Spring naar content

Aanleiding voor de vermelding in de handleiding is een besluit van de Oostenrijkse privacytoezichthouder DSB dat is gepubliceerd door None of your business (NOYB), de organisatie van de bekende privacyactivist Max Schrems. De DSB oordeelt in dat besluit dat het gebruik van Google Analytics in strijd is met Europese privacywetgeving (AVG). Bij doorgifte van de gegevens naar de VS zou namelijk niet gewaarborgd kunnen worden dat Amerikaanse autoriteiten geen toegang krijgen tot de gegevens, waardoor persoonsgegevens niet voldoende kunnen worden beschermd.

101 klachten

Het is de eerste beslissing van een Europese privacytoezichthouder naar aanleiding van de 101 modelklachten van NOYB, die een maand na de uitspraak in Schrems II in 30 Europese landen door NOYB zijn ingediend. Nadat het privacy shield tussen de EU en de VS ongeldig was verklaard, zag NOYB dat op een aantal grote Europese websites nog steeds persoonsgegevens werden doorgegeven naar Google en Facebook in de VS. Daarmee werd volgens NOYB de beslissing van de Europese rechter genegeerd en de privacy van Europese burgers geschonden.

Persoonsgegevens delen buiten de EU

Met de ingediende klachten wil NOYB ervoor zorgen dat Europese toezichthouders gevolg geven aan het Schrems II-arrest. We zien dan ook dat er sinds deze uitspraak veel onduidelijkheid bestaat over het delen van persoonsgegevens buiten de EU en hoe dit compliant met de AVG kan plaatsvinden. Zo is er door privacy-autoriteiten eerder illegale doorgifte vastgesteld in Duitsland en zijn er inmiddels boetes uitgedeeld door toezichthouders in Noorwegen, Italië en Spanje. Maar een duidelijke oplossing voor het delen van data buiten de EU (en dan met name de VS) is er nog niet. Uiteindelijk zijn er volgens NOYB twee opties om de privacy te beschermen: 1. de VS past de standaardbescherming aan voor persoonsgegevens van EU-burgers of 2. Amerikaanse organisaties hosten voortaan persoonsgegevens van EU-burgers buiten de VS.

Verbod?

Wordt het gebruik van Google Analytics in Nederland helemaal verboden? Dat lijkt ons sterk. De AP zou kunnen besluiten dat de manier waarop de dienst nu werkt in strijd is met de AVG, waardoor gebruik van Google Analytics een boete zou kunnen opleveren. Vervolgens ligt de bal dan bij Google: wanneer Google de dienst aanpast en kan aantonen dat bescherming van persoonsgegevens gewaarborgd kan worden, zou het gebruik mogelijk weer zijn toegestaan. Maar voordat we conclusies kunnen trekken, moeten we de onderzoeken van de AP afwachten. Wel is de vermelding van de AP in de genoemde handleiding iets dat opvalt. Niet eerder zagen we de toezichthouder namelijk gedurende lopende onderzoeken al een dergelijke waarschuwing geven.

Ben je lid van DDMA en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl.

Martijn Poulus

Advocaat en senior legal counsel bij DDMA

Romar van der Leij

Legal counsel

Ook interessant

Lees meer
Search |

Simo Ahava (8-bit-sheep): ‘Technology doesn’t change the status quo. It’s how that technology is used’

Server-side tagging is often presented as the solution for problems relating to the sunset of third-party cookies. And although server-side would be a solution for a lot of companies, it…
Lees meer
Conversion Rate Optimisation |

Dark patterns – wat mag wel en niet volgens de EDPB

De European Data Protection Board (EDPB – koepel van alle Europese privacytoezichthouders) heeft nieuwe guidelines vastgesteld over het herkennen en vermijden van dark patterns op sociale media. De guideline is…
Lees meer
Data, Decisions & Engagement |

Inzendingen Customer Data Award 2022 geopend

Op 1 december 2022 wordt met de DDMA Customer Data Award 2022 voor de 16e keer de organisatie bekroond die het integraal managen van klantgegevens op operationeel, tactisch en strategisch…