Spring naar content

Dit artikel is ook verschenen op Emerce.

Recap

Voor een compleet overzicht, moeten we terug naar juli 2020. Toen vernietigde het Hof van Justitie van de Europese Unie het ‘Privacy Shield’, het besluit waarmee de doorgifte van persoonsgegevens tussen de EU en de VS werd geregeld. In een zaak van de Oostenrijkse privacyactivist Max Schrems, oordeelde het Hof dat het Privacy Shield onvoldoende waarborgen bood tegen toegang tot persoonsgegevens van Europese burgers door Amerikaanse autoriteiten.

Met dit oordeel bleef in de praktijk alleen het gebruik van de Standard Contractual Clauses (SCC’s) over om doorgifte van persoonsgegevens naar de VS mogelijk te maken. Aanvullend op deze modelcontracten moeten er dan wel technische, juridische en organisatorische beschermingsmaatregelen worden genomen. Maar in augustus 2020 diende Schrems met zijn privacy-organisatie None Of Your Business (NOYB) 101 modelklachten in bij Europese toezichthouders omdat NOYB vond dat ook de SCC’s onvoldoende bescherming bieden tegen toegang door Amerikaanse autoriteiten. Ongeveer de helft van de klachten van NOYB is gericht op websites die Google Analytics gebruiken.

Vanaf het begin van 2022 zijn Europese toezichthouders hun onderzoeken naar deze klachten aan het afronden en hier besluiten over aan het nemen. Dat zorgt nu voor veel onzekerheid: het gebruik van Google Analytics door websitehouders is volgens deze toezichthouders namelijk onder bepaalde omstandigheden in strijd met de AVG.

Is het gebruik van Google Analytics nu helemaal verboden?

Deze vraag is helaas niet met een simpele ‘ja’ of ‘nee’ te beantwoorden. Meerdere toezichthouders hebben namelijk geoordeeld dat het gebruik van Google Analytics in de specifieke situaties die door de toezichthouders zijn onderzocht, in strijd is met de AVG. Ook de Autoriteit Persoonsgegevens (AP) heeft in haar handleiding voor het gebruik van Google Analytics gewaarschuwd voor een mogelijk verbod. Verder liet de AP weten dat het onderzoek is afgerond en bij de afdeling handhaving ligt. Het is nog afwachten wat de uitkomst gaat zijn, maar de Nederlandse toezichthouder lijkt dus een aanloopje te nemen naar een soortgelijk besluit.

Maar op basis van deze besluiten kan nog niet direct worden geconcludeerd dat het gebruik van Google Analytics onder alle omstandigheden in strijd is met de AVG. De besluiten zijn gericht aan websitehouders en zien toe op specifieke omstandigheden én specifieke toepassingen door deze websitehouders. Dat wil zeggen: de toezichthouders beoordelen dit per situatie.

Overeenkomstige opvattingen

Tot dusver zijn er twee belangrijke overeenkomstige opvattingen in de besluiten van toezichthouders die we mee kunnen nemen:

  1. Ondanks getroffen maatregelen van Google (zoals Anonymize IP) gaat het om persoonsgegevens die worden doorgegeven buiten Europa.
  2. De SCC’s en getroffen (technische) maatregelen beperken de mogelijke toegang door inlichtingendiensten niet (voldoende).

In combinatie met de conclusie in de Schrems II-zaak dat Europese burgers niet naar de Amerikaanse rechter kunnen, hebben deze overwegingen geleid tot het oordeel van de toezichthouders dat het gebruik door websitehouders van Google Analytics in strijd is met de AVG.

Het probleem zit dan ook niet zozeer in Google Analytics zelf, maar in het overkoepelende vereiste van de AVG dat Europese burgers gelijkwaardig beschermd moeten worden in het land waar de persoonsgegevens naar worden doorgegeven. In dat licht zouden toezichthouders, afhankelijk van de specifieke omstandigheden, ook bij andere (marketing)tools uit de VS tot een soortgelijke visie kunnen komen. Maar er is op dit moment nog veel onduidelijkheid, waardoor je hier zeker nog geen conclusies aan kunt verbinden.

