Gå til hovedinnhold
cutty.dev
All posts

URL-forkorter og GDPR — hva du må vite før du legger til en lenke i et nyhetsbrev

Lenkekortverkere samler inn klikkdata — og dette er allerede et spørsmål om GDPR. Vi forklarer hva en lenkekortverker ser, hvor disse dataene havner, og hvorfor serverens plassering har betydning når du opererer i EU.

Ett klikk på en forkortet lenke er i gjennomsnitt fire data som lagres i det stille: IP-adresse, nettleser, operativsystem, kilde. Fire. Multipliser dette nå med 3000 nyhetsbrev-abonnenter som klikker på lenken til ditt tilbud en søndag morgen. Du har plutselig en database med flere tusen poster som du ikke engang har sett øynene på.

Og det er akkurat dette øyeblikket hvor URL-forkortere og GDPR slutter å være et teoretisk juridisk problem for advokater, og begynner å bli ditt.

Fordi en IP-adresse i EU er en personopplysning. Ikke "nesten", ikke "i enkelte tilfeller". En personopplysning. Hvis du legger inn en forkortet lenke i en bedriftskampanje, er du som administrator ansvarlig for hva som skjer med IP-adressene til menneskene som klikker på den.

Hva en forkorter egentlig ser når noen klikker

Listen er kortere enn den ser ut til, men tilstrekkelig tett:

  • IP-adressen til den besøkende (det vil si personen nevnt ovenfor),
  • user agent, det vil si nettleser og operativsystem,
  • referer — hvilken side besøket kom fra,
  • omtrentlig lokasjon, beregnet ut fra denne IP-adressen.

Dette er nok til å lage fine klikkstatistikker. Det er også nok til å havne i oppgaver som de fleste ikke tenker på når de raskt limer inn en lenke før utsending.

Hvor havner disse dataene (og hvorfor det er viktigere enn selve statistikken)

Her er selve haken. Mange kjente forkortere er selskaper utenfor Europa, som oftest amerikanske. Du klikker på «forkort», limer inn lenken til nyhetsbrevet, og data om hvem, når og hvorfra det ble klikket, sendes over havet.

To problemer, etter hverandre.

Første: overføring av data utenfor EU trenger et rettslig grunnlag, og selve fundamentet for denne overføringen kan være i endring. Reglene har allerede endret seg flere ganger, og ingenting tyder på at dette er slutten.

For det andre: data faller under en annen rettslig jurisdiksjon. Som europeisk behandlingsansvarlig har du rett og slett ikke kontroll over den. Hvor serveren fysisk står, slutter å være en kjedelig detalj i dokumentasjonen. Det blir en beslutning om hvorvidt du er i samsvar med GDPR eller ikke.

Hva som faktisk reduserer risikoen

Tre ting. Uten magi.

Server i EU. Klikkdata forlater ikke Europa, så hele spørsmålet om transatlantisk overføring faller derfor bort. Mindre å oversette, mindre å passe på.

Mindre data som samles inn. Jo mindre verktøyet holder på, desto mindre trenger du å bekymre deg for. Det er bra når IP-adresser blir hashet i stedet for å ligge i klartekst — da ser du statistikk, men lagrer ikke den rå adressen til en spesifikk person. Dette er nettopp funksjonen vi har bygget inn i cutty.dev, fordi uten den er resten bare halvveis.

Ingen sporing mellom tjenester. En nettleser som ikke kobler sammen besøkendes profiler og ikke videreselger data videre, er ett problem mindre på listen.

I praksis, eller hva man skal gjøre mandag morgen

Det handler ikke om å slutte å forkorte lenker. Fortsett å forkorte dem. Det handler bare om å velge et verktøy bevisst, og ikke det første man finner i en søkemotor.

  1. Sjekk hvor serveren står og hvem som i det hele tatt driver den.
  2. Sjekk hva den lagrer og hvor lenge.
  3. Hvis du samler inn data fra besøkende, legg til en forkorter i personvernerklæringen din. Bare én setning. Det gjør virkelig ikke vondt.

Det er alt. Dette er ikke juridisk rådgivning (jeg er ikke din advokat), men det er fundamentet som gjør at samsvar bygges mye lettere enn når data flykter over havet fra første klikk.

Og hvis du bare skal huske én setning: før du legger ut en lenke til et nyhetsbrev, sjekk hvor IP-adressen til leserne dine vil havne. Dette er et spørsmål som sparer deg for langt mer stress senere.