Google Analytics opnieuw ‘onder vuur’

Google Analytics ligt opnieuw ‘onder vuur’. Ook de CNIL (de Franse privacy waakhond) dat het gebruik van Google Analytics strijdig is met de AVG.

Google Analytics is – kort samengevat – een tool van Google om het dataverkeer over websites te monitoren. Google Analytics wordt op dit moment nog getolereerd door de Autoriteit Persoonsgegevens. Niettemin staat het gebruik van Google Analytics ter discussie in Europa door de activist Max Schrems en diens stichting None Of Your Business.

De uitspraken van de Datenschutzbehörde en de CNIL (afkorting voor: Commission Nationale de l’Informatique et des Libertés) staan niet op zichzelf. Deze klachten zijn het gevolg van een serie van 101 klachten van (de stichting van) Max Schrems.

Ongeldigheid EU/VS privacyshield

Max Schrems is hoofdpersoon in de uitspraken van het Hof van Justitie EU die hebben geleid tot het ongeldig verklaren van het EU/VS privacyshield. Op basis van dit privacyshield was het mogelijk om samen te werken met partijen die persoonsgegevens verwerkten in de VS (zoals Google, Microsoft, Facebook, etc.). Het privacyshield had als doel om persoonsgegevens uit de EU in de VS op een vergelijkbare wijze als in de EU te beschermen. Dat privacyshield is er niet meer sinds de Schrems uitspraak van het Hof van Justitie EU.

Wat heeft dat te maken met Google Analytics?

Sinds deze uitspraak is het samenwerken met partijen die persoonsgegevens verwerken in de VS voor Europese partijen een stuk lastiger. Dat zou – in theorie – nog kunnen met contractuele afspraken op basis van de modelovereenkomsten (z.g. SCC’s). Ook kan het in theorie en op beperkte schaal op basis van toestemming van degene om wiens persoonsgegevens het gaat.

De stichting van Schrems stelt zich op het standpunt dat het gebruik van Facebook Connect en Google Analytics niet langer mogelijk is. Om dat kracht bij te zetten zijn door de stichting van Schrems klachten (101 in totaal) uitgezet bij diverse Europese privacywaakhonden. Deze klachten zijn gericht tegen diverse bedrijven die volgens de stichting van Schrems ten onrechte werken met Facebook Connect en/of Google Analytics. Enkele van die bedrijven waartegen klachten zijn ingediend zijn PostNL, Marktplaats en AirBNB.

uitspraak Datenschutzbehörde

De eerste uitspraak eerder dit jaar was van de Datenschutzbehörde in Oostenrijk. Kort samengevat oordeelde deze privacywaakhond dat het gebruik van Google Analytics strijdig is met de AVG. De kern van de overwegingen is de volgende:

Sofern der Zweitbeschwerdegegner in Folge auf Verschlüsselungstechnologien – etwa auf die Verschlüsselung von „Daten im Ruhezustand“ in den Datenzentren – verweist, sind ihm erneut die Empfehlungen 01/2020 des EDSA entgegenzuhalten. Dort wird nämlich ausgeführt, dass ein Datenimporteur (wie der Zweitbeschwerdegegner), der 50 U.S. Code § 1881a („FISA 702”) unterliegt, hinsichtlich der importierten Daten, die sich in seinem Besitz oder Gewahrsam oder unter seiner Kontrolle befinden, eine direkte Verpflichtung hat, den Zugriff darauf zu gewähren oder diese herauszugeben. Diese Verpflichtung kann sich ausdrücklich auch auf die kryptografischen Schlüssel erstrecken, ohne die die Daten nicht lesbar sind (ebd. Rz 76).

Middels Google Analytics worden persoonsgegevens (mogelijk) verwerkt in de VS. In het citaat overweegt de Datenschutzbehörde dat Google uit hoofde van wetgeving in de VS verplicht kan worden tot het verlenen van toegang tot die gegevens. Onder die verplichting is ook de verplichting tot het ontsleutelen van versleutelde gegevens. Met name dat aspect maakt dat het gebruik van Google Analytics in strijd is met de AVG.

uitspraak CNIL

Inmiddels heeft ook CNIL in Frankrijk geoordeeld dat het gebruik van Google Analytics strijdig is met de AVG. CNIL schrijft hierover op haar website:

Google Analytics provides statistics on website traffic. After receiving complaints from the NOYB association, the CNIL, in cooperation with its European counterparts, analysed the conditions under which the data collected through this service is transferred to the United States. The CNIL considers that these transfers are illegal and orders a French website manager to comply with the GDPR and, if necessary, to stop using this service under the current conditions.

Kortom ook CNIL concludeert dat de data overdracht die plaats heeft middels Google Analytics in strijd met de AVG.

En Google Analytics in Nederland?

Ten tijde van het schrijven van dit artikel is het gebruik van Google Analytics nog toegestaan; mits je rekening houdt met de gebruiksaanwijzing van de Autoriteit Persoonsgegevens om de data te anonimiseren. Wel waarschuwt de Autoriteit Persoonsgegevens al dat het gebruik van Google Analytics binnenkort mogelijk niet meer is toegestaan.

Gebruikt u Google Analytics? Hou dan het nieuws van de Autoriteit Persoonsgegevens in de media in de gaten. Indien Google Analytics niet meer wordt toegestaan, dan dient u binnenkort mogelijk aanpassingen te doen op uw website. Voor Nederland zou een alternatief voor Google Analytics het gebruik van Simple Analytics kunnen zijn, dat in Nederland gevestigd is en blijkens haar privacy statement gegevens verwerkt via haar Nederlandse servers.

Maar strekken de uitspraken van de Datenschutzbehörde en CNIL niet (veel) verder? De uitspraken gaan i.i.g. wel verder dan alleen het gebruik van Google Analytics of Facebook Connect. Maakt je (direct of indirect) gebruik van diensten van ICT dienstverleners die persoonsgegevens (kunnen) verwerken in de VS? Kijk dan in ieder geval uit. ICT dienstverleners zijn in de VS onderworpen aan sectie 702 van de FISA Ammendments Act uit 2008. Die geeft de autoriteiten in de VS vergaande bevoegdheden tot surveillance.

Vragen over de AVG? Neem contact op met onze specialisten of stel je vraag via ons formulier.

    Categories:

    Geef een reactie

    Het e-mailadres wordt niet gepubliceerd.

    misbruik van het recht op inzage heijink en meure advocaten Vissen naar (fraude)dossiers met de AVG? Nee!
    De AVG is geen middel om te vissen naar bewijs voor straf- of tuchtrechtelijke procedures.