Aanleiding voor de vermelding in de handleiding is een besluit van de Oostenrijkse privacytoezichthouder DSB dat is gepubliceerd door None of your business (NOYB), de organisatie van de bekende privacyactivist Max Schrems. De DSB oordeelt in dat besluit dat het gebruik van Google Analytics in strijd is met Europese privacywetgeving (AVG). Bij doorgifte van de gegevens naar de VS zou namelijk niet gewaarborgd kunnen worden dat Amerikaanse autoriteiten geen toegang krijgen tot de gegevens, waardoor persoonsgegevens niet voldoende kunnen worden beschermd.
101 klachten
Het is de eerste beslissing van een Europese privacytoezichthouder naar aanleiding van de 101 modelklachten van NOYB, die een maand na de uitspraak in Schrems II in 30 Europese landen door NOYB zijn ingediend. Nadat het privacy shield tussen de EU en de VS ongeldig was verklaard, zag NOYB dat op een aantal grote Europese websites nog steeds persoonsgegevens werden doorgegeven naar Google en Facebook in de VS. Daarmee werd volgens NOYB de beslissing van de Europese rechter genegeerd en de privacy van Europese burgers geschonden.
Persoonsgegevens delen buiten de EU
Met de ingediende klachten wil NOYB ervoor zorgen dat Europese toezichthouders gevolg geven aan het Schrems II-arrest. We zien dan ook dat er sinds deze uitspraak veel onduidelijkheid bestaat over het delen van persoonsgegevens buiten de EU en hoe dit compliant met de AVG kan plaatsvinden. Zo is er door privacy-autoriteiten eerder illegale doorgifte vastgesteld in Duitsland en zijn er inmiddels boetes uitgedeeld door toezichthouders in Noorwegen, Italië en Spanje. Maar een duidelijke oplossing voor het delen van data buiten de EU (en dan met name de VS) is er nog niet. Uiteindelijk zijn er volgens NOYB twee opties om de privacy te beschermen: 1. de VS past de standaardbescherming aan voor persoonsgegevens van EU-burgers of 2. Amerikaanse organisaties hosten voortaan persoonsgegevens van EU-burgers buiten de VS.
Verbod?
Wordt het gebruik van Google Analytics in Nederland helemaal verboden? Dat lijkt ons sterk. De AP zou kunnen besluiten dat de manier waarop de dienst nu werkt in strijd is met de AVG, waardoor gebruik van Google Analytics een boete zou kunnen opleveren. Vervolgens ligt de bal dan bij Google: wanneer Google de dienst aanpast en kan aantonen dat bescherming van persoonsgegevens gewaarborgd kan worden, zou het gebruik mogelijk weer zijn toegestaan. Maar voordat we conclusies kunnen trekken, moeten we de onderzoeken van de AP afwachten. Wel is de vermelding van de AP in de genoemde handleiding iets dat opvalt. Niet eerder zagen we de toezichthouder namelijk gedurende lopende onderzoeken al een dergelijke waarschuwing geven.
Ben je lid van DDMA en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl.
Martijn Poulus
Romar van der Leij
Ook interessant
Data delen met VS weer AVG-proof: Europese Commissie neemt opvolger Privacy Shield aan
Boete van 1 miljoen voor gebruik Google Analytics Tele2 Zweden
