  • referer — hvilken side besøget kom fra,
  • omtrentlig lokation, beregnet ud fra denne IP.

Det er nok til at skabe pæne klikstatistikker. Det er også nok til at ende med de forpligtelser, som de fleste mennesker ikke tænker over, når de hurtigt klistrer et link ind før afsendelse.

Hvor ender disse data (og hvorfor det er vigtigere end selve statistikken)

Her er selve krogen. Mange kendte URL-forkortere er virksomheder uden for Europa, oftest amerikanske. Du klikker på "skurt", indsætter et link til et nyhedsbrev, og data om, hvem, hvornår og hvorfra der blev klikket, sendes over Atlanten.

To problemer, ét efter ét.

Første: overførsel af data uden for EU kræver et juridisk grundlag, og selve fundamentet for denne overførsel kan være omskifteligt. Reglerne har allerede ændret sig flere gange, og intet tyder på, at dette er slutningen.

Andet: data falder under en anden juridisk orden. Som europæisk administrator har du den simpelthen ikke kontrol over. Hvor serveren fysisk står, ophører med at være en kedelig detalje i dokumentationen. Det bliver til en beslutning om, hvorvidt du overholder GDPR eller ej.

Hvad reducerer reelt risikoen

Tre ting. Uden magi.

Server i EU. Klikdata forlader ikke Europa, så hele spørgsmålet om tværatlantisk overførsel bortfalder simpelthen. Mindre at oversætte, mindre at holde øje med.

Færre indsamlede data. Jo mindre værktøjet gemmer, jo mindre skal du bekymre dig om. Det er godt, når IP-adressen er hashet i stedet for at ligge i klartekst — så kan du se statistikker, men uden at gemme den rå adresse på en specifik person. Det er netop den funktion, som vi har indbygget i cutty.dev, fordi resten er halvhjertet uden den.

Ingen sporing på tværs af tjenester. En browser, der ikke samler besøgelsesprofiler og ikke videresælger data, er ét problem mindre på listen.

I praksis, eller hvad man skal gøre mandag morgen

Det handler ikke om at holde op med at forkorte links. Fortsæt med at forkorte dem. Det handler blot om at vælge et værktøj bevidst og ikke bare det første, man finder i en søgemaskine.

  1. Tjek, hvor serveren står, og hvem der overhovedet driver den.
  2. Tjek, hvad den gemmer, og hvor længe.
  3. Hvis du indsamler besøgsdata, skal du tilføje en URL-forkorter til din privatlivspolitik. Kun én sætning. Det gør virkelig ikke ondt.

Det er alt. Dette er ikke juridisk rådgivning (jeg er ikke din advokat), men det er fundamentet, som overholdelse opbygges meget lettere på, end hvis data flygter over Atlanten fra det første klik.

Og hvis du kun skulle huske én sætning fra dette: før du indsætter et link til dit nyhedsbrev, så tjek, hvor dine læseres IP-adresse lander. Det er et spørgsmål om fem minutter, som sparer dig for langt mere frustration senere.