-

Google Analytics 4: oplossing voor datadoorgifte naar de Verenigde Staten?

Verschillende Europese toezichthouders hebben bepaald dat Google’s Universal Analytics niet door de beugel kan wat het doorgeven van persoonsgegevens naar de Verenigde Staten betreft. Er zijn twee belangrijke knelpunten. Of het nieuwe Google Analytics 4 daarvoor een oplossing biedt is nog onduidelijk.

Er is inmiddels al veel geschreven over de besluiten van verschillende Europese toezichthouders over Google Analytics. In specifieke gevallen wordt de webanalytics-tool illegaal bevonden, omdat er persoonsgegevens worden doorgegeven naar de Verenigde Staten. Een interessante kanttekening bij deze besluiten is dat ze specifiek zijn gericht op Universal Analytics. Zowel de gratis versie als de betaalde versie moeten respectievelijk in juli en oktober 2023 plaats maken voor de opvolger: Google Analytics 4 (GA4). Een veelgestelde vraag op dit moment is dan ook of GA4 de oplossing gaat bieden voor de problemen rondom de doorgifte van data naar de Verenigde Staten. Een volledig overzicht van alle ontwikkelingen rondom Google Analytics vind je op de Google Analytics-dossierpagina van DDMA.

Waarom is dit belangrijk voor jou?

Het gaat hier om de opvolger van de meest gebruikte webanalytics-tool ter wereld. De kans is dus groot dat binnen jouw organisatie met deze tool analyses worden uitgevoerd om de bedrijfsvoering te verbeteren. Google heeft al gemeld dat Universal Analytics uiteindelijk niet meer ondersteund wordt.

Zo worden bijvoorbeeld vanaf 1 juli 2023 op websites geen nieuwe hits meer gemeten. Veel organisaties zijn daarom bezig om Google Analytics 4 te testen (vaak simultaan met het gebruik van Universal Analytics) om uiteindelijk de analyse-activiteiten volledig te migreren naar Google Analytics 4. Mocht jouw organisatie ook gebruik blijven maken van de nieuwe Google Analytics-variant, dan kun je deze juridische kwestie niet negeren.

Knelpunt 1: herleidbaarheid persoonsgegevens

Om antwoord te krijgen op de vraag of GA4 een oplossing op het probleem van de datadoorgifte kan bieden, moeten we kijken naar het oordeel van de verschillende Europese toezichthouders. Daaruit kunnen we namelijk afleiden welke gezamenlijke knelpunten GA4 mogelijk moet aanpakken.

  • Een van de belangrijkste punten: ondanks getroffen technische maatregelen bij Universal Analytics (zoals Anonymize IP) gaat het om persoonsgegevens die worden doorgegeven buiten Europa.

Universal Analytics koppelt analytische data aan een client-ID (een gepseudonimiseerde identifier) om samen met andere parameters tot inzichten te kunnen komen. Volgens de toezichthouders is het in theorie mogelijk dat al deze gegevens in combinatie te herleiden zijn tot een individueel persoon. Dat Google zegt dit op basis van hun beleid en afspraken nooit te zullen doen doet hier voor de toezichthouders niks aan af.

Er zijn aan Google Analytics 4 nieuwe functionaliteiten toegevoegd die ervoor moeten zorgen dat 1) persoonsgegevens (IP-adressen) enkel in Europa worden verwerkt, en 2) de data die wél worden doorgegeven aan de Verenigde Staten geen persoonsgegevens zijn. Voor doorgifte is vereist dat persoonsgegevens passend worden beschermd en Google is van mening dat dat op deze manier gewaarborgd is. Technisch gezien is dat terug te zien in de volgende functionaliteiten:

  • Afzonderlijke IP-adressen worden niet meer geregistreerd of opgeslagen. Door middel van een techniek genaamd IP-Geo Lookup wordt op basis van metadata tot op stadsniveau een locatie afgeleid.
  • Deze IP-Geo Lookup vindt plaats op servers in Europa, waarna deze data worden doorgegeven naar de analyticsservers (onder andere in de Verenigde Staten).
  • Aanvullend daarop staat Anonymize IP (de functie waarmee IP-adressen worden gehasht) standaard aan en kan deze niet meer worden uitgezet, terwijl dit bij Universal Analytics nog optioneel was.

Verder kent GA4 nog een aantal privacyvriendelijke wijzigingen (zoals een kortere bewaartermijnen van cookies), maar deze zijn niet direct van invloed op het doorgiftevraagstuk.

Knelpunt 2: toegang inlichtingendiensten
  • Een tweede knelpunt: de getroffen contractuele en organisatorische maatregelen beperken de mogelijke toegang door inlichtingendiensten niet (voldoende).

Door het Europees Hof is in de Schrems-II-uitspraak vastgesteld dat Europese burgers geen afdwingbare rechten hebben wanneer een Amerikaanse inlichtingendienst toegang krijgt tot persoonsgegevens. Daarmee is doorgifte zonder aanvullende maatregelen in strijd met de Algemene Verordening Gegevensbescherming (AVG). In het geval van Universal Analytics stellen de toezichthouders dat de gebruikte aanvullende maatregelen (contractuele afspraken en organisatorische maatregelen) niet effectief zijn, omdat de wettelijke bevoegdheden van de Amerikaanse inlichtingendiensten om persoonsgegevens op te vragen hiermee niet beperkt kunnen worden.

Dit probleem is lastig door Google zelf op te lossen. Voor de oplossing hiervan lijkt een aanpassing van het wettelijk kader in de Verenigde Staten nodig, wat op politiek niveau besloten zal moeten worden. Maar wanneer helemaal kan worden uitgesloten dat er persoonsgegevens worden doorgegeven zal dit knelpunt wegvallen.

Is GA 4 de oplossing?

De hamvraag is nu of Google met GA4 de bovenstaande punten heeft kunnen aanpakken en zo het gebruik van zijn analytics-tool in lijn met de AVG heeft gebracht. Op dit moment is het nog te vroeg om te zeggen dat de aangepaste functionaliteiten ervoor zorgen dat GA4 de oplossing is voor het doorgiftevraagstuk. De vraag die namelijk open blijft, is of de (gecombineerde) data die uiteindelijk worden doorgestuurd naar de analytics-servers in de Verenigde Staten niet alsnog moeten worden aangemerkt als persoonsgegevens.

Daar komt nog bij dat er ook discussie bestaat over de vraag of het enkel opslaan van persoonsgegevens op Europese servers voldoende is om de toegang te beperken. Het is namelijk onduidelijk of Amerikaanse autoriteiten op grond van de CLOUD Act, in het geval van opsporing, mogelijk toegang kunnen vragen tot persoonsgegevens op Europese servers.

Google zet daarom weliswaar een stap in de goede richting, maar het is (nog) afwachten wat de visie van Europese toezichthouders op GA4 is. Dat komen we pas te weten wanneer er klachten worden ingediend en de toezichthouders hier onderzoek naar zullen doen. Aan de andere kant betekent dat ook dat tot die tijd niet is gezegd dat het gebruik van GA4 per definitie in strijd is met de AVG. Zorg er in elk geval dat je op de hoogte blijft van alle juridische ontwikkelingen, bijvoorbeeld via de DDMA Legal Nieuwsbrief, waarvoor je je hier kunt aanmelden. Ben je lid van DDMA en heb je een juridische vraag? Stuur dan een mailtje naar legal@ddma.nl.

Over de auteur: Romar van der Leij is legal counsel bij DDMA.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.

Deel dit bericht

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond