Google Analytics onder vuur: wat kun je nu doen?

Achtergrond: Privacy Shield

Europese privacywaakhonden hebben sinds 2020 hun handen vol aan klachten over doorgifte van persoonsgegevens door o.a. Google Analytics naar de Verenigde Staten. De toezichthouders ontvingen van Schrems en zijn organisatie ‘None of Your Business’ maar liefst 101 modelklachten. Sinds het Europese Hof van Justitie op 16 juli 2020 het adequaatheidsbesluit ‘Privacy Shield’ ongeldig heeft verklaard, vindt namelijk nog steeds doorgifte van persoonsgegevens naar de Verenigde Staten plaats. Ondertussen zijn Europese organisaties druk op zoek naar een legitimering voor deze doorgifte. Zo maakt onder andere Google gebruik van Standard Contractual Clauses (SCC’s) om zelf voor ‘passende waarborgen’ te zorgen.

Onderzoek door Oostenrijkse en Nederlandse toezichthouder

Het gebruik van de SCC’s lijkt daarentegen te botsen met wetgeving uit de Verenigde Staten: de FISA en de CLOUD Act. De FISA biedt Amerikaanse inlichtingendiensten de mogelijkheid om de persoonsgegevens van niet-Amerikanen die zijn opgeslagen in de VS in te zien. De CLOUD Act geeft Amerikaanse opsporingsdiensten in geval van een verdenking de mogelijkheid om ook buiten de VS opgeslagen data op te vragen zonder dat daarvoor een rechtsverzoek nodig is. Europese burgers van wie de data op deze beide manieren wordt ingezien, kunnen hiertegen vervolgens niet bij de Amerikaanse rechter in bezwaar. De Oostenrijkse toezichthouder kwam mede daardoor tot de conclusie dat onderling afgesproken aanvullende waarborgen in SCC’s niet kunnen voorkomen dat deze autoriteiten toegang krijgen tot de gegevens. De Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (AP), waarschuwde vervolgens dat het gebruik van Google Analytics ‘mogelijk binnenkort niet meer is toegestaan’.

In strijd met de AVG volgens Franse toezichthouder

De toezichthouders van Noorwegen en Frankrijk volgen de lijn die is ingezet door de toezichthouder in Oostenrijk. De Noorse toezichthouder onderzoekt het gebruik van Google Analytics en heeft inmiddels een besluit genomen, maar nog niet gepubliceerd. Volgens de Franse toezichthouder, de CNIL, is duidelijk sprake van een inbreuk. De CNIL heeft de websitehouder die van Google Analytics gebruikmaakte aangemaand om binnen een maand zijn zaken op orde te brengen, anders zou een eventuele boete kunnen volgen.

De CNIL oordeelde onder andere dat bij de Anonymize IP-functie van Google Analytics, het gedeeltelijk hashen van IP-adressen, geen sprake is van anonimiseren maar van pseudonimiseren. Daarom gaat het om persoonsgegevens en is de AVG van toepassing. Daarnaast biedt deze functie geen beperking op eventuele toegang door Amerikaanse autoriteiten. De CNIL concludeert mede daardoor dat er sprake is van illegale doorgifte. Maatregelen (afgesproken in SCC’s) zijn namelijk alleen effectief als ze ervoor zorgen dat toegang door autoriteiten in de Verenigde Staten ook daadwerkelijk wordt beperkt.

Geen oplossing voor Google Analytics-gebruikers?

Voor websitehouders die gebruik maken van Google Analytics lijkt er tot dusver geen duidelijke oplossing te zijn. In het geheel geen data meer naar de Verenigde Staten sturen is het meest concreet, maar dit lijkt praktisch onwerkbaar. Voor een eventueel nieuw adequaatheidsbesluit moet de Amerikaanse wetgeving zo worden aangepast, dat Europese burgers beter beschermd worden dan inwoners van de Verenigde Staten. Dit lijkt niet voor de hand te liggen, maar onlangs is hier wel een principeakkoord over gesloten tussen de Europese Commissie en de VS. Het is daarentegen nog wel afwachten wat dit gaat betekenen. Verder kan worden gedacht aan de nieuwe SCC’s, maar het is nog onduidelijk of deze wél passende waarborgen zouden kunnen bieden. Daarnaast heeft Google aangekondigd in de nieuwe versie van Google Analytics (4) meer aandacht en maatregelen te nemen t.a.v. de privacy. Het is ook hier afwachten hoe deze worden bekeken in het licht van de recente besluiten.

Er blijft voorlopig dus nog onzekerheid bestaan rondom de toelaatbaarheid van en grenzen aan het gebruik van Google Analytics. Toch is er geen reden voor paniek. De recente besluiten betreffen vooralsnog slechts specifieke gevallen in enkele landen en daarnaast is het afwachten wat de AP concludeert na onderzoek.

Maak je Google Analytics-gebruik zo compliant mogelijk

Tijdens de DDMA Legal Talk: Data delen buiten de EU op 10 maart 2022 vertelde Janus de Visser, operations director van Cloud Nine Digital dat meteen stoppen met Google Analytics (nog) niet nodig is. Wel is het volgens hem aan te raden om een aantal wijzigingen door te voeren om je gebruik zo compliant mogelijk te maken. Hiervoor kun je de bijvoorbeeld de handleiding van de AP gebruiken. Deze tips kun je in ieder geval meenemen.

1. Raak niet in paniek: wacht verdere ontwikkelingen af.
2. Zet de optie ‘IP Anonymization’ aan. De Franse toezichthouder spreekt in het kader van deze optie weliswaar slechts van pseudonimisering, maar het is wel een privacybeschermende maatregel. Zo doe je als verantwoordelijke op dit punt alles wat je kunt doen.
3. Google Analytics maakt het mogelijk om aanvullende data te verwerken, zoals persoonsgegevens in dimensies en events. Maar let ook op persoonsgegevens van een klant in URL’s, dat komt vaker voor dan je denkt. Dit is een onnodige vergroting van het risico.
4. Schakel de optie om data te delen met Google voor eigen gebruik uit.
5. Google Analytics biedt de optie om advertentiefuncties enkel toe te staan bij gebruikers die hiervoor toestemming hebben gegeven (‘AllowAdFeatures’). Het is aan te raden om deze functie aan te zetten.
6. Accepteer de laatste verwerkersovereenkomst met Google, waarbij Google Ireland Ltd. als verwerker wordt aangemerkt en Google Inc. als sub-verwerker.

Kijk verder dan alleen Google Analytics

Naast bovengenoemde tips over Google Analytics is het volgens De Visser ook van belang dat je vanuit een breder perspectief naar dit datavraagstuk kijkt. ‘Zorg ervoor dat je voor alle verwerkingen en verwerkingsdoeleinden een juiste grondslag hebt en verbeter je transparantie. Daarnaast is het belangrijk dat je daadwerkelijk de controle hebt over je verwerkingen: weet welke data je verwerkt, met wie je dit doet en waar de data heengaan én blijf dit proces doorlopend evalueren. Geef daarbij bijzondere aandacht aan dataminimalisatie, privacy-by-design, datakwaliteit en toestemmingsbeheer.’

Het laatste advies van de Visser. ‘Onderneem bovenstaande acties niet om alleen maar aan de wet te voldoen en een boete voorkomen. Maak de inrichting van je data en technologie flexibel. Zorg er bijvoorbeeld voor dat je altijd de mogelijkheid hebt om een tool binnen een uur uit te kunnen zetten. Bouw een ‘killswitch’ in bij het gebruik van al deze tools en breng in kaart wat de nasleep is van een eventuele onmiddellijke stop van het gebruik van Google Analytics of andere Amerikaanse serviceproviders. Zo zorg je ervoor dat je altijd voorbereid bent op eventuele ontwikkelingen.’

Ben je lid van DDMA en heb je vragen over de doorgifte van persoonsgegevens naar de VS? Stuur dan een e-mail naar legal@ddma.nl.

Romar van der Leij

Voormalig Legal counsel | DDMA

Diego Schat

Student-stagiair Legal bij DDMA