Google Analytics verboden? Dit zijn de mogelijke gevolgen
Het gebruik van Google Analytics is mogelijk binnenkort niet meer toegestaan. Waarom is dit het geval? En wat zijn de mogelijke gevolgen voor het gebruik van Google Analytics in Nederland?
Op 15 januari heeft de Autoriteit Persoonsgegevens bekendgemaakt dat Google Analytics mogelijk de AVG/GDPR-wetgeving overtreedt. De Nederlandse toezichthouder onderzoekt momenteel 2 klachten over het gebruik van Google Analytics in Nederland. Op 13 januari deed de Oostenrijkse privacytoezichthouder DSB al uitspraak in een vergelijkbare casus. Die concludeerde dat Google Analytics inderdaad in strijd handelt met hoofdstuk V. art. 44 van de GDPR. Deze uitspraak heeft mogelijk grote gevolgen voor het gebruik van Google Analytics binnen de EEA (European Economic Area).
Dit blijkt uit een zaak die is aangespannen door NOYB (None Of Your Business, een privacyorganisatie opgericht door privacyactivist Max Schrems), tegen de organisatie achter een niet nader genoemde website en Google LLC.
Waarom Google Analytics verboden zou moeten worden
De uitspraak kun je als volgt uitleggen. Bij het gebruik van Google Analytics worden persoonsgegevens naar de Verenigde Staten verstuurd. Hieronder vallen gegevens voor gebruikersidentificatie, IP-adressen en browsergegevens. De Standard Contractual Clauses (SCC) die door Google gebruikt worden voor de doorgifte van persoonsgegevens bieden aldus de uitspraak onvoldoende bescherming. Dit oordeel is gestoeld op 2 belangrijke conclusies:
- Als ‘provider of electronic communication services’ valt Google onder de wetgeving 50 US Code § 1881 (b) (4). Als zodanig staat Google onder toezicht van de Amerikaanse inlichtingendiensten die Google op grond van 50 US Code § 1881a (“FISA 702”) kunnen verplichten hen toegang tot data van Google te verschaffen.
- De maatregelen die zijn genomen in aanvulling op de Standard Contractual Clauses (SCC) zijn als niet afdoende beoordeeld, omdat deze de mogelijkheid tot monitoring van en toegang tot data door de Amerikaanse inlichtingendiensten niet uitsluit.
Omdat er in deze casus geen andere wettelijke gronden van toepassing zijn die de doorgifte van data naar de Verenigde Staten legitimeren, is er naar het oordeel van de Oostenrijkse privacytoezichthouder sprake van overtreding.
Het komt er dus op neer dat:
- De door Google verwerkte data worden beschouwd als persoonsgegevens, zelfs wanneer sprake is van onder andere IP-anonimisering.
- De verwerking van deze data in de Verenigde Staten als gevolg van daar geldende wetgeving in strijd is met de GDPR, omdat ‘derden’ (lees: de inlichtingendiensten van de Verenigde Staten) toegang tot deze data kunnen verkrijgen zonder voorafgaande toestemming van de gebruiker.
In strijd met GDPR/AVG, ondanks inrichting conform privacyrichtlijnen
Zoals in alle EEA-lidstaten het geval is, heeft de Autoriteit Persoonsgegevens in Nederland een handleiding voor het privacyvriendelijk inrichten van Google Analytics verstrekt. De Oostenrijkse privacytoezichthouder is echter van oordeel dat ook bij het treffen van de privacyvriendelijke maatregelen, waaronder IP-anonimisering, nog steeds sprake is van persoonsgegevens en niet van geanonimiseerde gegevens.
Zo zou het nog steeds mogelijk zijn om de resterende gegevens te combineren tot een uniek profiel en zo te herleiden tot een natuurlijk identificeerbaar persoon. Zeker in combinatie met de gegevens die Google heeft als de gebruiker tijdens het surfen is ingelogd in het Google-account.
Meer weten over de uitspraak van de Oostenrijkse privacytoezichthouder DSB? Lees dan:
- De samenvatting van de uitspraak van DSB 22/12/2021, case 2021-0.586.257
- De volledige uitspraak van DSB 22/12/2021, case 2021-0.586.257 (automatisch vertaald uit het Duits naar Engels)
Wat zijn de gevolgen voor het gebruik van Google Analytics in Nederland?
