Afhankelijk van Google Analytics?
We kunnen de inleiding uit een eerder blog over Mailchimp herhalen: Die Amerikanen kunnen er wat van. Ze ontwikkelen fantastisch werkende IT-diensten. Daarnaast weten ze met briljante marketingstrategieën de hele wereld daar afhankelijk van te maken. Zo ook Google met haar zeer populaire Google Analyics-dienst. Er is echter maar één probleempje: Google, ook de Europese tak, verwerkt de betreffende gegevens ook buiten de EER. Dat staat op gespannen voet met de privacyrechten. De Europese Unie verdedigt deze privacyrechten voor haar onderdanen met vele regels. De redenatie is dat buiten de EER maar weinig controle is op hoe zorgvuldig en rechtmatig men met de gegevens omgaat. Van de Verenigde Staten weten we dat ze (on)behoorlijk veel persoonsgegevens verwerken in het kader van surveillance en spionage, onder meer door de onthullingen van Edward Snowden.
Dankzij de sterke lobby van de Verenigde Staten kregen haar IT-bedrijven toch altijd weer de vrijbrief om gemakkelijk met Europese persoonsgegevens te werken. Eerst op basis van de Safe Harbor Principles en – nadat die ongeldig werden verklaard – op grond van EU-US Privacy Shield. Vervolgens werd ook de laatste onderuit gehaald door Max Schrems.
De gevolgen van het verdwijnen van het EU-US Privacy Shield
Onder druk van de VS en hun IT-industrie en vanwege de afhankelijkheid van vele partijen in de EU, zal de EU ongetwijfeld weer een nieuw legal framework opzetten voor data-export aan de VS. Maar het valt natuurlijk niet te verwachten dat de VS hun spionageactiviteiten zullen afzwakken ten bate van de privacyrechten van Europeanen.
Ook de werkwijze van het Amerikaanse bedrijfsleven blijkt niet heel veranderlijk te zijn. Amerikaanse leveranciers van clouddiensten maakten sinds het arrest vooral een schijnbeweging om ‘op papier’ het beleid hier en daar aan te passen. Maar zij gingen aan de kern van het arrest voorbij en de omgang met persoonsgegevens werd vervolgens niet aangepast.
Dit alles laat het Europese bedrijfsleven dus een beetje met een ‘inconvenient truth‘ worstelen. We weten immers dat het gebruik van sommige diensten eigenlijk niet meer door de beugel kan, maar onze systemen en processen zijn er nog wel van afhankelijk. Zomaar stoppen kan eigenlijk niet, maar met de onrechtmatigheid doorgaan is ook geen optie.
De Google Analytics-beslissing
Om de rechtsregel ook in het echte leven te laten doorwerken, diende belangenorganisatie NOYB tezamen met Schrems klachten in bij de Oostenrijkse privacy-autoriteit (“Datenschutzbehörde” of “DSB”). Als immers duidelijk wordt uitgesproken dat bepaalde diensten onrechtmatig zijn, dan zal de boel wel in beweging moeten komen. Eén van die klachten betrof Google Analytics, die ook Europese persoonsgegevens deelt met haar Amerikaanse tak.
De klacht leidde eind 2021 tot een uitspraak waarin de DSB duidelijk maakt dat:
- verschuilen achter SCCs (Standard Contract Clauses oftewel Standaardbepalingen) niet opgaat; en
- verschuilen achter TOMs (Technical and Organisational Measures oftewel technische en organisatorische maatregelen) evenmin.
Noch de contracten, noch de aangedragen beveiligingsmaatregelen van Google kunnen garanderen of deze daadwerkelijk effectief zijn en inzage door Amerikaanse beveiligingsdiensten kunnen voorkomen of beperken. Enkel privacy compliance op papier is dus onvoldoende.
De gevolgen voor Nederlandse websites
Tot voor kort gedoogde de Autoriteit Persoonsgegevens het gebruik van Google Analytics. Zij publiceerde in 2018 de “Handleiding privacyvriendelijk instellen van Google Analytics” (PDF). Door onder meer de bewaartermijnen te verkorten, gegevens delen met Google te beperken en een verwerkersovereenkomst te sluiten, zou het gebruik van Google Analytics mogen.
Na de Oostenrijkse uitspraak heeft de Autoriteit Persoonsgegevens de handleiding voorzien van een grote disclaimer:
Conclusie: tijd om over te stappen
Het is dus tijd voor een privacyvriendelijk alternatief. Het ziet ernaar uit dat Google Analytics – in ieder geval in de huidige vorm – niet gedoogd zal blijven. En er zijn een hoop alternatieven, zo blijkt uit de lijst op de website van de Franse privacy-autoriteit (“CNIL”). Onze websitebouwers en marketeers zullen dus even uit hun comfortzone moeten stappen. Het is mogelijk om inzicht in het gebruik van de website te krijgen én de privacy van bezoekers te waarborgen.
In Europa adviseren de Europese privacytoezichthouders (“EDPB”) sowieso tot een verbod op het online volgen van mensen door bijvoorbeeld tracking cookies. Dat volgt uit de recent gepubliceerde richtsnoeren. We moeten het voorval van Google Analytics dus niet op zichzelf zien, maar in de geest van de tijd.
Uiteraard houdt NORD zich aanbevolen om dit thema op strategisch en juridisch niveau met uw organisatie te bespreken.