Google Analytics mogelijk verboden wegens overtreding GDPR/AVG

Op 15 januari jl. heeft de Autoriteit Persoonsgegevens bekend gemaakt dat Google Analytics mogelijk de AVG/GDPR wetgeving overtreedt. De Nederlandse toezichthouder onderzoekt momenteel 2 klachten over het gebruik van Google Analytics in Nederland. Op 13 januari jl. deed de Oostenrijkse privacytoezichthouder DSB al uitspraak in een vergelijkbare casus. Die concludeerde dat Google Analytics inderdaad in strijd handelt met hoofdstuk V. art. 44 van de GDPR. Deze uitspraak heeft mogelijk grote gevolgen voor het gebruik van Google Analytics binnen de EEA (European Economic Area).

Dit blijkt uit een zaak die is aangespannen door NOYB (None Of Your Business, een privacyorganisatie opgericht door privacyactivist Max Schrems), tegen de organisatie achter een niet nader genoemde website en Google LLC.

Waarom Google Analytics verboden zou moeten worden

De uitspraak kan als volgt worden uitgelegd. Bij het gebruik van Google Analytics worden persoonsgegevens naar de Verenigde Staten verstuurd. Hieronder vallen gegevens t.b.v. gebruikersidentificatie, IP-adressen en browsergegevens. De Standard Contractual Clauses (SCC) die door Google gebruikt worden voor de doorgifte van persoonsgegevens bieden aldus de uitspraak onvoldoende bescherming. Dit oordeel is gestoeld op 2 belangrijke conclusies:

1. Als ‘provider of electronic communication services’ valt Google onder de wetgeving 50 US Code § 1881 (b) (4). Als zodanig staat Google onder toezicht van de Amerikaanse inlichtingendiensten die Google op grond van 50 US Code § 1881a (“FISA 702”) kunnen verplichten hen toegang tot Google’s data te verschaffen.
2. De maatregelen die zijn genomen in aanvulling op de Standard Contractual Clauses (SCC) zijn als niet afdoende beoordeeld, omdat deze de mogelijkheid tot monitoring van en toegang tot data door de Amerikaanse inlichtingendiensten niet uitsluit.

Omdat er in deze casus geen andere wettelijke gronden van toepassing zijn die de doorgifte van data naar de Verenigde Staten legitimeren, is er naar het oordeel van de Oostenrijkse privacytoezichthouder sprake van overtreding.

Het komt er dus op neer dat:

• De door Google verwerkte data worden beschouwd als persoonsgegevens, zelfs wanneer sprake is van o.a. IP-anonimisering, en;
• De verwerking van deze data in de Verenigde Staten als gevolg van daar geldende wetgeving in strijd is met de GDPR, omdat ‘derden’ (lees: de inlichtingendiensten van de Verenigde Staten) toegang tot deze data kunnen verkrijgen zonder voorafgaande toestemming van de gebruiker.

In strijd met GDPR/AVG, ondanks inrichting conform privacyrichtlijnen

Zoals in alle EEA lidstaten het geval is, heeft de Autoriteit Persoonsgegevens in Nederland een handleiding voor het privacyvriendelijk inrichten van Google Analytics verstrekt. De Oostenrijkse privacytoezichthouder is echter van oordeel dat ook bij het treffen van de privacyvriendelijke maatregelen, waaronder IP-anonimisering, nog steeds sprake is van persoonsgegevens en niet van geanonimiseerde gegevens. Zo zou het nog steeds mogelijk zijn om de resterende gegevens te combineren tot een uniek profiel en zo te herleiden tot een natuurlijk identificeerbaar persoon. Zeker in combinatie met de gegevens die Google heeft wanneer de gebruiker tijdens het surfen is ingelogd in het Google Account.

Meer weten over de uitspraak van de Oostenrijkse privacytoezichthouder DSB? Lees dan:

• De samenvatting van de uitspraak van DSB 22/12/2021, case 2021-0.586.257
• De volledige uitspraak van DSB 22/12/2021, case 2021-0.586.257 (automatisch vertaald uit het Duits naar Engels)

Wat zijn de gevolgen voor het gebruik van Google Analytics in Nederland?

De uitspraak van privacytoezichthouder DSB in Oostenrijk heeft mogelijk verstrekkende gevolgen, omdat het aannemelijk lijkt dat andere Europese toezichthouders één lijn trekken. Zo ver is het echter nog niet. De Autoriteit Persoonsgegevens onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland, welke eveneens zijn ingediend door NOYB van Max Schrems. Na afronding van dat onderzoek kan de Autoriteit Persoonsgegevens zeggen of Google Analytics in de huidige vorm wordt verboden of toegestaan. De uitspraak wordt begin 2022 verwacht. Gelet op het feit dat de klachten waarop de casus in Oostenrijk gebaseerd is al medio 2020 zijn ingediend en het belang dat ook de Autoriteit Persoonsgegevens aan de eerdere uitspraak hecht, verwachten wij (Traffic Builders) deze uitspraak mogelijk al binnen enkele dagen tot weken.

Aanbevolen vervolgstappen

Het moge duidelijk zijn dat deze uitspaak grote gevolgen kan hebben. Want als de uitspraak op Europees niveau wordt overgenomen, betekent het dat niet alleen het gebruik van Google Analytics door Europese gebruikers tegen het licht dient te worden gehouden, maar geldt dit voor alle Amerikaanse aanbieders van software en diensten die persoonsgegevens verwerken. Denk aan Salesforce, Hubspot, Adobe, etc. Eerdere rechtszaken lieten zien dat het hierbij niet zozeer gaat om de vraag waar de persoonsgegevens worden verwerkt, maar of deze worden verwerkt door een entiteit die onderworpen is aan de voornoemde wetgeving in de Verenigde Staten. 

Ons advies luidt daarom vooralsnog om in ieder geval zorg te dragen voor de configuratie van Google Analytics in lijn met de eerder uitgegeven richtlijnen zoals vermeld in de handleiding voor het privacyvriendelijk inrichten van Google Analytics van de Autoriteit Persoonsgegevens. Daarnaast wordt aanbevolen om te inventariseren van welke van origine Amerikaanse software gebruik wordt gemaakt waarbij sprake is van verwerking van persoonsgegevens en daar juridisch advies over in te winnen. 

Blijf op de hoogte
En zorg er uiteraard voor dat je de ontwikkelingen in deze kwestie nauwgezet volgt, bijvoorbeeld door je in te schrijven voor onze nieuwsbrief- en blogupdates (zie de inschrijfmogelijkheid onderaan deze blog). Traffic Builders houdt je graag op de hoogte van de relevante ontwikkelingen.

Verwachtingen Traffic Builders

Niet eerder werd het gebruik van Google Analytics zo scherp veroordeeld in de context van de GDPR als in de voornoemde uitspraak door de Oostenrijkse privacytoezichthouder. Dit is zeker reden tot oplettendheid. Het lijkt een kwestie van tijd voordat ook andere toezichthouders, waaronder de Autoriteit Persoonsgegevens, tot een vergelijkbaar oordeel komen. Toch kan het in theorie ook met een sisser aflopen.

Zo kunnen er tussen de EEA en de Verenigde Staten afspraken worden gemaakt die de reikwijdte van de 50 US Code § 1881a (“FISA 702”) met betrekking tot Europese ingezetenen beperkt of tenminste in lijn brengt met de GDPR wetgeving. Dergelijke afspraken zijn eerder van toepassing geweest in o.a. de EU-VS Safe Harbor en EU-VS Privacy Shield afspraken. Ook het opnemen van expliciete waarschuwingen voor de mogelijkheid van Amerikaanse inlichtingendiensten om privacygevoelige in te zien in het privacy statement op de website, behoort wellicht tot de mogelijkheden. Immers, in dat geval zou een bezoeker wiens data mogelijk wordt gedeeld hiervoor expliciete toestemming hebben verleend, uitgaande van een correcte implementatie en verwijzing naar het privacy statement.

Hoe dan ook; er staat veel op het spel en het eindspel is nog niet duidelijk. Een uitspraak als deze kan dan ook zeker worden gebruikt als een pressiemiddel in de onderhandelingen tussen de Verenigde Staten en de Europese Unie, met als inzet de Europese klandizie van Amerikaanse techbedrijven. Wordt vervolgd. 

FAQ

Onderstaand enkele veelgestelde vragen.