Data analytics

Google Analytics verboden in steeds meer Europese landen: wat nu?

0

Het gebruik van Google Analytics wordt in steeds meer Europese landen aan banden gelegd door privacy-toezichthouders. Na uitspraken in Oostenrijk en Frankrijk, volgt nu ook Italië met een verbod. Maar waarom wordt Google Analytics verboden? In dit artikel meer informatie over wat er gaande is en hoe je je kunt voorbereiden op een mogelijk verbod op Google Analytics in Nederland.

Allereerst wat context. Medio januari deelde ik al dat Google Analytics mogelijk niet toegestaan zou worden wegens overtreding van de Europese privacywetgeving, op grond van de GDPR/AVG. Aanleiding was de uitspraak van de Oostenrijkse privacy-toezichthouder DSB in een door Max Schrems aangespannen rechtszaak tegen een adverteerder. Destijds concludeerde de DSB dat Google Analytics inderdaad in strijd handelt met hoofdstuk V. art. 44 van de GDPR.

Twee belangrijke conclusies

Aan deze uitspraak lagen 2 belangrijke conclusies ten grondslag, namelijk:

  • Als ‘provider of electronic communication services’ valt Google onder de wetgeving 50 US Code § 1881 (b) (4). Als zodanig staat Google onder toezicht van de Amerikaanse inlichtingendiensten, die Google op grond van 50 US Code § 1881a (“FISA 702”) kunnen verplichten hen toegang tot de data van Google te verschaffen.
  • De maatregelen die (door de adverteerder) zijn genomen in aanvulling op de Standard Contractual Clauses (SCC) zijn als niet afdoende beoordeeld, omdat deze de mogelijkheid tot monitoring van en toegang tot data door de Amerikaanse inlichtingendiensten niet uitsluit.

Dit oordeel volgt op het ongeldig verklaren van de Safe Harbor- en Privacy Shield-verdragen tussen de Verenigde Staten en Europa. Deze verdragen waren erop gericht striktere regels op te leggen aan Amerikaanse verwerkers van persoonsgegevens, om de verwerking van persoonsgegevens in lijn te brengen met de GDPR. Deze verdragen werden met succes door Max Schrems aangevochten.

Het Trans Atlantic Data Privacy Framework

Eind maart verklaarden Europa en de Verenigde Staten een principeakkoord te hebben bereikt over een nieuw verdrag, het Trans Atlantic Data Privacy Framework. Privacy Shield 2.0, zeg maar. Maar op dit moment heeft dat principeakkoord nog geen juridische status. Met andere woorden, de hierin voorgenomen afspraken zijn nog niet verworden tot wetgeving.

Recenter oordeelden het Duitse Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDi), de Noorse toezichthouder Datatilsynet en het Franse Commission Nationale de l’ Informatique et des Libertés (CNIL) al dat de nu door Google Analytics geboden mogelijkheden om de privacy te borgen niet voldoende zijn om de toegang door Amerikaanse inlichtingendiensten te beschermen. Immers, als je als adverteerder met de benodigde toestemming persoonsgegevens verwerkt, geldt die toestemming uitsluitend voor de expliciet benoemde Verwerkingsverantwoordelijke.

De bezoeker, in de context van de GDRP de Betrokkene genoemd, heeft die toestemming niet verleend aan de Amerikaanse inlichtingendiensten. En zolang zij geen gerechtvaardigd belang hebben om zich toegang te verschaffen tot de persoonsgegevens, is toegang in strijd met de GDPR.

Nóg een reden voor een verbod

Op 24 juni 2022 liet de Italiaanse privacy-toezichthouder Garante per la Protezione dei Dati Personali (GPDP) weten nóg een reden te zien om het gebruik van Google Analytics te verbieden. Zij stelt namelijk dat IP-adressen, die als persoonsgegeven worden beschouwd, niet standaard worden geanonimiseerd.

Google Analytics, en zeker Google Analytics 4, bieden weliswaar veel mogelijkheden om de privacy van bezoekers te borgen, waaronder IP-anonimisatie. Maar, zo stelt de GPDP, Google heeft óók de mogelijkheid om deze geanonimiseerde IP-adressen te verrijken met andere informatie. Hierdoor zouden deze alsnog herleidbaar zijn naar een natuurlijk identificeerbaar persoon.

Recente uitspraken

Zowel de Franse als de Italiaanse privacy-toezichthouders hebben de aangeklaagde bedrijven nu respectievelijk 60 en 90 dagen de tijd gegeven om alsnog aan de privacywetgeving te voldoen. Het Italiaanse GPDP gaat nog een stap verder. Het stelt dat alle publieke en particuliere website-eigenaren in Italië die Google Analytics gebruiken, uiteindelijk moeten stoppen met het gebruik van Google Analytics. NB: het oordeel van de Italiaanse privacytoezichthouder is gebaseerd op een casus waarin een bedrijf de verouderde versie van Google Analytics ‘Universal Analytics’ gebruikte. De uitspraak heeft in beginsel dus géén betrekking op het nieuwe platform Google Analytics 4, die veel meer privacy controls biedt.

Uit het persbericht:

De Italiaanse toezichthouder roept alle voor de verwerking verantwoordelijken op om na te gaan of het gebruik van cookies en andere trackinginstrumenten op hun websites in overeenstemming is met de wetgeving inzake gegevensbescherming

Status verbod Google Analytics in Nederland

In Nederland is de Autoriteit Persoonsgegevens haar oordeel aan het vormen. Het onderzoek op basis van eveneens door Max Schrems ingediende klachten is inmiddels afgerond. De uitspraak wordt in de loop van het jaar verwacht, zo wordt door de AP aangegeven.

Gelet op het feit dat de privacy-toezichthouders één lijn lijken te trekken in de veroordeling van Google Analytics, zou de uitspraak zo maar eens kunnen tegenvallen.

Hoe bereid je je voor op een verbod op Google Analytics?

Maar hoe kun je je nu goed voorbereiden op een verbod op Google Analytics? Wat zijn de alternatieven? Ik zet enkele mogelijkheden op een rij:

  1. Niets doen/afwachten
  2. Voorbereidende maatregelen nemen om GA4 in lijn met de geldende richtlijnen te implementeren
  3. Een alternatieve datacollectie methode/-tooling implementeren naast Google Analytics, zodat je relatief snel kunt switchen zodra nodig
  4. Volledig switchen naar een andere tool die data niet buiten de EU verwerkt én niet Amerikaans is

google analytics

Niets doen of afwachten lijkt steeds minder een reële optie te zijn. Kleinere organisaties die minder onder het vergrootglas van de Autoriteit Persoonsgegevens liggen, lopen naar verwachting niet direct het risico op boetes. Maar als er daadwerkelijk een verbod wordt afgekondigd, is juridisch gezien natuurlijk wél sprake van een overtreding, en dus van een risico.

Voor grotere organisaties en bedrijven die met bijzondere persoonsgegevens werken ligt dit uiteraard anders. Niet alleen omdat het risico op controle groter is, maar ook omdat mogelijke boetes zeer fors zijn. Ook het risico op reputatieschade mag niet worden onderschat.

Switchen naar Google Analytics 4 (GA4)

Daarom adviseer ik om enerzijds de overstap te maken van de oude ‘Universal Analytics’ versie van Google Analytics naar GA4. Daarnaast is het van belang om GA4 in technische zin zo goed mogelijk in te richten. Dit gaat verder dan het simpelweg configureren van de privacy controls die GA4 biedt.

Tot slot is het raadzaam om een alternatieve analyticstool van Europese bodem te implementeren, naast Google Analytics 4. Daarmee kun je relatief snel en eenvoudig de schakel omzetten zodra er daadwerkelijk sprake is van een verbod op Google Analytics in Nederland.

Volledig overstappen naar een andere tool is nu niet te adviseren, omdat de kosten die daarmee gemoeid gaan veel verder reiken dan de feitelijke implementatiekosten of licentiekosten van zo’n tool alleen. Je hebt immers ook te maken met onder andere verlies van data, het ontbreken van koppelingen tussen bijvoorbeeld advertising-systemen en analytics die andere softwareleveranciers simpelweg niet hebben.

En dus ook met verslechtering van inzichten en daardoor mogelijk minder rendabele campagnes. NB: uit analyses die we voor een enkele grotere opdrachtgever hebben gedaan, kwamen de geschatte kosten van een volledige switch op circa 3 miljoen euro uit.

Het bekrachtigen van het Trans Atlantic Data Privacy Framework

Uiteindelijk blijft het de afweging tussen de implementatie- en mogelijke desinvesteringskosten en de risico’s, zoals de boetes. Boetes die in dat geval in theorie overigens kunnen oplopen tot 4% van de wereldwijde jaaromzet van een concern, tot maximaal 20 miljoen euro. Dan hebben we het niet over het doorgeven van een bezoekers-ID uiteraard, maar over veel verdergaande datalekken met serieuzere gevolgen voor de privacy van grote aantallen natuurlijke personen.

Daar is in de praktijk niet heel snel sprake van. In dat opzicht wordt het ook tijd dat men werk maakt van het bekrachtigen van het Trans Atlantic Data Privacy Framework. Want hoeveel waarde ik ook hecht aan mijn privacy, de recente uitspraken beginnen steeds meer te lijken op een Europese hetze tegen techgigant Google, dan op een kruistocht voor de privacy van Europeanen.

Heb je nog vragen? Laat het weten in de comments.