-

Google Analytics verboden of niet? Het completere en complexere verhaal

2022 is voor de data-driven marketingsector qua wetgeving en handhaving een turbulent jaar. Besluiten van meerdere Europese toezichthouders ten aanzien van Google Analytics maken veel impact. Maar komt er een algeheel verbod op het gebruik van Google Analytics of niet? En wat betekenen deze besluiten voor andere Amerikaanse (marketing)tools?

Hoe zat het ook alweer?

Voor een compleet overzicht moeten we terug naar juli 2020. Toen vernietigde het Hof van Justitie van de Europese Unie het Privacy Shield, het besluit waarmee de doorgifte van persoonsgegevens tussen de Europese Unie en de Verenigde Staten werd geregeld. In een zaak van de Oostenrijkse privacyactivist Max Schrems, oordeelde het Hof dat het Privacy Shield onvoldoende waarborgen bood tegen toegang tot persoonsgegevens van Europese burgers door Amerikaanse autoriteiten.

Met dit oordeel bleef in de praktijk alleen het gebruik van de Standard Contractual Clauses (SCC’s) over om doorgifte van persoonsgegevens naar de Verenigde Staten mogelijk te maken. Aanvullend op deze modelcontracten moeten er dan wel technische, juridische en organisatorische beschermingsmaatregelen worden genomen. Maar in augustus 2020 diende Schrems met zijn privacy-organisatie None Of Your Business (NOYB) 101 modelklachten in bij Europese toezichthouders omdat NOYB vond dat ook de SCC’s onvoldoende bescherming bieden tegen toegang door Amerikaanse autoriteiten. Ongeveer de helft van de klachten van NOYB is gericht op websites die Google Analytics gebruiken.

Vanaf het begin van 2022 zijn Europese toezichthouders hun onderzoeken naar deze klachten aan het afronden en hier besluiten over aan het nemen. Dat zorgt nu voor veel onzekerheid: het gebruik van Google Analytics door websitehouders is volgens deze toezichthouders namelijk onder bepaalde omstandigheden in strijd met de AVG.

Is gebruik van Google Analytics nu helemaal verboden?

Deze vraag is helaas niet met een simpele ‘ja’ of ‘nee’ te beantwoorden. Meerdere toezichthouders hebben namelijk geoordeeld dat het gebruik van Google Analytics in de specifieke situaties die door de toezichthouders zijn onderzocht, in strijd is met de AVG. Ook de Autoriteit Persoonsgegevens (AP) heeft in haar handleiding voor het gebruik van Google Analytics gewaarschuwd voor een mogelijk verbod. Verder liet de AP weten (pdf) dat het onderzoek is afgerond en bij de afdeling handhaving ligt. Het is nog afwachten wat de uitkomst gaat zijn, maar de Nederlandse toezichthouder lijkt dus een aanloopje te nemen naar een soortgelijk besluit.

Maar op basis van deze besluiten kan nog niet direct worden geconcludeerd dat het gebruik van Google Analytics onder alle omstandigheden in strijd is met de AVG. De besluiten zijn gericht aan websitehouders en zien toe op specifieke omstandigheden én specifieke toepassingen door deze websitehouders. Dat wil zeggen: de toezichthouders beoordelen dit per situatie.

Overeenkomstige opvattingen

Tot dusver zijn er twee belangrijke overeenkomstige opvattingen in de besluiten van toezichthouders die we mee kunnen nemen:

  1. Ondanks getroffen maatregelen van Google (zoals Anonymize IP) gaat het om persoonsgegevens die worden doorgegeven buiten Europa.
  2. De SCC’s en getroffen (technische) maatregelen beperken de mogelijke toegang door inlichtingendiensten niet (voldoende).

In combinatie met de conclusie in de Schrems II-zaak dat Europese burgers niet naar de Amerikaanse rechter kunnen, hebben deze overwegingen geleid tot het oordeel van de toezichthouders dat het gebruik door websitehouders van Google Analytics in strijd is met de AVG.

