Spring naar content

Overzicht

Voor een compleet overzicht, moeten we terug naar juli 2020. Toen vernietigde het Hof van Justitie van de Europese Unie het ‘Privacy Shield’, het besluit waarmee de doorgifte van persoonsgegevens tussen de EU en de VS werd geregeld. In een zaak van de Oostenrijkse privacy-activist Max Schrems, oordeelde het Hof dat het Privacy Shield onvoldoende waarborgen bood tegen toegang tot persoonsgegevens van Europese burgers door Amerikaanse autoriteiten.

Met dit oordeel bleef in de praktijk alleen het gebruik van de Standard Contractual Clauses (SCC’s) over om doorgifte van persoonsgegevens naar de VS mogelijk te maken. Maar in augustus 2020 diende Schrems met zijn privacy-organisatie None Of Your Business (NOYB) 101 modelklachten in bij Europese toezichthouders omdat NOYB vond dat ook de SCC’s onvoldoende bescherming bieden tegen toegang door Amerikaanse autoriteiten. Ongeveer de helft van de klachten van NOYB is gericht op websites die Google Analytics gebruiken.

Vanaf het begin van 2022 zijn Europese toezichthouders hun onderzoeken naar deze klachten aan het afronden en hier besluiten over aan het nemen. Dat zorgt nu voor veel onzekerheid: het gebruik van Google Analytics door websitehouders is volgens deze toezichthouders namelijk onder bepaalde omstandigheden in strijd met de AVG.

Tijdlijn

DataUitspraken / besluiten
2020/7: Schrems II​​ uitspraak Europees Hof van Justitie
2020/8: 101 Modelklachten ingediend door NOYB​​
2021/3: Besluit Beierse toezichthouder (Duitsland) over Mailchimp
2021/4: Portugese toezichthouder schorst doorgifte naar VS met Cloudflare
2021/6: Nieuwe SCC’s​​ gepubliceerd door Europese Commissie
2021/11: Guideline internationale doorgifte EDPB​​
2022/1: Besluit Oostenrijkse toezichthouder​​ over Google Analytics
2022/1: Waarschuwing door Autoriteit Persoonsgegevens in handleiding over Google Analytics​​
2022/1: Statement Noorse toezichthouder​​ Google Analytics
2022/2: Besluit Franse toezichthouder Google Analytics
2022/3: Toezichthouder Liechtenstein seponeert​ klachten over Google Analytics
2022/3: Principeakkoord EU-VS over ‘Privacy Shield 2.0’​
2022/4: Franse toezichthouder neemt nog twee besluiten over Google Analytics
2022/4: Autoriteit Persoonsgegevens rond onderzoek af, maar neemt nog geen besluit
2022/5: Oostenrijkse toezichthouder verwerpt risico gebaseerde aanpak
2022/6: FAQ’s Franse toezichthouder, verwerpt hierin risico gebaseerde aanpak
​2022/6: Besluit Italiaanse toezichthouder over Google Analytics
​2022/7: Besluit Deense toezichthouder over Google Workspace
2022/7: Franse toezichthouder legt proxy-alternatief verder uit
2022/9:FAQ’s Deense toezichthouder, roept op tot aanvullende maatregelen om gebruik te legaliseren
2022/10:President Biden ondertekent Executive Order

Veelgestelde vragen

Deze vraag is helaas niet met een simpele ‘ja’ of ‘nee’ te beantwoorden. Meerdere toezichthouders hebben namelijk geoordeeld dat het gebruik van Google Analytics in de specifieke situaties die door de toezichthouders zijn onderzocht, in strijd is met de AVG. Ook de Autoriteit Persoonsgegevens (AP) heeft in haar handleiding voor het gebruik van Google Analytics gewaarschuwd voor een mogelijk verbod. Verder liet de AP weten dat het onderzoek is afgerond en bij de afdeling handhaving ligt. Het is nog afwachten wat de uitkomst gaat zijn, maar de Nederlandse toezichthouder lijkt dus een aanloopje te nemen naar een soortgelijk besluit.

Maar ook op basis van deze besluiten kan nog niet direct worden geconcludeerd dat het gebruik van Google Analytics onder alle omstandigheden in strijd is met de AVG. De besluiten zijn gericht aan websitehouders en zien toe op specifieke omstandigheden én specifieke toepassingen door deze websitehouders. Dat wil zeggen: de toezichthouders beoordelen dit per situatie.

Tot dusver zijn er twee belangrijke overeenkomstige opvattingen in de besluiten van toezichthouders die we kunnen aanstippen:

  • Ondanks getroffen maatregelen van Google (zoals Anonymize IP) gaat het om persoonsgegevens die worden doorgegeven buiten Europa.
  • De SCC’s en getroffen (technische) maatregelen beperken de mogelijke toegang door inlichtingendiensten niet (voldoende).

In combinatie met de conclusie in de Schrems II-zaak dat Europese burgers niet naar de Amerikaanse rechter kunnen, hebben deze overwegingen geleid tot het oordeel van de toezichthouders dat het gebruik door websitehouders van Google Analytics in strijd is met de AVG (in deze specifieke omstandigheden).

Dat zou kunnen. Het probleem zit namelijk niet zozeer in Google Analytics zelf zit, maar in het overkoepelende vereiste van de AVG dat Europese burgers gelijkwaardig beschermd moeten worden in het land waar de persoonsgegevens naar worden doorgegeven. Zo zijn er door Europese toezichthouders ook al besluiten genomen t.a.v. andere tools uit de VS (zie ook de tijdlijn hierboven). Maar net als in het geval van Google Analytics bevatten deze besluiten een beoordeling van gebruik van de tools in specifieke omstandigheden. Al met al is er op dit moment nog veel onduidelijkheid waardoor we hier zeker nog geen conclusies aan kunnen verbinden.

Veel hoop op een blijvende (juridische) oplossing én duidelijkheid is er helaas nog niet. De meeste kans lijkt te liggen bij het Trans-Atlantic Data Privacy Framework, aangekondigd door de Amerikaanse president Biden en de voorzitter van de Europese Commissie Von der Leyen. Dit ‘Privacy Shield 2.0’ zou ervoor moeten zorgen dat er een framework komt waarbinnen de rechten van Europese burgers worden gerespecteerd én er juridische stappen mogelijk zijn naar een Data Protection Review Court. Tot dusver gaat het alleen nog om een principeakkoord. Uitwerking ervan wordt niet verwacht voor het einde van 2022. Daarnaast is het ook nog maar de vraag of hiermee daadwerkelijk de gebreken in de bescherming worden hersteld. En Schrems (III?) zal ook niet stil blijven zitten.

Dit is nog niet helemaal duidelijk. Sinds Schrems II gaan veel organisaties ervan uit dat zij persoonsgegevens compliant met de AVG kunnen doorgeven door het maken van een extra risicoafweging. Het Hof oordeelde namelijk dat bij iedere doorgifte een Data Transfer Impact Assessment (DTIA) moet worden uitgevoerd. Met een DTIA moet onderzoek worden gedaan naar de risico’s van de doorgifte van persoonsgegevens.

Tot dusver werd dit onderzoek (mede door de Europese Commissie en de EDPB) ingevuld met de vraag: hoe waarschijnlijk is het dat inlichtingendiensten (of andere partijen) toegang krijgen én willen tot deze persoonsgegevens? Bij geen of een klein risico zou doorgifte van de persoonsgegevens kunnen plaatsvinden.

Maar hier stuiten we op het volgende knelpunt. De Oostenrijkse toezichthouder heeft laten weten zich niet in het standpunt van de Europese Commissie en de EDPB te kunnen vinden en ook de Franse toezichthouder heeft zich onlangs op hetzelfde standpunt gesteld. Volgens de toezichthouders kent de AVG namelijk geen risk-based approach als het gaat om datadoorgifte en gaat het om de mogelijkheid tot toegang door inlichtingendiensten. Wat dit betekent voor het uitvoeren van je DTIA is nog niet duidelijk.

