Update 2 juni 2022: De Autoriteit Persoonsgegevens (AP) heeft het onderzoek inmiddels afgerond. Het is echter nog onduidelijk of het gebruik van Google Analytics blijft toegestaan in Nederland. Het rapport wordt in de loop van 2022 verwacht, we houden je op de hoogte.
Vele websites zetten Google Analytics in om te kijken hoe de website wordt gebruikt en hoe de ervaring van de bezoeker kan worden verbeterd. Dit gebeurt aan de hand van cookies. Het gebruik van de meest populaire analytics tool lijkt echter op losse schroeven te staan. Afgelopen week oordeelde de Oostenrijkse privacytoezichthouder (‘Datenschutzbehörde’ of ‘DSB’) namelijk dat het gebruik van Google Analytics in strijd is met de Algemene verordening gegevensbescherming (‘AVG’). En nu?
Sinds de Schrems II-uitspraak in de zomer van 2020 is het juridisch gezien lastig rond te krijgen om vanuit Europa persoonsgegevens in de Verenigde Staten (‘VS’) te verwerken. Lang verhaal kort: het Privacy Shield is ongeldig verklaard en de Standard Contractual Clauses (‘SCC’s’) zijn niet meer voldoende zonder risicoanalyse en eventuele aanvullende technische, organisatorische en contractuele maatregelen. Of organisaties hier daadwerkelijk gehoor aan geven, is maar de vraag. Degene achter deze uitspraak, Max Schrems, heeft via zijn organisatie noyb daarom 101 klachten bij verschillende Europese privacytoezichthouders ingediend over mogelijke schendingen van de uitspraak.
De eerste beslissing is nu genomen. Google Analytics geeft standaard gegevens, waaronder persoonsgegevens, door naar Google in de VS. Hoewel Google stelt technische en organisatorische maatregelen te nemen om persoonsgegevens te beschermen tegen de Amerikaanse overheid, ziet de DSB niet in hoe deze moeten beschermen tegen surveillance. Duidelijke taal. Maar wat betekent dit nou voor Nederland?
In Nederland zit het net iets anders in elkaar. Tenminste, op het eerste gezicht. De Autoriteit Persoonsgegevens (‘AP’) heeft namelijk een handleiding gepubliceerd over hoe Google Analytics privacyvriendelijk gebruikt kan worden. Je zou daarom zeggen: probleem opgelost, wij kunnen Google Analytics gewoon blijven gebruiken. Helaas niet. Gisteren werd er al een extra alinea aan de handleiding toegevoegd:
Let op: de handleiding heeft een nieuwe vindplaats. De AP is dus aan het onderzoeken of Nederlandse websites Google Analytics mogen blijven gebruiken. Maar eerlijk is eerlijk: het ziet er niet rooskleurig uit. De European Data Protection Board (‘EDPB’), het Europese verbond van privacytoezichthouders, is de genoemde 101 klachten ook via een gezamenlijke taskforce aan het behandelen.
Dat gezegd hebbende, Google Analytics is niet de enige manier om te kijken hoe je website wordt gebruikt. Er zijn genoeg Europese alternatieven. De Franse toezichthouder, de Commission nationale de l'informatique et des libertés (‘CNIL’), heeft een voorbeeldfunctie ingenomen voor andere privacytoezichthouders. Zo heeft de CNIL een lijstje gepubliceerd met privacyvriendelijke analytics tools. Hiervoor hoeft én geen toestemming te worden gevraagd (want de Cookiewet geldt nog steeds), én er zijn (vooralsnog) geen Schrems II-problemen. Zweer je echter bij Google Analytics, dan is het nog even afwachten of dit zonder problemen blijft. To be continued…
Meer lezen over dit onderwerp? Lees verder:
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.