Is Google Analytics onrechtmatig?

Google Analytics wordt door ruim 60% van de grootste honderdduizend websites gebruikt. De tool wordt gebruikt om meer inzicht te krijgen in het gebruik van de website door bezoekers zodat de websitebeheerder verbeteringen kan doorvoeren om op deze manier meer interesse te genereren. Het gebruik van Google Analytics staat de laatste tijd echter ter discussie, mede vanwege de overdracht van gegevens naar de Verenigde Staten.

Gelet op het voorgaande hebben verschillende privacytoezichthouders onderzoeken gedaan naar het gebruik van Google Analytics door verschillende websites. In zowel Italië, Frankrijk als Oostenrijk hebben toezichthouders al geoordeeld dat het gebruik van Google Analytics (mogelijk) in strijd is met de Algemene Verordening Gegevensbescherming (AVG). Ook de Nederlandse Autoriteit Persoonsgegevens (AP) heeft een onderzoek afgerond naar het gebruik van Google Analytics als het gaat om de privacy van de gegevens, maar de resultaten van dit onderzoek zijn nog niet openbaar.

Vanwege alle ontwikkelingen rondom het gebruik van Google Analytics zal in dit blog aan de orde komen waarom deze vragen juist nu opspelen. Ook zal aandacht worden besteed aan de vraag of Google Analytics in haar huidige vorm nog toekomstbestendig is.

Waarom juist nu veel aandacht is voor Google Analytics

Google Analytics verzamelt verschillende data over websitebezoekers en stuurt deze data vervolgens naar Google. Hiermee kan Google de websitebeheerder inzicht geven in het gebruik van de website, maar verkrijgt Google zelf ook een enorme schat aan data over de gebruiker. Vanwege het feit dat Google Analytics op veel websites gebruikt wordt, betekent dit dat Google een vrij compleet kan krijgen over de gebruiker die meerdere van deze websites bezoekt.

Het grootste probleem bij Google Analytics is dat Google de verzamelde data naar de Verenigde Staten (VS) verstuurt. In de VS gelden (veel) minder strenge waarborgen op het gebied van privacy. Persoonsgegevens van betrokkenen kunnen daardoor eerder in handen vallen van derden. Ook mogen de Amerikaanse geheime diensten eerder bij gegevens van niet-Amerikaanse staatsburgers dan bijvorbeeld in Nederland. Bescherming van de persoonsgegevens kan hierdoor niet gegarandeerd kan worden.

Ondanks het bovenstaande heeft de Europese Commissie destijds de VS aangemerkt als een land met een gelijkwaardig beschermingsniveau op het gebied van gegevensbeveiliging als landen binnen de Europese Unieop basis van het EU-US Privacy Shield. Daarmee zou het op grond van artikel 45 van de AVG mogelijk zijn om persoonsgegevens vanuit de Europese Unie te versturen naar de VS, zonder dat hiervoor toestemming gevraagd hoeft te worden van de betrokkenen. Ook Google maakte onderdeel uit van het Privacy Shield.

Op 16 juli 2020 ging deze werkwijze echter op de schop. Naar aanleiding van een klacht van Max Schrems heeft het Europese Hof van Justitie op deze datum in het Schrems-II arrest geoordeeld dat het hiervoor genoemde besluit ongeldig is. Volgens het Hof heeft de Commissie onvoldoende maatregelen genomen om te garanderen dat de VS inderdaad hetzelfde beschermingsniveau had als de EU. Op basis van dit oordeel van het Hof viel de grondslag voor dataoverdracht naar de VS voor veel bedrijven opeens weg. Net zoals veel bedrijven kon Google konden echter niet zomaar de hele bedrijfsvoering aanpassen. Persoonsgegevens verlaten daarom nog vaak de EU ook al is dit mogelijk in strijd met de AVG. Volgens de toezichthouders heeft Google ook nog geen geldige andere grondslag gevonden voor deze overdracht. Omdat Google dit met haar Analytics dienst in opdracht doet van websitebeheerders (de beheerder is immers de partij die Google de opdracht geeft om de gegevens te verzamelen en vervolgens (geaggregeerd) ter inzage aan haar te tonen) zullen ook die beheerders op de hoede moeten zijn, omdat zij hiervoor (mede) aansprakelijk gehouden kunnen worden.

Doorgaan met Google Analytics?

Ook in Nederland ligt Google Analytics onder een vergrootglas. Zoals gezegd heeft de AP al een onderzoek afgerond naar de dienst. In 2018, ruim vóór het Schrems-II arrest van het Europese Hof, heeft de AP een handleiding gepubliceerd waarin zij aan websitebeheerders uitlegt hoe Google Analytics privacyvriendelijk(er) kan worden ingesteld. De stappen die de AP beschrijft achtte zij al noodzakelijk vóór het Schrems-II arrest. Zonder deze instellingen zou Google, volgens de AP, te veel persoonsgegevens verwerken van de bezoekers van de website. Een websitebeheerder zou er bijvoorbeeld voor moeten zorgen dat het IP-adres (gedeeltelijk) geanonimiseerd wordt. Ook moeten de standaardinstellingen zo worden aangepast dat de toestemming voor het gebruik van persoonsgegevens voor Google’s eigen doeleinden wordt ingetrokken. Het lijkt dan ook onwaarschijnlijk dat Google Analytics, zoals hetnu is ingericht, toegestaan is. De verschillende oordelen van toezichthouders binnen de EU lijken dit beeld te bevestigen.

Vanaf 1 juli 2022 dienen bedrijven echter een nieuwe versie van Google Analytics geïmplementeerd te hebben als zij alle functies willen behouden. Volgens Google worden met deze versie minder persoonsgegevens verwerkt en zal de verwerking weer in lijn komen met privacywetgeving zoals de AVG. Ook vanuit marketingperspectief zal de nieuwe versie beter zijn.

Het verdient aanbeveling om Google Analytics zo snel mogelijk te updaten naar de nieuwste versie als websitebeheerder. Google heeft zelf ook verschillende handleidingen gepubliceerd om beheerders te helpen met de omschakeling. Of de verschillende toezichthouders even enthousiast zijn over de nieuwe versie van Google Analytics is afwachten.