Overzicht
Voor een compleet overzicht, moeten we terug naar juli 2020. Toen vernietigde het Hof van Justitie van de Europese Unie het ‘Privacy Shield’, het besluit waarmee de doorgifte van persoonsgegevens tussen de EU en de VS werd geregeld. In een zaak van de Oostenrijkse privacy-activist Max Schrems, oordeelde het Hof dat het Privacy Shield onvoldoende waarborgen bood tegen toegang tot persoonsgegevens van Europese burgers door Amerikaanse autoriteiten.
Met dit oordeel bleef in de praktijk alleen het gebruik van de Standard Contractual Clauses (SCC’s) over om doorgifte van persoonsgegevens naar de VS mogelijk te maken. Maar in augustus 2020 diende Schrems met zijn privacy-organisatie None Of Your Business (NOYB) 101 modelklachten in bij Europese toezichthouders omdat NOYB vond dat ook de SCC’s onvoldoende bescherming bieden tegen toegang door Amerikaanse autoriteiten. Ongeveer de helft van de klachten van NOYB is gericht op websites die Google Analytics gebruiken.
Vanaf het begin van 2022 zijn Europese toezichthouders hun onderzoeken naar deze klachten aan het afronden en hier besluiten over aan het nemen. Dat zorgde voor veel onzekerheid: het gebruik van Google Analytics door websitehouders is volgens deze toezichthouders namelijk onder bepaalde omstandigheden in strijd met de AVG.
Inmiddels is er een belangrijke ontwikkeling geweest: in juli 2023 nam de Europese Commissie het Data Privacy Framework (DPF) aan, een nieuwe variant van het Privacy Shield. Met dit mechanisme kunnen persoonsgegevens weer in lijn met de AVG worden doorgestuurd naar de VS, waarmee Google Analytics ook weer groen licht heeft gekregen. Meer informatie hierover lees je verderop op deze webpagina.
Relevante publicaties
Tijdlijn
| Data | Uitspraken / besluiten |
|---|---|
| 2020/7: | Schrems II uitspraak Europees Hof van Justitie |
| 2020/8: | 101 Modelklachten ingediend door NOYB |
| 2021/3: | Besluit Beierse toezichthouder (Duitsland) over Mailchimp |
| 2021/4: | Portugese toezichthouder schorst doorgifte naar VS met Cloudflare |
| 2021/6: | Nieuwe SCC’s gepubliceerd door Europese Commissie |
| 2021/11: | Guideline internationale doorgifte EDPB |
| 2022/1: | Besluit Oostenrijkse toezichthouder over Google Analytics |
| 2022/1: | Waarschuwing door Autoriteit Persoonsgegevens in handleiding over Google Analytics |
| 2022/1: | Statement Noorse toezichthouder Google Analytics |
| 2022/2: | Besluit Franse toezichthouder Google Analytics |
| 2022/3: | Toezichthouder Liechtenstein seponeert klachten over Google Analytics |
| 2022/3: | Principeakkoord EU-VS over ‘Privacy Shield 2.0’ |
| 2022/4: | Franse toezichthouder neemt nog twee besluiten over Google Analytics |
| 2022/4: | Autoriteit Persoonsgegevens rond onderzoek af, maar neemt nog geen besluit |
| 2022/5: | Oostenrijkse toezichthouder verwerpt risico gebaseerde aanpak |
| 2022/6: | FAQ’s Franse toezichthouder, verwerpt hierin risico gebaseerde aanpak |
| 2022/6: | Besluit Italiaanse toezichthouder over Google Analytics |
| 2022/7: | Besluit Deense toezichthouder over Google Workspace |
| 2022/7: | Franse toezichthouder legt proxy-alternatief verder uit |
| 2022/9: | FAQ’s Deense toezichthouder, roept op tot aanvullende maatregelen om gebruik te legaliseren |
| 2022/10: | President Biden ondertekent Executive Order |
| 2022/12: | Europese Commissie publiceert conceptvoorstel adequaatheidsbesluit VS (Privacy Shield 2.0) |
| 2022/12 | Spaanse toezichthouder wijst Google Analytics klacht van de hand |
