Bijna iedere (internet)ondernemer maakt er gebruik van; analyse- en statistieksoftware voor websites. De meest bekende – en waarschijnlijk meest gebruikte – is Google Analytics. Het gebruik van Google Analytics staat echter sinds januari op losse schroeven. De Oostenrijkse privacytoezichthouder heeft aan een Oostenrijkse website een boete opgelegd en geoordeeld dat het gebruik van Google Analytics in strijd is met Europese privacywetgeving, de Algemene verordening gegevensbescherming (AVG).
Dit besluit deed ons knipperen met de ogen, met name vanwege de eventuele impact. Waar moet je als Google Analytics gebruiker nu rekening mee houden? In deze blog leggen wij het uit.
Persoonsgegevens van Europese burgers die in de V.S. worden verwerkt is al jaren een heikel punt. De non-profit organisatie ‘None of Your Business’ (NOYB) heeft al twee keer met succes een zaak aangespannen tegen het verwerken van persoonsgegevens in de V.S. door Facebook. Over deze ‘Schrems I en II’ uitspraken hebben wij al eerder geblogd. De kern hiervan is dat voor doorgifte van persoonsgegevens aan de V.S. aanvullende maatregelen noodzakelijk zijn om de persoonsgegevens te beschermen tegen toegang door Amerikaanse inlichtingendiensten.
Kort na Schrems II diende NOYB 101 klachten in bij verschillende Europese privacytoezichthouders. De klachten werden ingediend tegen organisaties die Google- en Facebookdiensten gebruiken waaronder Nederlandse bedrijven zoals PostNL, Marktplaats en Thuisbezorgd. Naast het gebruiken van de Standard Contractual Clauses zouden Google en Facebook onvoldoende maatregelen nemen om toegang door de Amerikaanse inlichtingendienst daadwerkelijk te voorkomen. Eén van deze klachten heeft geleid tot deze beslissing van de Oostenrijkse privacytoezichthouder.
Bij het gebruik van Google Analytics is Google als verwerker aan te merken. Google verwerkt de persoonsgegevens op servers in de V.S. Naast het gebruik van de Standard Contractual Clauses neemt Google aanvullende maatregelen zoals het afkappen van IP-adressen, encryptie van de gegevens en het bijhouden van een openbaar register van overheidstoegangsaanvragen. Toch is dit onvoldoende volgens de toezichthouder. Inlichtingendiensten kunnen immers nog steeds toegang krijgen. Let op, dit geldt dus óók voor het gebruik van Google Analytics waarvoor in Nederland geen ‘cookietoestemming’ is vereist (waarbij het IP-adres wordt afgekapt).
Vooropgesteld, dit brengt ontzettend veel bedrijven in een lastig parket. Deze uitspraak over Google Analytics is namelijk ook van toepassing op andere softwarediensten die gebruikmaken van servers in de V.S.
Juridisch gezien klopt de uitspraak van de Oostenrijkse toezichthouder, maar het toont aan dat technologische ontwikkelingen soms moeilijk te vertalen zijn in wetgeving. Google zelf geeft overigens aan dat de dienst Google Analytics in de afgelopen 15 jaar nog nooit een verzoek heeft gehad van de Amerikaanse Inlichtingendienst. Google Analytics wordt voornamelijk gebruikt om producten aan de man te brengen bij consumenten. Er valt natuurlijk wat voor te zeggen dat een inlichtingendienst niet erg geïnteresseerd is in welk merk trui een persoon graag wil hebben.
De uitspraak zal echter niet zonder gevolgen blijven. De Noorse privacytoezichthouder heeft in ieder geval op haar website bedrijven geadviseerd om alternatieven te overwegen voor Google Analytics. Ook de Autoriteit Persoonsgegevens (AP) waarschuwt op haar website dat Google Analytics binnenkort mogelijk niet meer is toegestaan. Zij zegt in haar bericht dat momenteel een onderzoek loopt naar twee klachten over het gebruik van Google Analytics in Nederland.
Van organisaties kan niet verwacht worden dat halsoverkop alle diensten met servers in de V.S. worden opgezegd. Het onderzoeken van alternatieven is echter wel aan te bevelen. Daarnaast is het afwachten wat de uitkomst is van het onderzoek van de AP. Het is echter zeer waarschijnlijk dat deze beslissing gevolgen heeft voor de manier waarop Google Analytics gebruikt gaat worden. Voor organisaties is te hopen dat Google zelf hier ook het voortouw in neemt.
Wij adviseren organisaties om zelf in ieder geval goed in kaart te brengen welke persoonsgegevens buiten de Europese Unie vloeien, welke maatregelen daar op dit moment voor genomen worden en welke risico’s aanwezig zijn. Hier helpen wij u natuurlijk graag bij.