Spring naar content

Aanleiding voor de vermelding in de handleiding is een besluit van de Oostenrijkse privacytoezichthouder DSB dat is gepubliceerd door None of your business (NOYB), de organisatie van de bekende privacyactivist Max Schrems. De DSB oordeelt in dat besluit dat het gebruik van Google Analytics in strijd is met Europese privacywetgeving (AVG). Bij doorgifte van de gegevens naar de VS zou namelijk niet gewaarborgd kunnen worden dat Amerikaanse autoriteiten geen toegang krijgen tot de gegevens, waardoor persoonsgegevens niet voldoende kunnen worden beschermd.

101 klachten

Het is de eerste beslissing van een Europese privacytoezichthouder naar aanleiding van de 101 modelklachten van NOYB, die een maand na de uitspraak in Schrems II in 30 Europese landen door NOYB zijn ingediend. Nadat het privacy shield tussen de EU en de VS ongeldig was verklaard, zag NOYB dat op een aantal grote Europese websites nog steeds persoonsgegevens werden doorgegeven naar Google en Facebook in de VS. Daarmee werd volgens NOYB de beslissing van de Europese rechter genegeerd en de privacy van Europese burgers geschonden.

Persoonsgegevens delen buiten de EU

Met de ingediende klachten wil NOYB ervoor zorgen dat Europese toezichthouders gevolg geven aan het Schrems II-arrest. We zien dan ook dat er sinds deze uitspraak veel onduidelijkheid bestaat over het delen van persoonsgegevens buiten de EU en hoe dit compliant met de AVG kan plaatsvinden. Zo is er door privacy-autoriteiten eerder illegale doorgifte vastgesteld in Duitsland en zijn er inmiddels boetes uitgedeeld door toezichthouders in Noorwegen, Italië en Spanje. Maar een duidelijke oplossing voor het delen van data buiten de EU (en dan met name de VS) is er nog niet. Uiteindelijk zijn er volgens NOYB twee opties om de privacy te beschermen: 1. de VS past de standaardbescherming aan voor persoonsgegevens van EU-burgers of 2. Amerikaanse organisaties hosten voortaan persoonsgegevens van EU-burgers buiten de VS.

Verbod?

Wordt het gebruik van Google Analytics in Nederland helemaal verboden? Dat lijkt ons sterk. De AP zou kunnen besluiten dat de manier waarop de dienst nu werkt in strijd is met de AVG, waardoor gebruik van Google Analytics een boete zou kunnen opleveren. Vervolgens ligt de bal dan bij Google: wanneer Google de dienst aanpast en kan aantonen dat bescherming van persoonsgegevens gewaarborgd kan worden, zou het gebruik mogelijk weer zijn toegestaan. Maar voordat we conclusies kunnen trekken, moeten we de onderzoeken van de AP afwachten. Wel is de vermelding van de AP in de genoemde handleiding iets dat opvalt. Niet eerder zagen we de toezichthouder namelijk gedurende lopende onderzoeken al een dergelijke waarschuwing geven.

Ben je lid van DDMA en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl.

Martijn Poulus

IT Privacy Advocaat | The Data Lawyers

Romar van der Leij

Voormalig Legal counsel | DDMA

Ook interessant

Lees meer
AVG |

Privacykoepel deelt richtlijnen voor ‘consent or pay’ model voor grote online platformen

Meta introduceerde eind vorig jaar de nieuwe ‘consent or pay’ banner. Naar aanleiding van deze wijziging komt de koepel van Europese privacytoezichthouders onder leiding van de Nederlandse Autoriteit Persoonsgegevens (AP)…
Lees meer
AVG |

Data delen met VS weer AVG-proof: Europese Commissie neemt opvolger Privacy Shield aan

Na lang wachten heeft de Europese Commissie vandaag een nieuw adequaatheidsbesluit voor doorgifte van persoonsgegevens naar de VS aangenomen. Met dit zogeheten Data Privacy Framework komt er een eind aan…
Lees meer
AVG |

Boete van 1 miljoen voor gebruik Google Analytics Tele2 Zweden

Er kan wederom een nieuw hoofdstuk worden toegevoegd aan het data delen met de VS-dossier. In Zweden zijn namelijk 4 organisaties aangesproken door de nationale privacytoezichthouder (IMY) vanwege hun gebruik…