.png)
_p.png){kind=small}
Op 13 januari 2022 is bekend geworden dat de Oostenrijkse toezichthouders Datenschutzbehörde heeft bepaald dat het gebruik van Google Analytics strijdig is met Europese privacywetgeving. De Autoriteit Persoonsgegevens (AP) had tot voor kort een handleiding om Google Analytics privacy vriendelijk in te stellen indien er geen toestemming is voor het plaatsen van analytische cookies. Hier is recentelijk op 13 januari 2022 een update aan toegevoegd, naar aanleiding van het nieuws omtrent de conclusie van de Oostenrijkse toezichthouder.[1] De AP heeft een eigen onderzoek lopen en zal naar aanleiding hiervan besluiten over een eventueel verbod op het gebruik van Google Analytics in Nederland.
Google Analytics Google Analytics is een populaire dienst van Google waarmee statistieken van een website verzameld kunnen worden, zodat de beheerder van de website informatie krijgt over onder andere het aantal bezoekers, het aantal paginaweergaven en de gemiddelde tijd die bezoekers op de website doorbrengen. Het gebruik van Google Analytics is voor organisaties zeer belangrijk om inzichtelijk te maken wat voor bezoekers een website heeft en waarmee de beheerder een eventuele dienst kan verbeteren. Met deze informatie kunnen gerichte online reclamecampagnes ingezet worden, waar grote financiële winsten mee te behalen zijn.
De informatie wordt verkregen door gebruik te maken van cookies. Op het gebruik van tracking cookies is de AVG van toepassing. Tracking cookies worden ook als persoonsgegevens in de zin van de AVG beschouwd. Om te voldoen aan de definitie van persoonsgegevens hoeft het niet uitsluitend te gaan om gegevens die direct gebruikt kunnen worden om iemand te identificeren, maar ook om gegevens die indirect herleidbaar kunnen zijn naar een natuurlijk persoon.[2]
Sinds 25 mei 2018 geldt in de EU de Algemene Verordening Gegevensbescherming (AVG). De AVG geeft zes grondslagen op basis waarvan persoonsgegevens verwerkt mogen worden. Een belangrijke grondslag voor het verwerken van persoonsgegevens, is de toestemming die gegeven kan worden door de persoon van wie de persoonsgegevens worden verwerkt. Daarnaast legt de AVG een informatie- en verantwoordingsplicht op aan de organisatie die de persoonsgegevens verwerkt. Als gevolg moet de verwerkingsverantwoordelijke aantonen dat aan alle vereisten uit de AVG is voldaan (compliance) en op welke manier persoonsgegevens van betrokkenen worden verwerkt (transparantie). De AVG schept dus een actieve informatieverplichting.
None of Your Business Het onderzoek door de Oostenrijkse toezichthouder is geïnitieerd naar aanleiding van klachten van de privacyrechten organisatie None of Your Business (NOYB).[3] NOYB is opgericht door Max Schrems, een Oostenrijkse schrijver, activist en privacy advocaat die al eerder bekende zaken heeft aangespannen omtrent privacyschendingen. Op 16 juli 2020 heeft het Hof van Justitie van de EU een uitspraak gedaan (Schrems II) waarin Schrems klaagde over de doorgifte van zijn gegevens naar de Verenigde Staten.[4] In deze uitspraak verklaarde het Hof de destijds geldige Privacy Shield ongeldig.[5] Het Privacy Shield had tot doel de persoonsgegevens van EU-burgers te reguleren wanneer deze middels doorgifte in de VS verwerkt werden.
Kort gezegd bepaalde het Hof in Schrems II dat modelcontracten nog wel een geldige grondslag kunnen bieden voor de doorgifte van persoonsgegevens naar non-EU landen, met als voorwaarde dat er in de praktijk een gelijkwaardig beschermingsniveau wordt gewaarborgd. Volgens de Amerikaanse wetgeving hebben Amerikaanse inlichtingendiensten echter het recht om toegang te krijgen tot persoonsgegevens. De doorgifte van persoonsgegevens van Europese vestigingen naar Amerikaanse moederbedrijven schendt dus de privacy van EU-burgers.
Privacyschending van Google Analytics Volgens de uitspraak van de Oostenrijkse privacywaakhond is het probleem met de huidige vorm van Google Analytics dat de persoonsgegevens die verwerkt worden in Europa vervolgens worden doorgegeven naar de Amerikaans tak van Google, Google LLC. In hoofdstuk 5 van de AVG staat dat organisaties die persoonsgegevens van EU-burgers exporteren naar non-EU landen dit uitsluitend mogen doen als zij kunnen garanderen van die persoonsgegevens veilig zijn in dit land. In de VS bestaat echter geen algemene wetgeving voor de bescherming van persoonsgegevens, zoals wij deze in de EU kennen in de vorm van de AVG.[6] Het onderzoek van de Oostenrijkse toezichthouder is op zichzelf niet gezaghebbend in Nederland, maar door NOYB wordt verwacht dat het Oostenrijkse onderzoek ertoe zal leiden dat ook in Nederland en andere Europese landen Google Analytics niet meer wordt toegestaan.[7]
Bij een eventueel verbod op Google Analytics zouden websites over kunnen stappen op alternatieven. Gezien het grote financiële belang dat Google heeft bij het behouden van het gebruik van haar diensten, kan er verwacht worden dat Google het gebruik van Google Analytics zal aanpassen. Een technische oplossing kan zijn om de instelling te wijzigen, zodat de gegevens die verzameld worden niet meer te kwalificeren zijn als persoonsgegevens in de zin van de AVG. Op de lange termijn zullen er echter juridische oplossingen geboden moeten worden indien Google haar diensten wil blijven aanbieden in de EU. Volgens Schrems zijn er twee opties voor deze situatie.[8] De privacybescherming dient in de VS verbeterd te worden (voor in ieder geval buitenlanders) of er zullen afzonderlijke producten moeten komen voor de VS en de EU.
Google heeft een reactie geplaatst op haar website omtrent de situatie van Google Analytics.[9] Hierin benadrukt Google dat zij veel maatregelen nemen om privacy te waarborgen en dat zij de gebruikers van Google Analytics (dat zijn in de regel bedrijven) de controle geven over welke gegevens verzameld worden. Google is in bezwaar gegaan tegen de uitspraak van de Oostenrijkste privacywaakhond. Het is in Nederland nog wachten op een reactie van de AP over het eventuele verbod op Google Analytics. Het is op juridische gronden te verwachten dat de AP zich aansluit bij het oordeel van de Oostenrijkse toezichthouder.
[1] https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics.pdf
[6] https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/internationaal/doorgifte-binnen-en-buiten-de-eu#wanneer-mag-ik-persoonsgegeven-doorgeven-naar-landen-buiten-de-eu-derde-landen-6551
[7] https://www.agconnect.nl/artikel/organisatie-max-schrems-google-analytics-zaak-nog-maar-het-begin