Google brengt met Google Analytics-updates je data in gevaar

Ook aan jouw organisatie gaat het (waarschijnlijk) niet voorbij: uitspraken van verschillende Europese autoriteiten voor de bescherming van persoonsgegevens bepaalden dat Google Analytics de GDPR overtreedt. Dat betekent dat als je op een of andere manier persoonsgegevens met bedrijven in de Verenigde Staten deelt, je nu stappen moet gaan zetten.

Nadat de Oostenrijkse privacytoezichthouder begin dit jaar het gebruik van Google Analytics had verboden, volgden al snel soortgelijke besluiten of persverklaringen van onder andere de Nederlandse, Deense en Franse autoriteiten voor de bescherming van (persoons)gegevens. Ook de Nederlandse Autoriteit Persoonsgegevens (AP) zal naar verwachting binnenkort bekendmaken dat het gebruik van Google Analytics niet meer is toegestaan: een keerpunt voor adverteerders die gebruikmaken van in de Verenigde Staten  gevestigde advertentietechnologie.

Mocht de AP namelijk besluiten dat Google Analytics niet meer is toegestaan, dan zal deze uitspraak automatisch in bredere zin worden toegepast. Adverteerders die samenwerken met in de Verenigde Staten gevestigde adtech- en martech-platformen zullen dan ook deze samenwerkingen moeten beëindigen. Deze partijen gebruiken en verzamelen immers dezelfde soorten beschermde privacygegevens.

Schending GDPR

Het (aanstaande) verbod is het gevolg van een publieke berisping begin januari van het Europees Comité voor gegevensbescherming (EDPB) aan het adres van het Europees Parlement vanwege het schenden van de GDPR door het gebruik van Google Analytics. Een week later publiceerde de Oostenrijkse gegevensbeschermingsautoriteit een besluit waarin stond dat het gebruik van Google Analytics in strijd is met de algemene verordening gegevensbescherming (GDPR) van de EU en per direct verboden was. Nederland en de Franse en Deense collega’s volgden dus al snel met de aankondiging dat ook zij een onderzoek hadden ingesteld. Pas nadat het onderzoek is afgerond zal de privacytoezichthouder conclusies trekken over het al dan niet toestaan van het gebruik van Google Analytics in Nederland.

Privacy Shield niet meer geldig

In deze besluiten wordt in het algemeen gesteld dat de bestaande opzet – waarbij gegevens over Europese burgers worden verzameld, doorgestuurd naar en opgeslagen in de Verenigde Staten – in strijd is met artikel 44 van de GDPR. Meer in het bijzonder oordeelden de autoriteiten dat, vanwege de doorgifte van persoonsgegevens naar de Verenigde Staten, deze niet beschermd zijn tegen de mogelijkheid voor de Amerikaanse regering om die gegevens in te zien op grond van de Amerikaanse surveillancewetten.

In het verleden slaagden de EU en de Verenigde Staten erin dergelijke kwesties op te lossen via het nu ongeldig verklaarde Privacy Shield. Maar dat perspectief is duidelijk veranderd door zoveel gelijkaardige uitspraken in een korte periode. Het grootste bezwaar is dat niet kan worden ingezien welke gegevens er worden bewaard. Dat is immers een vereiste van de GDPR.

Politieke ontwikkeling

Het nieuws van 25 maart 2022 over een nieuwe politieke overeenkomst tussen de Amerikaanse president Biden en de voorzitter van de EU-Commissie, Ursula von der Leyen, met betrekking tot een nieuwe trans-Atlantische gegevensoverdracht tussen de EU en de Verenigde Staten lijkt een positieve ontwikkeling. Maar het is nu vooral nog een ‘politieke’ ontwikkeling. Waarom? Omdat de werkelijkheid is dat het nog lang zal duren voor er een nieuwe, concrete wettelijke overeenkomst is. In Amerika gaat het doorvoeren van veranderingen op federaal niveau niet erg vlot en dan moeten de gesprekken in Europa nog beginnen. Maar dat betekent niet dat je nu lekker achterover kunt gaan leunen.

Waar te beginnen?

Wat opvalt is het korte tijdsbestek waarin de andere Europese toezichthouders op de actie van hun Oostenrijkse collega reageren. Dit laat duidelijk zien dat de autoriteiten dit als een dringende kwestie beschouwen en de ervaring leert ons dat in dat geval ook het handhaven snel zal worden opgepakt. Adverteerders en uitgevers moeten dan ook nu in actie komen om straks niet achter de feiten aan te lopen. Maar waar te beginnen? Ik geef alvast de eerste twee belangrijke stappen aan:

• Stap 1
  De eerste stap is om de belangrijkste belanghebbenden van Marketing, Legal and Compliance, IT Operations en IT Security bijeen te brengen om een begin te maken met het beantwoorden van de volgende drie vragen:
  1. Welke gegevens verzamelen we nu? Waar worden ze opgeslagen? Wie heeft er toegang toe? Door al deze informatie vast te leggen krijg je een compleet beeld van de eigen datastroom en die van je leveranciers.
  2. Welke invloed hebben de contractuele verplichtingen op onze compliance-eisen?
  3. Wat kunnen we, vanuit veiligheids- en technisch perspectief, nog meer doen? Kunnen gegevens bijvoorbeeld worden geanonimiseerd voordat ze worden gedeeld?

• Stap 2
  Ben je op basis van bovenstaande antwoorden ervan overtuigd dat je met in de Verenigde Staten gevestigde leveranciers kunt blijven werken? Zo ja, fijn. Zo nee, dan moet je per direct alternatieven gaan overwegen.

De regels (en boetes) gelden voor iedereen

De bedrijven die werken in sterk gereguleerde sectoren met veel aandacht voor compliance hebben deze stappen ongetwijfeld al gezet. Ik hoop dat dit artikel ook de ogen van CMO’s heeft geopend die eerst dachten dat deze uitspraken voor hen geen consequenties zouden hebben. Het is niet leuk om te horen, maar eigenlijk zou elk bedrijf dat in Europa actief is en gegevens over zijn klanten verzamelt, onmiddellijk een pauze moeten inlassen en bovenstaande stappen moeten doorlopen. Doe je het niet, dan kan het weleens een duur grapje gaan worden.

Over de auteur: Katja Henneveld is Country manager Benelux en Frankrijk bij Adform.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.