| 2023/02 | Comité Europees Parlement wijst adequaatheidsbesluit af in conceptopinie |
| 2023/02 | Besluit Finse toezichthouder over Google Analytics |
| 2023/02 | EDPB-opinie over conceptvoorstel adequaatheidsbesluit |
| 2023/03 | Oostenrijkse toezichthouder neemt besluit over Facebook Pixel |
| 2023/05 | Europees Parlement tegen nieuw adequaatheidsbesluit |
| 2023/05 | Miljardenboete Meta voor datadoorgifte naar de VS |
| 2023/07 | Eerste boete voor Google Analytics gebruik in Zweden |
| 2023/07 | Europese Commissie neemt Data Privacy Framework aan |
Veelgestelde vragen
Meerdere toezichthouders hebben eerder geoordeeld dat het gebruik van Google Analytics in de specifieke situaties die door de toezichthouders zijn onderzocht, in strijd is met de AVG. Ook de Autoriteit Persoonsgegevens (AP) heeft in haar handleiding voor het gebruik van Google Analytics gewaarschuwd voor een mogelijk verbod. Verder liet de AP weten dat het onderzoek is afgerond en bij de afdeling handhaving ligt. Het is nog afwachten wat de uitkomst gaat zijn, maar de Nederlandse toezichthouder lijkt dus een aanloopje te nemen naar een soortgelijk besluit.
Met de komst van het DPF lijkt het licht voor Google Analytics (en andere Amerikaanse tooling) vanaf nu weer op groen te staan. Wel doe je er verstandig aan om te checken of een partij is aangesloten bij het DPF.
Daarnaast zijn er nog steeds lopende klachten tegen Google Analytics waar toezichthouders een besluit over kunnen nemen met terugwerkende kracht. Dat betekent dat gebruik in de periode waar nog geen DPF was, mogelijk nog wordt geoordeeld dat het gebruik in strijd is met de AVG. Je doet er daarom goed aan om deze ontwikkelingen in de gaten te houden. Maar een algeheel verbod zal dit niet meer opleveren (voor nu).
Tot dusver zijn er twee belangrijke overeenkomstige opvattingen in de besluiten van toezichthouders die we kunnen aanstippen:
- Ondanks getroffen maatregelen van Google (zoals Anonymize IP) gaat het om persoonsgegevens die worden doorgegeven buiten Europa.
- De SCC’s en getroffen (technische) maatregelen beperken de mogelijke toegang door inlichtingendiensten niet (voldoende).
In combinatie met de conclusie in de Schrems II-zaak dat Europese burgers niet naar de Amerikaanse rechter kunnen en het destijds ontbreken van een adequaatheidsbesluit, hebben deze overwegingen geleid tot het oordeel van de toezichthouders dat het gebruik door websitehouders van Google Analytics in strijd is met de AVG (in deze specifieke omstandigheden).
Dat zou kunnen. Het probleem zit namelijk niet zozeer in Google Analytics zelf zit, maar in het overkoepelende vereiste van de AVG dat Europese burgers gelijkwaardig beschermd moeten worden in het land waar de persoonsgegevens naar worden doorgegeven. Zo zijn er door Europese toezichthouders ook al besluiten genomen t.a.v. andere tools uit de VS (zie ook de tijdlijn hierboven). Maar net als in het geval van Google Analytics bevatten deze besluiten een beoordeling van gebruik van de tools in specifieke omstandigheden. Al met al is er op dit moment nog veel onduidelijkheid waardoor we hier zeker nog geen conclusies aan kunnen verbinden.
Wil je meer antwoorden bekijken op veelgestelde vragen?
Log in of word lid om de content te bekijken
onze legal specialisten
Heb je het antwoord op jouw vraag hier niet kunnen vinden én ben je lid van DDMA? Bel dan één van onze Legal Counsels (020- 4528 413) of mail je vraag naar legal@ddma.nl. De juristen proberen je vraag zo snel mogelijk te beantwoorden. Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.