Auteur: Sander van Oostrom
In dit artikel bespreekt VIA-jurist Sander van Oostrom de eerste financiële sancties die zijn opgelegd aan bedrijven voor het gebruik van Google Analytics, ondanks eerdere uitspraken van Europese autoriteiten dat het gebruik ervan in strijd is met de Algemene Verordening Gegevensbescherming (AVG)
Onlangs heeft de Zweedse toezichthouder voor gegevensbescherming (IMY) boetes opgelegd aan twee bedrijven, Tele2 Zweden en CDON, vanwege het gebruik van Google Analytics op hun websites. Deze boetes vertegenwoordigen de eerste financiële sancties die zijn opgelegd aan bedrijven voor het gebruik van Google Analytics, ondanks eerdere uitspraken van Europese autoriteiten dat het gebruik ervan in strijd is met de Algemene Verordening Gegevensbescherming (AVG).
Het Hof van Justitie van de Europese Unie heeft in de Schrems I en Schrems II-uitspraken de adequaatheidsbesluiten Safe Harbour (Schrems I) en Privacy Shield (Schrems II) ongeldig verklaard. Hierdoor werd de doorgifte van persoonsgegevens naar de Verenigde Staten (VS) als onrechtmatig beschouwd. Het Hof nam deze beslissing vanwege de grootschalige surveillancebevoegdheden van Amerikaanse inlichtingendiensten, waardoor Amerikaanse bedrijven geen adequaat niveau van bescherming voor Europese gegevens konden garanderen.
Naar aanleiding van een klacht van de Oostenrijkse privacystichting Noyb heeft IMY onderzoek gedaan naar het gebruik van Google Analytics door Tele2 Zweden en CDON. IMY concludeerde dat de bedrijven persoonsgegevens doorstuurden naar servers van Google Analytics in de VS, wat in strijd is met de AVG vanwege het niet passende niveau van gegevensbescherming in de VS.
De opgelegde boetes zijn gebaseerd op het gebruik van de oudere, gratis versie van Google Analytics 3 (GA3), genaamd 'Universal Analytics'. Deze gratis versie is sinds 1 juli 2023 niet meer beschikbaar. Zakelijke gebruikers van GA3, '360 UA', hebben nog tot 1 juli 2024 om over te stappen naar de nieuwe versie ‘Google Analytics 4’ (GA4). Het is het belangrijk op te merken dat de nieuwe versie, GA4, op een andere manier is opgezet. Google zou enkele aanpassingen hebben doorgevoerd, die mogelijk een gunstig effect kunnen hebben op de rechtmatigheidsbeoordeling van het gebruik van GA4. Zo zouden de IP-adressen van EU-burgers enkel in de EU worden verwerkt, en de gegevens die wel met VS worden gedeeld geen persoonsgegevens betreffen. Het is op dit moment nog niet definitief vastgesteld of het gebruik van GA4 volledig in overeenstemming is met de AVG, aangezien dit nog niet is beoordeeld door toezichthouders. Dit betekent dat de uitspraak van IMY over het gebruik van GA3 niet één op één van toepassing is op GA4.
Om de breed gedragen problematiek rondom de doorgifte van persoonsgegevens naar de VS aan te pakken, heeft de Europese Unie onlangs ingestemd met een nieuw adequaatheidsbesluit genaamd het EU-US Data Privacy Framework (Privacy Framework). In dit besluit is vastgelegd dat de VS een passend niveau van gegevensbescherming biedt voor persoonsgegevens die vanuit de Europese Unie worden doorgegeven aan Amerikaanse bedrijven. Met de goedkeuring van dit nieuwe Privacy Framework kunnen persoonsgegevens nu legitiem van de EU naar de VS worden overgedragen zonder verdere voorwaarden of toestemming, mits de organisatie in de VS zich heeft aangesloten bij het Privacy Framework. Lees hier meer over het Privacy Framework.
