Gebruik Google Analytics in strijd met AVG

Man met stylus in de hand bestudeert data van Google Analytics

Europese bedrijven mogen niet voortdurend Google Analytics gebruiken om het gedrag van websitebezoekers in kaart te brengen. Het statistiekprogramma verzamelt continu IP-adressen en cookiegegevens van gebruikers en stuurt deze door naar de VS. Onder de huidige Europese privacywetgeving is dat verboden.

Dat heeft de Oostenrijkse gegevensbeschermingsautoriteit Datenschutzbehörde (DSB) bepaald in een modelzaak, zo schrijft Noyb.

Hof zet streep door Privacy Shield

Voor het begin van deze kwestie moeten we terug naar de zomer van 2020. Toen bepaalde het Hof van Justitie van de Europese Unie dat het Privacy Shield, dat de uitwisseling van persoonsgegevens en andere data tussen Europese lidstaten en de VS regelde, in strijd was met de Algemene Verordening Gegevensbescherming (AVG).

De Europese privacywetgeving eist namelijk dat niet-Europese bedrijven en organisaties gelijkwaardige opslag- en beveiligingsmaatregelen treffen als in de EU. Dit wordt ook wel het evenredigheidsbeginsel genoemd. Het hof concludeerde dat het Privacy Shield niet hetzelfde beschermingsniveau buiten de EU garandeerde. De rechter zette direct een streep door het verdrag.

Deze uitspraak wordt ook wel het Schrems-II vonnis genoemd, vernoemd naar de Oostenrijkse privacyactivist Max Schrems.

Schrems verstuurd 101 klachten naar nationale toezichthouders

Al ruim anderhalf jaar wordt er nagedacht en onderhandeld over een opvolger van het Privacy Shield. Tot nu toe zonder resultaat. En dat is zorgelijk, zo vindt privacystichting Noyb. Om Amerikaanse en Europese bedrijven en organisaties te dwingen hun denk- en werkwijze aan te passen, verstuurde Schrems in augustus 2020 in totaal 101 modelklachten naar verschillende nationale toezichthouders in Europa. De privacyvoorvechter eiste van de Autoriteit Persoonsgegevens dat ze een onderzoek instelde naar onder meer Marktplaats en PostNL.

“In plaats van daadwerkelijk hun diensten aan te passen om aan de AVG te voldoen, voegen Amerikaanse wat tekst toe aan hun privacybeleid en proberen ze de uitspraak van het Hof van Justitie te negeren. Veel bedrijven in de EU hebben het voorbeeld gevolgd in plaats van andere juridische opties te bekijken”, aldus Schrems.

Oostenrijkse toezichthouder: ‘Google Analytics in strijd met AVG’

De Datenschutzbehörde (DSB) is de eerste die een van de klachten in behandeling heeft genomen en een uitspraak doet. In deze zaak gaat het om Google Analytics, het statistiekprogramma van Google om websitebezoeken te analyseren. De Oostenrijkse toezichthouder heeft bepaald dat het voortdurende gebruik van Google Analytics in strijd is met de Europese privacywet. De analysesoftware van Google verzamelt voortdurend IP-adressen en cookiegegevens van gebruikers en slaat deze op in de VS. En dat is verboden volgens de AVG.

Schrems is uiterst tevreden over de uitspraak. Hij verwacht de komende maanden nog veel meer vergelijkbare uitspraken in de andere klachten die bij de nationale toezichthouders liggen. In het persbericht van zijn privacystichting wijst hij erop dat er genoeg alternatieven zijn voor Google Analytics die in Europa gehost worden. “Het feit dat gegevensbeschermingsautoriteiten Amerikaanse diensten nu geleidelijk illegaal kunnen verklaren, zet bedrijven in de EU en Amerikaanse providers extra onder druk om over te stappen op veilige en legale opties, zoals hosting buiten de VS”, aldus de persverklaring.

Schrems voegt daar het volgende aan toe. “Dit is een zeer gedetailleerd en degelijk besluit. Waar het op neerkomt is: Bedrijven kunnen geen Amerikaanse clouddiensten meer gebruiken in Europa. Het is nu anderhalf jaar geleden dat het Hof van Justitie dit voor de tweede keer bevestigde, dus het wordt meer dan tijd dat de wet ook gehandhaafd wordt.”

Geen boete voor Google

Volgens de privacyactivist zijn er op de lange termijn twee oplossingen: of de VS past de basisbescherming van gegevens van buitenlanders aan, of Amerikaanse providers slaan gegevens van buitenlanders buiten de VS. “Op lange termijn hebben we ofwel goede bescherming in de VS nodig, of we zullen eindigen met afzonderlijke producten voor de VS en de EU. Persoonlijk zou ik de voorkeur geven aan betere bescherming in de VS, maar dat is de taak van de Amerikaanse wetgever – niet van iemand in Europa”, zegt Schrems hierover.

De toezichthouder uit Oostenrijk heeft geen boete opgelegd aan Google. Het gaat hier om een zogeheten openbare handhavingsprocedure, waarbij de klager niet is gehoord. Iedere nationale toezichthouder heeft de mogelijkheid om boetes tot 20 miljoen euro op te leggen. Of een boete die 4 procent van de wereldwijde omzet bedraagt, afhankelijk van welk bedrag hoger is.

De hoogste boete die de Autoriteit Persoonsgegevens tot nu toe heeft opgelegd, bedraagt 2,75 miljoen euro. Deze werd in december 2021 uitgedeeld aan de Belastingdienst voor het jarenlang onrechtmatig verwerken van de (dubbele) nationaliteit van mensen die kinderopvangtoeslag hadden aangevraagd. Deze data werden in een risicoanalysesysteem gestopt om te beoordelen of aanvragers een risico vormden. De toezichthouder omschreef de werkwijze van de fiscus als “onrechtmatig, discriminerend en onbehoorlijk”.

Update: de Autoriteit Persoonsgegevens waarschuwt dat het gebruik van Google Analytics ‘mogelijk binnenkort’ niet langer is toegestaan. Deze waarschuwing volgt nadat de Oostenrijkse toezichthouder na onderzoek heeft geconcludeerd dat de statistiekprogramma van Google in strijd is met de AVG.

“De AP onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland”, zo laat de toezichthouder weten. “Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet.”

Update 2: Google heeft inmiddels gereageerd op de uitspraak van de Oostenrijkse toezichthouder. Via zijn weblog laat de zoekmachinegigant weten dat IP-adressen standaard naar Amerikaanse servers worden verstuurd. Website-eigenaren kunnen er echter voor kiezen om deze IP-adressen te anonimiseren. Daarvoor moeten zij een algemene sitetag (gtaj.js) aan het <HEAD>-gedeelte van hun site toevoegen. In deze handleiding vertelt de Autoriteit Persoonsgegevens precies hoe je dat doet.

Verder benadrukt Google dat Google Analytics niet gebruikt kan worden om mensen op het internet of in applicaties te monitoren. Ook kunnen klanten met het programma geen gebruikersprofielen van bezoekers maken. “Google Analytics helpt eigenaren van websites en apps te begrijpen hoe hun gebruikers omgaan met hun sites en apps, en alleen met hun sites en apps”, zo benadrukt Google. De data die Google Analytics verzamelt kan bovendien niet gebruikt worden om bezoekers te identificeren.

Verder zegt de zoekmachinegigant dat bedrijven en organisaties zelf verantwoordelijk zijn welke data ze verzamelen met Google Analytics. Google biedt hen allerlei tools om aan de lokale of regionale wet- en regelgeving te voldoen, waaronder de Algemene Verordening Gegevensbescherming (AVG). Met behulp van browser add-ons hebben internetgebruikers bovendien zelf de controle om de analysesoftware van Google uit te schakelen.

Tot slot kan Google Analytics niet gebruikt worden om gerichte advertenties gebaseerd op bijzondere persoonsgegevens te tonen. Dan moet je denken aan advertenties over gezondheid, etniciteit, politieke voorkeur of seksuele geaardheid.

Techredacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. Meer over Anton.
Plaats een reactie
Een reactie plaatsen