  1. Op dit moment in het geval van Google Analytics niet. De implementatie van encryptie door Google is een onvoldoende gebleken, aangezien Google zelf de gegevens versleutelt en verplicht is om toegang te verlenen aan de Amerikaanse autoriteiten wanneer zij daarom vragen.

    Om encryptie als een voldoende aanvullende waarborg te beschouwen, moeten de ‘sleutels’ onder de exclusieve controle worden gehouden in de EU (of een ander gebied dat een passend beschermingsniveau biedt) – zie aanbevelingen 01/ 2020 van de EDPB, §84.

Uitdrukkelijke toestemming van de betrokkene kán een manier zijn om legaal data door te geven naar de VS, maar dit geldt alleen voor niet-systematische doorgiften. Daarom kan dit geen langdurige en permanente oplossing vormen.

Het is goed om er op te wijzen dat er een verschil zit tussen anonimiseren en pseudonimiseren. Psuedonimiseren bestaat uit het vervangen van direct identificerende gegevens (naam, voornaam etc.) in een dataset door indirect identificerende gegevens (alias, volgnummer, etc.). Hashing is hier een goed voorbeeld van. Anonimisering houdt in dat het onmogelijk wordt gemaakt om de persoon op welke manier dan ook en op onomkeerbare wijze te identificeren. Geanonimiseerde gegevens vallen niet meer onder de AVG.

Google maakt gebruik van pseudonimiseringsmaatregelen, maar niet van anonimisering. Google biedt Anonimyze IP aan, maar dit is geen manier van anonimesering maar van pseudonimisering. Hiermee wordt namelijk een gedeelte van het IP-adres versleutelt en Google heeft deze sleutel zelf in handen. Daarnaast is het niet van toepassing op alle overdrachten. Bovendien wordt niet duidelijk of deze anonimisering plaatsvindt vóór de overdracht naar de VS. Ook kan het gebruik van unieke identifiers om individuen te onderscheiden de gegevens identificeerbaar maken, vooral in combinatie met andere informatie zoals browser- en besturingssysteemmetadata. Met deze gegevens kunnen gebruikers nauwkeurig worden gevolgd, in sommige gevallen op meerdere apparaten.

Ten slotte kan het gezamenlijke gebruik van Google Analytics met andere Google-services, met name marketingservices, het risico op tracking vergroten. Met deze diensten, die veel worden gebruikt in Frankrijk, kan het IP-adres worden gecontroleerd en kan zo de browsegeschiedenis van de meeste internetgebruikers op een groot aantal sites worden getraceerd.

Van een algeheel verbod op Google Analytics is nog geen sprake, maar in het algemeen ligt datadoorgifte naar de VS duidelijk onder vuur. Door alle onzekerheid is het voor organisaties aan te raden er alles aan te doen om te waarborgen dat de persoonsgegevens beschermd worden. Weet daarom waar de datastromen heengaan, houd hier de controle over, doe een DTIA, verdiep je eventueel in alternatieven en zorg ervoor dat je op de hoogte blijft van de ontwikkelingen (bijvoorbeeld via de DDMA Legal Nieuwsbrief).

De Franse toezichthouder (CNIL) heeft een lijst gepubliceerd met alternatieven voor Google Analytics. Dit betekent niet dat al deze tools compliant zijn (in Nederland), maar het is een goed overzicht van de opties die je als organisatie zou kunnen overwegen.

Linkjes naar configuratiehandleidingen zijn in het Frans

onze legal specialisten

Heb je het antwoord op jouw vraag hier niet kunnen vinden én ben je lid van DDMA? Bel dan één van onze Legal Counsels (020- 4528 413) of mail je vraag naar legal@ddma.nl. De juristen proberen je vraag zo snel mogelijk te beantwoorden. Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.

Martijn Poulus

Advocaat en senior legal counsel bij DDMA

Romar van der Leij

Legal counsel

Naomi van der Louw

Legal counsel

Sara Mosch

Legal counsel