Het probleem zit dan ook niet zozeer in Google Analytics zelf, maar in het overkoepelende vereiste van de AVG dat Europese burgers gelijkwaardig beschermd moeten worden in het land waar de persoonsgegevens naar worden doorgegeven. In dat licht zouden toezichthouders, afhankelijk van de specifieke omstandigheden, ook bij andere (marketing)tools uit de Verenigde Staten tot een soortgelijke visie kunnen komen. Maar er is op dit moment nog veel onduidelijkheid, waardoor je hier zeker nog geen conclusies aan kunt verbinden.

De oplossing (?)

Sinds Schrems-II gaan veel organisaties ervan uit dat zij persoonsgegevens compliant met de AVG kunnen doorgeven door het maken van een extra risicoafweging. Het Hof oordeelde namelijk dat bij iedere doorgifte een Data Transfer Impact Assessment (DTIA) moet worden uitgevoerd. Met een DTIA moet onderzoek worden gedaan naar de risico’s van de doorgifte van persoonsgegevens.

Tot dusver werd dit onderzoek (mede door de Europese Commissie en de EDPB) ingevuld met de vraag: hoe waarschijnlijk is het dat inlichtingendiensten (of andere partijen) toegang krijgen én willen tot deze persoonsgegevens? Bij geen of een klein risico zou doorgifte van de persoonsgegevens kunnen plaatsvinden.

Maar hier stuiten we op het volgende knelpunt. De Oostenrijkse toezichthouder heeft laten weten zich niet in het standpunt van de Europese Commissie en de EDPB te kunnen vinden en ook de Franse toezichthouder heeft zich onlangs op hetzelfde standpunt gesteld. Volgens de toezichthouders kent de AVG namelijk geen risk-based approach als het gaat om datadoorgifte en gaat het om de mogelijkheid tot toegang door inlichtingendiensten. Wat dit betekent voor het uitvoeren van je DTIA is nog niet duidelijk.

Veel hoop op een blijvende (juridische) oplossing én duidelijkheid is er daarom helaas nog niet. De meeste kans lijkt te liggen bij het Trans-Atlantic Data Privacy Framework, aangekondigd door de Amerikaanse president Biden en de voorzitter van de Europese Commissie Von der Leyen. Dit Privacy Shield 2.0 zou ervoor moeten zorgen dat er een framework komt waarbinnen de rechten van Europese burgers worden gerespecteerd én er juridische stappen mogelijk zijn naar een Data Protection Review Court. Tot dusver gaat het alleen nog om een principeakkoord. Uitwerking ervan wordt niet verwacht voor het einde van 2022. Daarnaast is het ook nog maar de vraag of hiermee daadwerkelijk de gebreken in de bescherming worden hersteld. En Schrems(-III?) zal ook niet stil blijven zitten.

Het advies

Van een algeheel verbod op Google Analytics is nog geen sprake, maar in het algemeen ligt datadoorgifte naar de Verenigde Staten duidelijk onder vuur. Door alle onzekerheid is het voor organisaties aan te raden er alles aan te doen om te waarborgen dat de persoonsgegevens beschermd worden. Weet daarom waar de datastromen heengaan, houd hier de controle over, doe een DTIA, verdiep je eventueel in alternatieven en zorg ervoor dat je op de hoogte blijft van de ontwikkelingen (bijvoorbeeld via de DDMA Legal Nieuwsbrief).

Over de auteur: Romar van der Leij is Legal counsel bij DDMA.

Op de hoogte blijven van het laatste nieuws binnen je vakgebied? Volg Emerce dan ook op social: LinkedIn, Twitter en Facebook.

Deel dit bericht

2 Reacties

Jan

Alles wordt onder de noemer ”Google Analytics” gestopt. Hierbij is niet specifiek beschreven of het over Universal Analytics of Google Analytics 4 gaan. Dit zijn twee verschillende systemen.

Romar van der Leij - DDMA

Hoi Jan,

Terechte opmerking! Om het artikel zo beknopt mogelijk te houden, is dit niet aangehaald. Maar het is zeker een factor die meespeelt. De besluiten die tot nog toe zijn genomen, zien op Universal Analytics en het gebruik daarvan onder specifieke omstandigheden. Wat het oordeel van de verschillende toezichthouders is t.a.v. Google Analytics 4 weten we nog niet, maar zou in de toekomst kunnen verschillen t.o.v. de huidige beoordeling.

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond