Google Analytics in steeds meer Europese landen verboden

Het gebruik van Google Analytics wordt in steeds meer Europese landen aan banden gelegd door privacy toezichthouders. Na uitspraken in Oostenrijk en recenter in Frankrijk, volgt nu ook Italië met een verbod. Maar waarom wordt Google Analytics verboden? In dit blog meer informatie over wat er gaande is en hoe je je kunt voorbereiden op een mogelijk verbod op Google Analytics in Nederland.

Context

Medio januari berichtten we al dat Google Analytics mogelijk niet toegestaan zou worden wegens overtreding van de Europese privacywetgeving op grond van de GDPR/AVG. Aanleiding was de uitspraak van de Oostenrijkse privacy toezichthouder DSB in een door Max Schrems aangespannen rechtszaak tegen een adverteerder. Destijds concludeerde de DSB dat Google Analytics inderdaad in strijd handelt met hoofdstuk V. art. 44 van de GDPR. Aan deze uitspraak lagen 2 belangrijke conclusies ten grondslag, namelijk:

  • Als ‘provider of electronic communication services’ valt Google onder de wetgeving 50 US Code § 1881 (b) (4). Als zodanig staat Google onder toezicht van de Amerikaanse inlichtingendiensten, die Google op grond van 50 US Code § 1881a (“FISA 702”) kunnen verplichten hen toegang tot Google’s data te verschaffen.
  • De maatregelen die (door de adverteerder) zijn genomen in aanvulling op de Standard Contractual Clauses (SCC) zijn als niet afdoende beoordeeld, omdat deze de mogelijkheid tot monitoring van en toegang tot data door de Amerikaanse inlichtingendiensten niet uitsluit.

Dit oordeel volgt op het ongeldig verklaren van de Safe Harbor en Privacy Shield verdragen tussen de Verenigde Staten en Europa. Deze verdragen waren erop gericht striktere regels op te leggen aan Amerikaanse verwerkers van persoonsgegevens, om de verwerking van persoonsgegevens in lijn te brengen met de GDPR. Max Schrems vocht deze verdragen met succes aan.

Trans Atlantic Data Privacy Framework

Eind maart verklaarden Europa en de Verenigde Staten een principeakkoord te hebben bereikt over een nieuw verdrag; het Trans Atlantic Data Privacy Framework. Privacy Shield 2.0, zeg maar. Maar op dit moment heeft dat principeakkoord nog geen juridische status. Met andere woorden; de hierin voorgenomen afspraken zijn nog niet verworden tot wetgeving. Recenter oordeelden het Duitse Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDi), de Noorse toezichthouder Datatilsynet en het Franse Commission Nationale de l’ Informatique et des Libertés (CNIL) al dat de nu door Google Analytics geboden mogelijkheden om de privacy te borgen, niet voldoende zijn om de toegang door Amerikaanse inlichtingendiensten te beschermen. Immers, als je als adverteerder met de benodigde toestemming persoonsgegevens verwerkt, geldt die toestemming uitsluitend voor de expliciet benoemde Verwerkingsverantwoordelijke. De bezoeker, in de context van de GDRP de Betrokkene genoemd, heeft die toestemming niet verleend aan de Amerikaanse inlichtingendiensten. En zolang zij geen gerechtvaardigd belang hebben om zich toegang te verschaffen tot de persoonsgegevens, is toegang in strijd met de GDPR.

Data bescherming

Op 24 juni 2022 liet de Italiaanse privacy toezichthouder Garante per la Protezione dei Dati Personali (GPDP) weten nóg een reden te zien om het gebruik van Google Analytics te verbieden. Zij stelt namelijk dat IP-adressen, die als persoonsgegevens worden beschouwd, niet standaard worden geanonimiseerd (red.: in de verouderde versie van Google Analytics; Universal Analytics). Google Analytics, en zeker Google Analytics 4, bieden weliswaar veel mogelijkheden om de privacy van bezoekers te borgen, waaronder IP-anonimisering. Maar, zo stelt de GPDP, Google heeft óók de mogelijkheid om geanonimiseerde IP-adressen te verrijken met andere informatie, waardoor deze alsnog herleidbaar zouden zijn naar een natuurlijk identificeerbaar persoon.

NB: de uitspraak van de GPDP is gebaseerd op de oude versie van Google Analytics; Universal Analytics.

Recente uitspraken

Zowel de Franse als de Italiaanse privacy toezichthouders hebben de aangeklaagde bedrijven nu respectievelijk 60 en 90 dagen de tijd gegeven om alsnog aan de privacywetgeving te voldoen. Het Italiaanse GPDP gaat nog een stap verder en stelt dat alle publieke en particuliere website-eigenaren in Italië die Google Analytics gebruiken, uiteindelijk moeten stoppen met het gebruik van Google Analytics indien de privacy niet kan worden geborgd. “De Italiaanse toezichthouder roept alle voor de verwerking verantwoordelijken op om na te gaan of het gebruik van cookies en andere trackinginstrumenten op hun websites in overeenstemming is met de wetgeving inzake gegevensbescherming”, zo staat te lezen in het persbericht.

Status verbod Google Analytics in Nederland

In Nederland is de Autoriteit Persoonsgegevens haar oordeel aan het vormen. Het onderzoek op basis van eveneens door Max Schrems ingediende klachten is inmiddels afgerond. AP verwacht in de loop van het jaar uitspraak te doen. Gelet op het feit dat de privacy toezichthouders één lijn lijken te trekken in de veroordeling van Google Analytics, zou de uitspraak zo maar eens kunnen tegenvallen.

Google’s standpunt

Als partner van Google en één van de eerste Analytics 360 Resellers en implementatiepartners, staat Traffic Builders uiteraard in nauw contact met Google over de ontwikkelingen. Tegelijkertijd kan men bij Google niet veel meer doen dan Google Analytics 4 zo privacyvriendelijk mogelijk maken, partners en adverteerders adviseren de overstap naar GA4 te voltooien en te lobbyen voor een snelle implementatie van het Trans Atlantic Data Privacy Framework.

Gevraagd om een reactie op de recente ontwikkelingen in Italië, geeft Google aan:

We have effective supplementary measures available to provide appropriate safeguards for personal data being transferred to the US in the use of GA. Nonetheless, our Legal team is currently reviewing the Italian DPA’s recent decision against a customer’s use of Google Analytics. We continue to believe that DPAs should consider the actual record of requests for access received from public authorities in the US, as per the EDPB’s own recommendations, rather than just the hypothetical possibility of such requests. As clearly stated by Kent Walker, our Chief Legal Officer, Google has offered Analytics services to global businesses for more than 15 years and in all that time has never received the type of demand the Austrian DPA speculated about”. 

Google stelt hierin dus dat – in lijn met de aanbevelingen van de European Data Protection Board – Data Processing Agreements uit zouden moeten gaan van de feitelijk ingediende verzoeken tot toegang tot persoonsgegevens, in plaats van de theoretische mogelijkheid daartoe. Google’s reactie op de uitspraak in Italië vervolgt:

This decision is based on a complaint and review related to Universal Analytics, a version of GA that is currently being wound down. As a reminder, we recently introduced new product updates to Google Analytics 4 that allow customers to manage and minimize at a granular level the scope of user-level data collected, and as such can help address concerns about the possible joining of data and identification of users”.

Hiermee stuurt Google logischerwijs direct aan op de overstap van Universal Analytics naar GA4, simpelweg omdat deze ‘privacy by design’ als uitgangspunt kent en de gebruiker veel meer mogelijkheden biedt om de privacy te borgen. Tot de privacy-gerelateerde features in GA4 behoren o.a.:

  • Het stopzetten van de overdracht van IP-adressen (inclusief geanonimiseerde IP-adressen) buiten de EU. Google verwijdert automatisch GA4-IP-adressen zonder deze te loggen. Hierdoor worden IP-adressen van EU-verkeer niet buiten de EU overgedragen. Deze wijziging is automatisch van toepassing op alle GA4-properties.
  • De mogelijkheid om Google Signals-gegevensverzameling op landniveau uit te schakelen. Gebruikers kunnen deze nieuwe instelling vinden onder Beheerder > Gegevensinstellingen > Gegevensverzameling. Deze optie is zichtbaar voor alle gebruikers van de property, maar kan alleen worden bijgewerkt door property-editors en beheerders.
  • De mogelijkheid om gedetailleerde verzameling van locatie- en apparaatgegevens op landniveau uit te schakelen. Gebruikers kunnen deze nieuwe instelling vinden onder Beheerder > Gegevensinstellingen > Gegevensverzameling. Deze opties is zichtbaar voor alle gebruikers van de property, maar kan alleen worden bijgewerkt door property-editors en beheerders.

 

Hoe voorbereiden op een verbod op Google Analytics?