De uitspraak van privacytoezichthouder DSB in Oostenrijk heeft mogelijk verstrekkende gevolgen. Het lijkt namelijk aannemelijk dat andere Europese toezichthouders één lijn trekken. Zo ver is het echter nog niet.
De Autoriteit Persoonsgegevens onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland, welke eveneens zijn ingediend door NOYB van Max Schrems. Na afronding van dat onderzoek kan de Autoriteit Persoonsgegevens zeggen of Google Analytics in de huidige vorm wordt verboden of toegestaan. De uitspraak wordt begin 2022 verwacht.
Gelet op het feit dat de klachten waarop de casus in Oostenrijk gebaseerd is al medio 2020 zijn ingediend en het belang dat ook de Autoriteit Persoonsgegevens aan de eerdere uitspraak hecht, verwacht ik deze uitspraak mogelijk al binnen enkele dagen tot weken.
Aanbevolen vervolgstappen
Het moge duidelijk zijn dat deze uitspaak grote gevolgen kan hebben. Want als de uitspraak op Europees niveau wordt overgenomen, betekent het dat niet alleen het gebruik van Google Analytics door Europese gebruikers tegen het licht moet worden gehouden. Dit geldt dan voor alle Amerikaanse aanbieders van software en diensten die persoonsgegevens verwerken. Denk aan Salesforce, Hubspot en Adobe.
Eerdere rechtszaken lieten zien dat het hierbij niet zozeer gaat om de vraag waar de persoonsgegevens worden verwerkt, maar of deze worden verwerkt door een entiteit die onderworpen is aan de voornoemde wetgeving in de Verenigde Staten.
Vanuit Traffic Builders adviseren wij daarom vooralsnog om in ieder geval te zorgen voor de configuratie van Google Analytics. Dit in lijn met de eerder uitgegeven richtlijnen zoals vermeld in de handleiding voor het privacyvriendelijk inrichten van Google Analytics van de Autoriteit Persoonsgegevens. Daarnaast bevelen we aan om te inventariseren van welke van origine Amerikaanse software gebruik je gebruikmaakt waarbij sprake is van verwerking van persoonsgegevens. En hier juridisch advies over in te winnen.
In theorie kan het met een sisser aflopen
Niet eerder werd het gebruik van Google Analytics zo scherp veroordeeld in de context van de GDPR als in de voornoemde uitspraak door de Oostenrijkse privacytoezichthouder. Dit is zeker reden tot oplettendheid. Het lijkt een kwestie van tijd voordat ook andere toezichthouders, waaronder de Autoriteit Persoonsgegevens, tot een vergelijkbaar oordeel komen. Toch kan het in theorie ook met een sisser aflopen.
Zo kunnen er tussen de EEA en de Verenigde Staten afspraken worden gemaakt die de reikwijdte van de 50 US Code § 1881a (“FISA 702”) met betrekking tot Europese ingezetenen beperkt of tenminste in lijn brengt met de GDPR-wetgeving. Dergelijke afspraken zijn eerder van toepassing geweest in o.a. de EU-VS Safe Harbor- en EU-VS Privacy Shield-afspraken.
Ook het opnemen van expliciete waarschuwingen voor de mogelijkheid van Amerikaanse inlichtingendiensten om privacygevoelige in te zien in het privacystatement op de website, behoort wellicht tot de mogelijkheden. Immers, in dat geval zou een bezoeker wiens data mogelijk wordt gedeeld hiervoor expliciete toestemming hebben verleend, uitgaande van een correcte implementatie en verwijzing naar het privacystatement.
Er staat veel op het spel
Hoe dan ook, er staat veel op het spel en het eindspel is nog niet duidelijk. Een uitspraak als deze kan dan ook zeker worden gebruikt als een pressiemiddel in de onderhandelingen tussen de Verenigde Staten en de Europese Unie, met als inzet de Europese klandizie van Amerikaanse techbedrijven. Wordt vervolgd.
Update 29 juni 2022: Google (Universal) Analytics is inmiddels verboden in Oostenrijk, Frankrijk en Italië. Wat is de stand van zaken? Je leest het in dit artikel.
Dit artikel verscheen eerder op de website van Traffic Builders.