De Oostenrijkse privacy toezichthouder (DSB) oordeelde op 13 januari jl. dat het gebruik van Google Analytics in strijd is met de Algemene Verordening Gegevensbescherming (AVG). Google Analytics is een populaire analyse-tool op basis van cookies, dat door veel Nederlandse websites wordt ingezet om het gebruik van de website te meten. Wereldwijd maakt 86,5 procent van de websites gebruik van Google Analytics in Nederland wordt dit percentage geschat op 90 procent. De impact kan dus groot zijn voor Nederlandse adverteerders, bureaus en publishers. Hoe staat de Nederlandse privacy-toezichthouder AP hierin en hoe kijkt Google naar deze ontwikkelingen? Lees het in deze update van de bvA VIA Werkgroep Privacy.
Het besluit van de DSB bouwt voort op de Schrems II-uitspraak van het Hof van Justitie van de Europese Unie in 2020. Hierin oordeelde het Hof dat de doorgifte persoonsgegevens van de Europese Unie naar de Verenigde Staten van Amerika (VS) in principe niet is toegestaan omdat de Amerikaanse overheid vrij gemakkelijk toegang kan krijgen tot alle persoonsgegevens die worden verwerkt door organisaties gevestigd in de VS. Dit verbod kan worden omzeild als voldoende beveiligingsmaatregelen worden getroffen om de toegang van de Amerikaanse overheid te beperken.
De Autoriteit Persoonsgegevens (AP) is op dit moment aan het onderzoeken wat het gevolg is van het besluit voor de Nederlandse markt. Eerder heeft de AP een handleiding ontwikkeld over het privacyvriendelijk instellen van Google Analytics. Naar aanleiding van het besluit van de DSB heeft het AP een paragraaf toegevoegd dat Google Analytics mogelijk niet meer gebruikt mag worden. De toezichthouder verwacht ‘begin dit jaar’ met een definitief oordeel te komen.
De Nederlandse privacy-autoriteit AP meldt desgevraagd aan de Werkgroep Privacy van bvA en VIA nog niet precies te kunnen aangeven wanneer het onderzoek naar de twee klachten wordt afgerond: De AP is volgens de wet verplicht eerst het onderzoek naar deze klachten af te ronden, voordat zij een oordeel kan geven over het gebruik van Google Analytics. Na afronding en publicatie van dat onderzoek. Begin dit jaar nog kan de AP zeggen of Google Analytics in de huidige vorm is toegestaan of niet.
AP wil en kan dus niet vooruitlopen op het onderzoek, maar wil wel iets zeggen over de consequenties als de conclusie van het onderzoek luidt dat de klachten gegrond zijn. Moet je bijvoorbeeld op zoek naar een alternatief? “Mocht ook de AP in haar onderzoeken tot de conclusie komen dat de inzet van Google Analytics niet is toegestaan en Google past de software niet aan, dan moeten Nederlandse bedrijven inderdaad op zoek naar een alternatief. Organisaties met een Functionaris Gegevensbescherming (FG) kunnen hem of haar om advies vragen en een Data Protection Impact Assessment uitvoeren om alle risico’s in kaart te brengen. Organisaties zonder FG kunnen met branchevereniging en vakgenoten gezamenlijk alternatieven beoordelen of daar advies over inwinnen.”
AP wijst tot slot nog op een ander scenario: “Het besluit van de Oostenrijkse toezichthouder en de diverse lopende onderzoeken kunnen overigens aanleiding zijn voor Google om de software aan te passen. Dan is het voor al die bedrijven die gebruikmaken van Analytics ook niet nodig om eventueel over te stappen op een alternatief.”
Hoewel Google erkent dat het besluit van de Oostenrijkse gegevensbeschermingsautoriteit vragen oproept, merkt het op dat de uitspraak Google Analytics niet heeft "verboden". In een officiële verklaring van Kent Walker, President, Global Affairs & Chief Legal Officer bij Google & Alphabet, wordt erop gewezen dat: "Google al meer dan 15 jaar Analytics-gerelateerde diensten aanbiedt aan bedrijven wereldwijd en in al die tijd nog nooit een verzoek heeft ontvangen van het type waar de DPA over speculeert. En we verwachten er ook geen te ontvangen, omdat een dergelijke eis waarschijnlijk niet binnen de nauwe werkingssfeer van de relevante wet zou vallen".
Als bvA en VIA raden wij je aan om in afwachting van het oordeel van AP te checken welke versie van Google Analytics je gebruikt voor je website(s) en welke bewerkersovereenkomst je met Google hebt afgesloten (zie info AP). Vanuit de Werkgroep Privacy volgen we deze ontwikkelingen nauwgezet en houden we contact met de betrokken partijen. We houden je op de hoogte.
Heb je vragen over bovenstaande of wil je meer weten, neem contact op met [email protected] of [email protected]
