Overzicht Actueel

Google Analytics verboden? AP doet onderzoek

De Autoriteit Persoonsgegevens (AP) heeft gisteren (13 januari 2022) haar ‘Handleiding privacyvriendelijk instellen van Google Analytics’ aangepast. Daarin is opgenomen dat het binnenkort mogelijk niet meer is toegestaan om gebruik te maken van de analysedienst. Aanleiding hiervoor is een besluit van de Oostenrijkse privacytoezichthouder. De AP laat weten op dit moment ook onderzoek te doen naar twee klachten over Google Analytics en binnenkort meer duidelijkheid te kunnen geven over de geldigheid van de dienst.

Aanleiding voor de vermelding in de handleiding is een besluit van de Oostenrijkse privacytoezichthouder DSB dat is gepubliceerd door None of your business (NOYB), de organisatie van de bekende privacyactivist Max Schrems. De DSB oordeelt in dat besluit dat het gebruik van Google Analytics in deze specifieke zaak in strijd is met Europese privacywetgeving (AVG). Bij doorgifte van de gegevens naar de VS zou Google namelijk niet kunnen waarborgen dat Amerikaanse autoriteiten geen toegang krijgen tot de gegevens, waardoor het beschermingsniveau van de persoonsgegevens niet aan de eisen van de AVG voldoet.

101 klachten

Het is de eerste beslissing van een Europese privacytoezichthouder naar aanleiding van de 101 modelklachten van NOYB, die een maand na de uitspraak in Schrems II in 30 Europese landen door NOYB zijn ingediend. Nadat het privacy shield tussen de EU en de VS ongeldig was verklaard, waardoor doorgifte van persoonsgegevens als uigangspunt verboden werd, zag NOYB dat op een aantal grote Europese websites nog steeds persoonsgegevens werden doorgegeven naar Google en Facebook in de VS. Daarmee werd volgens NOYB de beslissing van de Europese rechter genegeerd en de privacy van Europese burgers geschonden.

Persoonsgegevens delen buiten de EU

Met de ingediende klachten wil NOYB ervoor zorgen dat Europese toezichthouders gevolg geven aan het Schrems II-arrest. We zien dan ook dat er sinds deze uitspraak in de praktijk veel onduidelijkheid bestaat over het delen van persoonsgegevens buiten de EU en hoe dit compliant met de AVG kan plaatsvinden. Zo is er door privacy-autoriteiten eerder illegale doorgifte vastgesteld in Duitsland en zijn er inmiddels boetes uitgedeeld door toezichthouders in Noorwegen, Italië en Spanje. Maar een duidelijke oplossing voor het delen van data buiten de EU (en dan met name de VS) is er nog niet. Uiteindelijk zijn er volgens NOYB twee opties om de persoonsgegevens voldoende te beschermen: 1. de VS past de standaardbescherming aan voor persoonsgegevens van EU-burgers of 2. Amerikaanse organisaties hosten voortaan persoonsgegevens van EU-burgers buiten de VS.

Verbod?

Wordt het gebruik van Google Analytics in Nederland helemaal verboden? Dat lijkt ons sterk. De AP zou kunnen besluiten dat de manier waarop de dienst nu werkt in strijd kan zijn met de AVG, waardoor gebruik van Google Analytics een boete zou kunnen opleveren. Vervolgens ligt de bal dan bij Google: wanneer Google de dienst aanpast en kan aantonen dat bescherming van persoonsgegevens kan worden gewaarborgd, zou het gebruik mogelijk weer zijn toegestaan. Maar voordat we zulke conclusies kunnen trekken, moeten we de uitkomst van de onderzoeken van de AP afwachten. Wel is de vermelding van de AP in de genoemde handleiding iets dat opvalt. Niet eerder zagen we de toezichthouder gedurende lopende onderzoeken al een dergelijke waarschuwing geven.

Ben je lid van DDMA en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl.