Gå till innehåll
cutty.dev
All posts

Länkförkortare och GDPR — vad du behöver veta innan du lägger till en länk i ett nyhetsbrev

Länkförkortare samlar in klickdata — och det är redan en fråga om GDPR. Vi förklarar vad en länkförkortare ser, var denna data hamnar och varför serverns plats spelar roll när du verkar inom EU.

Ett klick på en förkortad länk innebär i genomsnitt fyra datauppgifter som sparas i det tysta: IP-adress, webbläsare, operativsystem, ingångskälla. Fyra. Multiplicera nu detta med 3000 nyhetsbrevsprenumeranter som klickar på länken till ditt erbjudande en söndagsmorgon. Du har plötsligt en databas med flera tusen poster som du inte ens har sett med egna ögon.

Och det är precis det ögonblicket då länkförkortare och GDPR slutar vara ett teoretiskt juridiskt problem för advokater och börjar bli ditt eget.

Eftersom en IP-adress inom EU är en personuppgift. Inte "nästan", inte "i vissa fall". En personuppgift. Om du använder en förkortad länk i en företagskampanj, ansvarar du som administratör för vad som händer med IP-adresserna hos de personer som klickar på den.

Vad ser en kortare egentligen när någon klickar

Listan är kortare än man tror, men tillräckligt tät:

  • IP för besökaren (det vill säga den person som nämns ovan),
  • user agent, det vill säga webbläsare och system,
  • referer — från vilken sida besöket kom ifrån,
  • ungefärlig plats, beräknad utifrån detta IP.

Det räcker för att få till snygg klickstatistik. Det räcker också för att hamna i de skyldigheter som de flesta människor inte tänker på när de snabbt klistrar in en länk före utskick.

Var hamnar dessa data (och varför det är viktigare än själva statistiken)

Här är själva haken. Många kända URL-förkortare är företag utanför Europa, oftast amerikanska. Du klickar på "förkorta", klistrar in länken till nyhetsbrevet, och data om vem, när och varifrån som klickade skickas över oceanen.

Två problem, ett efter ett.

Första: dataöverföring utanför EU behöver en rättslig grund, och själva grunden för denna överföring kan vara rörlig. Reglerna har redan ändrats flera gånger och inget tyder på att detta är slutet.

Två: data faller under en annan juridisk ordning. Som europeisk administratör kontrollerar du den helt enkelt inte. Var servern fysiskt står upphör att vara en tråkig detalj i dokumentationen. Det blir ett beslut om huruvida du följer GDPR eller inte.

Vad som faktiskt minskar risken

Tre saker. Utan magi.

Server i EU. Klickdata lämnar inte Europa, så hela frågan om transatlantisk överföring faller helt bort. Mindre att översätta, mindre att hålla koll på.

Mindre insamlad data. Ju mer verktyget håller inne, desto mindre behöver du oroa dig för. Det är bra när IP-adresser hashas istället för att lagras i klartext — då ser du statistik, men du sparar inte den råa adressen för en specifik person. Detta är just den funktion som vi har byggt in i cutty.dev, eftersom resten blir halvhjärtat utan den.

Ingen spårning mellan tjänster. En webbläsare som inte sammanfogar besökarens profil och inte säljer vidare data är ett problem mindre på listan.

I praktiken, det vill säga vad man ska göra måndag morgon

Det handlar inte om att sluta förkorta länkar. Fortsätt förkorta dem. Det handlar bara om att välja verktyget medvetet, och inte det första som dyker upp i en sökmotor.

  1. Kontrollera var servern står och vem som överhuvudtaget driver den.
  2. Kontrollera vad som lagras och hur länge.
  3. Om du samlar in besökardata, lägg till en URL-förkortare i din integritetspolicy. En enda mening. Det gör verkligen inte ont.

Och det var allt. Detta är inte juridisk rådgivning (jag är inte din advokat), men det är grunden som gör att efterlevnad kan byggas mycket lättare än när data från första klicket flyr över havet.

Och om du bara skulle komma ihåg en enda mening från detta: innan du postar en länk till ett nyhetsbrev, kontrollera var dina läsares IP kommer att landa. Det är en fråga som sparar betydligt mer nervositet senare.