Update: Mogelijk verbod op gebruik Google Analytics?

De Oostenrijkse privacy toezichthouder (DSB) oordeelde op 13 januari jl. dat het gebruik van Google Analytics in strijd is met de Algemene Verordening Gegevensbescherming (AVG). Google Analytics is een populaire analyse-tool op basis van cookies, dat door veel Nederlandse websites wordt ingezet om het gebruik van de website te meten. Wereldwijd maakt 86,5 procent van de websites gebruik van Google Analytics in Nederland wordt dit percentage geschat op 90 procent. De impact kan dus groot zijn voor Nederlandse adverteerders, bureaus en publishers. Hoe staat de Nederlandse privacy-toezichthouder AP hierin en hoe kijkt Google naar deze ontwikkelingen? Lees het in deze update van de bvA VIA Werkgroep Privacy.

Het besluit van de DSB bouwt voort op de Schrems II-uitspraak van het Hof van Justitie van de Europese Unie in 2020. Hierin oordeelde het Hof dat de doorgifte persoonsgegevens van de Europese Unie naar de Verenigde Staten van Amerika (VS) in principe niet is toegestaan omdat de Amerikaanse overheid vrij gemakkelijk toegang kan krijgen tot alle persoonsgegevens die worden verwerkt door organisaties gevestigd in de VS. Dit verbod kan worden omzeild als voldoende beveiligingsmaatregelen worden getroffen om de toegang van de Amerikaanse overheid te beperken.

Gevolgen voor Nederland

De Autoriteit Persoonsgegevens (AP) is op dit moment aan het onderzoeken wat het gevolg is van het besluit voor de Nederlandse markt. Eerder heeft de AP een handleiding ontwikkeld over het privacyvriendelijk instellen van Google Analytics. Naar aanleiding van het besluit van de DSB heeft het AP een paragraaf toegevoegd dat Google Analytics mogelijk niet meer gebruikt mag worden. De toezichthouder verwacht ‘begin dit jaar’ met een definitief oordeel te komen.

Reactie AP

De Nederlandse privacy-autoriteit AP meldt desgevraagd aan de Werkgroep Privacy van bvA en VIA nog niet precies te kunnen aangeven wanneer het onderzoek naar de twee klachten wordt afgerond: De AP is volgens de wet verplicht eerst het onderzoek naar deze klachten af te ronden, voordat zij een oordeel kan geven over het gebruik van Google Analytics. Na afronding en publicatie van dat onderzoek. Begin dit jaar nog kan de AP zeggen of Google Analytics in de huidige vorm is toegestaan of niet.

AP wil en kan dus niet vooruitlopen op het onderzoek, maar wil wel iets zeggen over de consequenties als de conclusie van het onderzoek luidt dat de klachten gegrond zijn. Moet je bijvoorbeeld op zoek naar een alternatief? “Mocht ook de AP in haar onderzoeken tot de conclusie komen dat de inzet van Google Analytics niet is toegestaan en Google past de software niet aan, dan moeten Nederlandse bedrijven inderdaad op zoek naar een alternatief. Organisaties met een Functionaris Gegevensbescherming (FG) kunnen hem of haar om advies vragen en een Data Protection Impact Assessment uitvoeren om alle risico’s in kaart te brengen. Organisaties zonder FG kunnen met branchevereniging en vakgenoten gezamenlijk alternatieven beoordelen of daar advies over inwinnen.”

AP wijst tot slot nog op een ander scenario: “Het besluit van de Oostenrijkse toezichthouder en de diverse lopende onderzoeken kunnen overigens aanleiding zijn voor Google om de software aan te passen. Dan is het voor al die bedrijven die gebruikmaken van Analytics ook niet nodig om eventueel over te stappen op een alternatief.”

Reactie Google

Hoewel Google erkent dat het besluit van de Oostenrijkse gegevensbeschermingsautoriteit vragen oproept, merkt het op dat de uitspraak Google Analytics niet heeft "verboden". In een officiële verklaring van Kent Walker, President, Global Affairs & Chief Legal Officer bij Google & Alphabet, wordt erop gewezen dat: "Google al meer dan 15 jaar Analytics-gerelateerde diensten aanbiedt aan bedrijven wereldwijd en in al die tijd nog nooit een verzoek heeft ontvangen van het type waar de DPA over speculeert. En we verwachten er ook geen te ontvangen, omdat een dergelijke eis waarschijnlijk niet binnen de nauwe werkingssfeer van de relevante wet zou vallen".

Wat kun je op dit moment doen?

Als bvA en VIA raden wij je aan om in afwachting van het oordeel van AP te checken welke versie van Google Analytics je gebruikt voor je website(s) en welke bewerkersovereenkomst je met Google hebt afgesloten (zie info AP). Vanuit de Werkgroep Privacy volgen we deze ontwikkelingen nauwgezet en houden we contact met de betrokken partijen. We houden je op de hoogte.

Heb je vragen over bovenstaande of wil je meer weten, neem contact op met [email protected] of [email protected]

Gerelateerde artikelen

Autoriteit Persoonsgegevens gaat strenger toezicht houden

De Autoriteit Persoonsgegevens (AP) heeft met een brief aan de VIA aangekondigd in 2024 strenger toezicht te houden. Eerder al uitte het kabinet haar zorgen over het gebruik van cookies en online tracking, waardoor een extra budget van 500.000 euro per jaar aan de AP werd toegewezen voor het toezicht hierop. Dit extra budget zal de AP gebruiken om vaker te controleren of organisaties op de juiste manier toestemming vragen voor het plaatsen van onder andere tracking cookies. De AP heeft vuistregels op haar website gepubliceerd met uitleg hoe organisaties hun cookiebanner moeten inrichten en toestemming voor het plaatsen van tracking cookies gevraagd moet worden. De AP heeft deze brief naar de VIA gestuurd met het verzoek om de inhoud ervan onder de aandacht te brengen bij onze leden. Het is van belang dat jij, als lid van de VIA, hiervan op de hoogte bent. Zodat er nu de mogelijkheid is om eventuele aanpassingen uit te voeren. – Saskia Baneke-Delfgaauw, VIA-directeur Lees hieronder de brief van het AP. Via deze mail houden we onze leden op de hoogte van belangrijke juridische ontwikkelingen. Als contactpersoon van jouw organisatie vragen we je om deze e-mail door te sturen naar degenen binnen de organisatie voor wie deze updates van belang zijn. Alvast bedankt! Mochten er vragen zijn of hebben jullie hulp nodig, neem dan contact op met Saskia Baneke, [email protected] of Guido Grevink [email protected] Relevante links:Autoriteit Persoonsgegevens publiceert richtlijnen voor het opstellen van een correcte cookiebannerHeldere en misleidende cookiebanners | Autoriteit PersoonsgegevensLegal Digital Advertising Checklist VERSTERKT TOEZICHT OP TRACKING TECHNOLOGIEËN EN NORMUITLEG RONDOM COOKIES De Autoriteit Persoonsgegevens (AP) gaat vanaf dit jaar vaker controleren of websites op de juiste manier toestemming vragen voor het vragen van (tracking) cookies en andere volgsoftware. In de praktijk komt het namelijk regelmatig voor dat er misleidende cookiebanners worden gebruikt, waardoor de toestemming voor de verwerking van persoonsgegevens niet juist wordt verkregen. De AP wijst u middels deze brief graag op de normuitleg die de AP hier recent over heeft uitgebracht. Cookies en de AVGBij het gebruik van tracking cookies of vergelijkbare technieken kan ervan uit worden gegaan dat er persoonsgegevens worden verwerkt. Dit geldt ook voor sommige functionele en beperkte analytische cookies. Aangezien het gaat om een verwerking van persoonsgegevens moet er ook worden voldaan aan de Algemene verordening gegevensbescherming (AVG). Belang van een heldere cookiebannerDoor middel van tracking technologieën kunnen organisaties meekijken met het internetgedrag van hun websitebezoekers. Echter, dit is alleen toegestaan als websitebezoekers daar expliciet mee akkoord gaan. Zij moeten ook de optie hebben om cookies te weigeren, zonder nadelige gevolgen. Door het inzetten van een heldere cookiebanner kunnen websitebezoekers een weloverwogen keuze maken om wel of geen toestemming te geven. AP normuitlegNaast het versterkte toezicht brengt de AP ook normuitleg uit, zodat organisaties aan de hand van praktische regels kunnen voldoen aan de wettelijke vereisten met betrekking tot (tracking) cookies en andere technologieën. Inmiddels heeft de AP twee uitgebracht: normuitleg voor het maken van een heldere cookiebanner en normuitleg voor het intrekken van toestemming bij cookies. Voor verdere uitleg en voorbeelden verwijzen we u graag naar onze website. De volgende vuistregels helpen bij het opstellen van een correcte cookiebanner: Geef informatie over het doel; Zet vinkjes niet automatisch aan; Gebruik duidelijke tekst; Zet verschillende keuzes op één laag; Verberg bepaalde keuzes niet; Laat iemand niet extra klikken; Gebruik geen onopvallende link in de tekst; Wees helder over het intrekken van toestemming; Verwar toestemming niet met gerechtvaardigd belang. De volgende regels verduidelijken waaraan voldaan moet worden bij intrekken van toestemming bij cookies: Toestemming intrekken moet op ieder moment kunnen; Toestemming intrekken moet net zo gemakkelijk zijn als het aangeven; Toestemming intrekken mag geen nadelige gevolgen hebben voor uw websitebezoekers; Geef informatie over hoe websitebezoekers toestemming kunnen intrekken vóórdat zij toestemming geven; Zorg voor een vindbare plek voor het intrekken van toestemming; Gaat het (ook) om toestemming voor het verwerken van persoonsgegevens door derde partijen? Dan moet u deze derde partijen ook laten weten dat iemand de toestemming heeft ingetrokken.

Lees verder

Whitepaper Data-Cleanrooms: Wat zijn het en hoe zet je ze effectief in?

Het landschap van digitale marketing is flink veranderd. Firefox en Safari ondersteunen geen cookies van derden meer, Chrome is ze aan het uitfaseren en de ePrivacy Richtlijn en GDPR vereisen dat uitgevers en adverteerders toestemming van consumenten krijgen om hun data te verzamelen en te gebruiken. En dat zorgt voor de nodige uitdagingen op het gebied van data en privacy. Gelukkig bieden data-cleanrooms een oplossing. Cleanrooms maken het voor bedrijven mogelijk om samen te werken en data te analyseren met behoud van privacy en naleving van regelgeving. Ze zijn vooral nuttig in situaties waarin meerdere partijen de collectieve kracht van hun gegevens willen benutten zonder de individuele privacy of gegevensbeveiliging in gevaar te brengen. Klantgegevens worden zorgvuldig geanonimiseerd en ontdaan van alle persoonlijke of identificeerbare informatie. Deze gegevens kunnen vervolgens worden geanalyseerd en gebruikt om nieuwe inzichten te krijgen over gebruikers op een geaggregeerd niveau. Dit whitepaper geeft marketeers die nog geen of weinig ervaring hebben met data-cleanrooms inzicht in alle mogelijkheden. Van het definiëren van doelstellingen tot juridische zaken, uploaden van data en verbinding met andere bronnen tot het uitvoeren van data-analyses. De theorie wordt aangevuld met cases uit de Nederlandse reclame-industrie en aanbevelingen die betrekking hebben op de beperkingen en kosten van data-cleanrooms. Bijdragen van: Birgit Boing, Emmelijn Hermens, Weiwei Liu-Schröder, Bastiaan Spaans, Bernard de Vreede, Mark Wilmont.

Lees verder