Maar hoe kun je je nu goed voorbereiden op een verbod op Google Analytics? En wat zijn de alternatieven? We zetten enkele mogelijkheden op een rij:

  1. Niets doen/afwachten;
  2. Voorbereidende maatregelen nemen om GA4 in lijn met de geldende richtlijnen te implementeren;
  3. Een alternatieve datacollectie methode/-tooling implementeren naast Google Analytics, zodat je relatief snel kunt switchen zodra nodig;
  4. Volledig switchen naar een andere tool die data niet buiten de EU verwerkt én niet Amerikaans is.


Niets doen of afwachten lijkt steeds minder een reële optie te zijn. Kleinere organisaties die minder onder het vergrootglas van de Autoriteit Persoonsgegevens liggen, lopen naar verwachting niet direct het risico op boetes. Echter, wanneer er daadwerkelijk een verbod wordt afgekondigd is juridisch gezien natuurlijk wél sprake van een overtreding, en dus van een risico. Voor grotere organisaties en bedrijven die met bijzondere persoonsgegevens werken ligt dit uiteraard anders. Niet alleen omdat het risico op controle groter is, maar ook omdat mogelijke boetes zeer fors zijn. Daarnaast mag het risico op reputatieschade niet worden onderschat.

Tegelijkertijd is het nog steeds onze verwachting dat deze hele kwestie met een behoorlijke sisser zal aflopen zodra het nieuwe Trans Atlantic Data Privacy Framework wordt geïmplementeerd als wetgeving. De vraag is alleen; wanneer? En in welke mate wordt er gehandhaafd door de privacytoezichthouders wanneer er een situatie ontstaat waarin het TADP framework nog niet effectief is, maar het gebruik van Google Analytics wél aan banden wordt gelegd. Geen reden tot paniek dus, wél tot zorg en de nodige voorzorgsmaatregelen.

Advies Traffic Builders

Daarom adviseren we om enerzijds de switch te maken van de oude ‘Universal Analytics’ versie van Google Analytics naar GA4. Daarnaast is het van belang om GA4 in technische zin zo goed mogelijk in te richten. Dit gaat verder dan het simpelweg configureren van de voornoemde privacy controls die GA4 biedt. Tot slot is het raadzaam om een alternatieve analytics tool van Europese bodem te implementeren, naast Google Analytics 4. Daarmee zou relatief snel en eenvoudig de schakel kunnen worden omgezet zodra er daadwerkelijk sprake is van een verbod op Google Analytics in Nederland. Hoe tijdelijk van aard wellicht ook.

Volledig switchen naar een andere tool is nu in onze optiek niet te adviseren. En dat zeggen we niet als “wij van wc-eend”, maar omdat de kosten die daarmee gemoeid gaan veel verder reiken dan de feitelijke implementatiekosten of licentiekosten van een alternatief analytics platform. Je hebt immers ook te maken met onder andere verlies van data, het ontbreken van koppelingen tussen bijvoorbeeld advertising systemen en analytics die andere softwareleveranciers simpelweg niet, of tegen betaling hebben. Denk bijvoorbeeld aan de integratie van Google Ads en Google Analytics, of de koppelingen met de verschillende producten uit het Google Marketing Platform en GA4. En dus ook met verslechtering van inzichten en daardoor mogelijk minder rendabele campagnes.

NB: Uit analyses die voor een enkele grotere opdrachtgever zijn gedaan, kwamen de geschatte kosten van een volledige switch op circa 3 miljoen euro uit.

Conclusie

Uiteindelijk blijft het de afweging tussen de implementatie- en mogelijke desinvesteringskosten en de risico’s, zoals de boetes. Boetes die in dat geval in theorie overigens kunnen oplopen tot 4% van de wereldwijde jaaromzet van een concern, tot maximaal 20 miljoen euro. Dan hebben we het niet over het doorgeven van een bezoekersID uiteraard, maar over veel verdergaande datalekken met serieuzere gevolgen voor de privacy van grote aantallen natuurlijke personen. Daar is in de praktijk niet heel snel sprake van. In dat opzicht wordt het ook tijd dat men werk maakt van het bekrachtigen van het Trans Atlantic Data Privacy Framework. Want hoeveel waarde ik ook hecht aan mijn privacy; de recente uitspraken beginnen steeds meer te lijken op een Europese hetze tegen techgigant Google, dan op een kruistocht voor de privacy van Europeanen.

Advies of hulp nodig? Onze specialisten staan voor je klaar.

Mocht je na het lezen van dit blog nog vragen hebben, of ben je benieuwd hoe we jouw organisatie kunnen helpen goed voorbereid te zijn? Neem dan contact met ons op, we helpen je graag verder.