Google Analytics 4: de oplossing voor datadoorgifte naar de VS?

Een volledig overzicht van alle ontwikkelingen rondom Google Analytics vind je op deze Google Analytics-dossierpagina.

Waarom is dit belangrijk voor jou?

Het gaat hier om de opvolger van de meest gebruikte webanalytics-tool ter wereld. De kans is dus groot dat binnen jouw organisatie met deze tool analyses worden uitgevoerd om de bedrijfsvoering te verbeteren. Google heeft al gemeld dat Universal Analytics uiteindelijk niet meer ondersteund wordt. Zo worden bijvoorbeeld vanaf 1 juli 2023 op websites geen nieuwe hits meer gemeten. Veel organisaties zijn daarom bezig om Google Analytics 4 te testen (vaak simultaan met het gebruik van Universal Analytics) om uiteindelijk de analyse-activiteiten volledig te migreren naar Google Analytics 4. Mocht jouw organisatie dan ook gebruik blijven maken van de nieuwe Google Analytics-variant, dan kun je dit juridische dossier niet negeren.

De knelpunten van Universal Analytics

Om antwoord te krijgen op de vraag of GA4 een oplossing kan bieden, moeten we kijken naar het oordeel van de verschillende Europese toezichthouders. Daaruit kunnen we namelijk afleiden welke gezamenlijke knelpunten GA4 mogelijk moet aanpakken.

1. Ondanks getroffen technische maatregelen bij Universal Analytics (zoals Anonymize IP) gaat het om persoonsgegevens die worden doorgegeven buiten Europa.
Universal Analytics koppelt analytische data aan een Client-ID (een gepseudonimiseerde identifier) om samen met andere parameters tot inzichten te kunnen komen. Volgens de toezichthouders is het in theorie mogelijk dat al deze gegevens in combinatie te herleiden zijn tot een individueel persoon. Dat Google zegt dat zij op basis van hun beleid en afspraken dit nooit doen, doet hier voor de toezichthouders niks aan af.

Er zijn aan Google Analytics 4 nieuwe functionaliteiten toegevoegd die ervoor moeten zorgen dat 1) persoonsgegevens (IP-adressen) enkel in Europa worden verwerkt, en 2) de data die wél wordt doorgegeven aan de VS geen persoonsgegevens zijn. Voor doorgifte is vereist dat persoonsgegevens passend worden beschermd en Google is van mening dat dat op deze manier gewaarborgd is. Technisch gezien is dat terug te zien in de volgende functionaliteiten:

• Afzonderlijke IP-adressen worden niet meer geregistreerd of opgeslagen. Door middel van een techniek genaamd ‘IP-geo lookup’ wordt op basis van metadata tot op stadsniveau een locatie afgeleid.
• Deze ‘IP-geo lookup’ vindt plaats op servers in Europa, waarna deze data wordt doorgegeven naar de Analytics servers (onder andere in de VS).
• Aanvullend daarop staat Anonymize IP (de functie waarmee IP-adressen worden gehasht) standaard aan en kan deze niet meer worden uitgezet, waar dit bij Universal Analytics nog optioneel was.

Verder kent GA4 nog een aantal privacyvriendelijke wijzigingen (zoals kortere bewaartermijnen van cookies), maar deze zijn niet direct van invloed op het doorgiftevraagstuk.

2. De getroffen contractuele (SCC’s) en organisatorische maatregelen beperken de mogelijke toegang door inlichtingendiensten niet (voldoende).
Door het Europees Hof is in de Schrems II-uitspraak vastgesteld dat Europese burgers geen afdwingbare rechten hebben wanneer een Amerikaanse inlichtingendienst toegang krijgt tot persoonsgegevens. Daarmee is doorgifte zonder aanvullende maatregelen in strijd met de Algemene Verordening Gegevensbescherming (AVG). In het geval van Universal Analytics stellen de toezichthouders dat de gebruikte aanvullende maatregelen (contractuele afspraken en organisatorische maatregelen) niet effectief zijn, omdat de wettelijke bevoegdheden van de Amerikaanse inlichtingendiensten om persoonsgegevens op te vragen hiermee niet beperkt kan worden.

Dit probleem is lastig op te lossen door Google zelf. Voor de oplossing hiervan lijkt een aanpassing van het wettelijk kader in de VS nodig, wat op politiek niveau besloten zal moeten worden. Maar wanneer kan worden uitgesloten dat er persoonsgegevens worden doorgegeven, zal dit knelpunt wegvallen.

Is GA4 de oplossing?

De hamvraag is nu of Google met GA4 één van de bovenstaande punten heeft kunnen aanpakken en zo het gebruik van de analytics-tool in lijn met de AVG heeft gebracht. Op dit moment is het nog te vroeg om te zeggen dat de aangepaste functionaliteiten ervoor zorgen dat GA4 de oplossing is voor het doorgiftevraagstuk. De vraag die namelijk open blijft liggen, is of de (gecombineerde) data die uiteindelijk wordt doorgestuurd naar de Analytics-servers niet alsnog moeten worden aangemerkt als persoonsgegevens. Daar komt bij dat er ook nog de discussie bestaat of het enkel opslaan van persoonsgegevens op Europese servers voldoende is om de toegang te beperken. Het is namelijk onduidelijk of Amerikaanse autoriteiten op grond van de CLOUD Act, in het geval van opsporing, mogelijk toegang kunnen vragen tot persoonsgegevens op Europese servers.

Google zet daarom weliswaar een stap in de goede richting, maar het is (nog) afwachten wat de visie van Europese toezichthouders op GA4 is. Dat komen we pas te weten wanneer er klachten worden ingediend en de toezichthouders hier onderzoek naar zullen doen. Aan de andere kant betekent dat ook dat tot die tijd niet is gezegd dat het gebruik van GA4 per definitie in strijd is met de AVG. Zorg er in elk geval dat je op de hoogte blijft van alle juridische ontwikkelingen, bijvoorbeeld via de DDMA Legal Nieuwsbrief.

Ben je lid van DDMA en heb je een juridische vraag? Stuur dan een mailtje naar legal@ddma.nl.

Romar van der Leij

Voormalig Legal counsel | DDMA