De oplossing (?)

Sinds Schrems II gaan veel organisaties ervan uit dat zij persoonsgegevens compliant met de AVG kunnen doorgeven door het maken van een extra risicoafweging. Het Hof oordeelde namelijk dat bij iedere doorgifte een Data Transfer Impact Assessment (DTIA) moet worden uitgevoerd. Met een DTIA moet onderzoek worden gedaan naar de risico’s van de doorgifte van persoonsgegevens.

Tot dusver werd dit onderzoek (mede door de Europese Commissie en de EDPB) ingevuld met de vraag: hoe waarschijnlijk is het dat inlichtingendiensten (of andere partijen) toegang krijgen én willen tot deze persoonsgegevens? Bij geen of een klein risico zou doorgifte van de persoonsgegevens kunnen plaatsvinden.

Maar hier stuiten we op het volgende knelpunt. De Oostenrijkse toezichthouder heeft laten weten zich niet in het standpunt van de Europese Commissie en de EDPB te kunnen vinden en ook de Franse toezichthouder heeft zich onlangs op hetzelfde standpunt gesteld. Volgens de toezichthouders kent de AVG namelijk geen risk-based approach als het gaat om datadoorgifte en gaat het om de mogelijkheid tot toegang door inlichtingendiensten. Wat dit betekent voor het uitvoeren van je DTIA is nog niet duidelijk.

Veel hoop op een blijvende (juridische) oplossing én duidelijkheid is er daarom helaas nog niet. De meeste kans lijkt te liggen bij het Trans-Atlantic Data Privacy Framework, aangekondigddoor de Amerikaanse president Biden en de voorzitter van de Europese Commissie Von der Leyen. Dit ‘Privacy Shield 2.0’ zou ervoor moeten zorgen dat er eenframework komt waarbinnen de rechten van Europese burgers worden gerespecteerd én er juridische stappen mogelijk zijn naar een Data Protection Review Court. Tot dusver gaat het alleen nog om een principeakkoord. Uitwerking ervan wordt niet verwacht voor het einde van 2022. Daarnaast is het ook nog maar de vraag of hiermee daadwerkelijk de gebreken in de bescherming worden hersteld. En Schrems (III?) zal ook niet stil blijven zitten.

Het advies

Van een algeheel verbod op Google Analytics is nog geen sprake, maar in het algemeen ligt datadoorgifte naar de VS duidelijk onder vuur. Door alle onzekerheid is het voor organisaties aan te raden er alles aan te doen om te waarborgen dat de persoonsgegevens beschermd worden. Weet daarom waar de datastromen heengaan, houd hier de controle over, doe een DTIA, verdiep je eventueel in alternatieven en zorg ervoor dat je op de hoogte blijft van de ontwikkelingen (bijvoorbeeld via de DDMA Legal Nieuwsbrief).

Ben je lid van DDMA en heb je een juridische vraag? Stuur een mailtje naar legal@ddma.nl.

Romar van der Leij

Legal counsel

Ook interessant

Lees meer
AVG |

Data delen met VS weer AVG-proof: Europese Commissie neemt opvolger Privacy Shield aan

Na lang wachten heeft de Europese Commissie vandaag een nieuw adequaatheidsbesluit voor doorgifte van persoonsgegevens naar de VS aangenomen. Met dit zogeheten Data Privacy Framework komt er een eind aan…
Lees meer
AVG |

Boete van 1 miljoen voor gebruik Google Analytics Tele2 Zweden

Er kan wederom een nieuw hoofdstuk worden toegevoegd aan het data delen met de VS-dossier. In Zweden zijn namelijk 4 organisaties aangesproken door de nationale privacytoezichthouder (IMY) vanwege hun gebruik…
Lees meer
AVG |

Recordboete voor Meta: wat betekent dit voor de marketingsector?

Maandag 22 mei bracht de Ierse Toezichthouder (DPC) naar buiten dat het Facebook’s moederbedrijf Meta de hoogste AVG-boete tot dusver oplegt: 1,2 miljard euro. Na ruim tweeëneenhalf jaar onderzoek concludeert…