De veelgebruikte tool om websites te analyseren is in gevaar. De Oostenrijkse privacy toezichthouder oordeelt dat het gebruik van Google Analytics in strijd is met de AVG. Wat betekent dit voor Nederland?

Aanleiding: Schrems met 101 klachten over privacy schending

In 2020 werd het Privacy Shield ongeldig verklaard en kwam er een einde aan het eenvoudig persoonsgegevens uitwisselen met de Verenigde Staten (VS).

Aanleiding?

Een rechtszaak van de Oostenrijker Max Schrems.

Hij betwijfelt nog altijd of de privacy van Europeanen goed beschermd wordt. Daarom heeft hij via zijn organisatie 101 klachten ingediend bij verschillende Europese privacy toezichthouders over mogelijke schendingen van de Schrems uitspraak.

De eerste toezichthouder heeft nu uitspraak gedaan over één van zijn klachten. De Oostenrijkse privacy toezichthouder (‘Datenschutzbehörde’ of ‘DSB’) oordeelde dat het gebruik van Google Analytics in strijd is met de GDPR/AVG.

Het einde van Google Analytics in Europa?

Volgens Schrems vallen IP-adressen en data rondom cookies onder persoonlijke gegevens. Daarom mogen zij niet zomaar naar de Verenigde Staten overgedragen worden.

Google Analytics geeft standaard (persoons)gegevens door aan Google in de VS. Hoe goed deze gegevens ook beschermd en versleuteld worden: de Amerikaanse veiligheidsdiensten mogen ze inzien.

De toezichthouder ziet niet in hoe de data hiertegen beschermd wordt. Daarom is het gebruik van Google Analytics in strijd met de huidige privacywetgeving (GDPR/AVG).

Gebruik Google Analytics ook in Nederland verboden?

Dat is aan de Nederlandse privacy toezichthouder de Autoriteit Persoonsgegevens (AP). Deze heeft inmiddels het volgende op de website staan:

Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan

De Oostenrijkse privacy toezichthouder rondde in januari 2022 een onderzoek af naar het gebruik van Google Analytics door een Oostenrijkse website. Google Analytics blijkt volgens de Oostenrijkse toezichthouder in dit onderzochte geval niet aan de AVG te voldoen.

De AP onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet.

Ook in de handleiding van de Autoriteit Persoonsgegevens voor het privacyvriendelijk instellen van Google Analytics, is al een waarschuwing opgenomen: “Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan”.

Het is dus afwachten tot de AP met een definitieve uitspraak komt.

Wat vindt Google hiervan?

Google is inmiddels met een reactie gekomen. De internetgigant geeft aan te voldoen aan alle voorwaarden van Europa met betrekking tot dataverwerking. Denk aan het:

  • gebruik van de modelcontracten, ofwel Standard Contractual Clauses genoemd;

  • voldoen aan beveiligingsstandaarden als de ISO 27001;

  • aanbieden van mogelijkheden aan gebruikers om data veilig te stellen. Bijvoorbeeld IP-adressen anonimiseren, bewaartermijnen bepalen en dataverzameling uitzetten.

Daarnaast stelt Google dat haar infrastructuur en encryptie zijn ontworpen om gegevens te beschermen tegen elke vorm van overheidsinzage.

De vraag is of Europa het daarmee eens is.

Is persoonsgegevens uitwisselen met de Verenigde Staten nog wel mogelijk?

Het antwoord is een voorzichtig ja.

Sinds de ongeldigverklaring van het Privacy Shield, is het doorgeven en opslaan van persoonsgegevens in de Verenigde Staten een stuk complexer geworden.

Volgens de AVG mogen persoonsgegevens niet zomaar worden doorgegeven aan personen of organisaties buiten de EU. Dit is alleen toegestaan als dit derde land een passend beschermingsniveau biedt (op basis van een adequatheidsbesluit), op basis van binding corparate rules of indien er ‘passende waarborgen’ worden geboden.

Het Privacy Shield leek voor passende waarborgen te zorgen, maar is ongeldig verklaard. Ook het alternatief de Standard Contractual Clauses (‘SCC’s’) zijn niet langer voldoende.

Wil je nu persoonsgegevens laten verwerken in de VS?

Dan moet er een SCC worden gesloten én een risicoanalyse worden gemaakt door middel van een Data Transfer Impact Assessment. Op basis hiervan moeten eventuele aanvullende technische, organisatorische en contractuele maatregelen worden getroffen.

De uitspraak van de Oostenrijkse toezichthouder zet het gebruik van SCC’s in combinatie met een Data Transfer Impact Assessment voor doorgifte naar de VS ook op losse schroeven. De Amerikaanse veiligheidsdiensten hebben nu eenmaal het recht om data op Amerikaans grondgebied in te zien.

Goed mogelijk dat Europa de regels nóg strenger moet maken naar aanleiding van de uitspraak over het gebruik van Google Analytics.

Zeker weten dat u niks mist?

Meldt u zich dan nu aan voor onze maandelijkse nieuwsbrief en ontvang onze blogs automatisch in uw mailbox.