Leestijd: 3 minuten
Google Analytics en rumoer daarover in 2022
Precies een jaar geleden verscheen ons blog “Google Analyics verboden in 2022“. Het benadrukt onze (Europese) afhankelijkheid van Amerikaanse online diensten, waaronder Mailchimp en de zeer populaire Google Analyics-dienst. Gebruik van dergelijke diensten is problematisch, omdat partijen als Google de betreffende persoonsgegevens ook buiten de EER verwerkt. Dat staat op gespannen voet met de privacyrechten. Voor het verhaal hierachter, lees dit blog.
Autoriteit Persoonsgegevens doet onderzoek
Tot januari 2022 gedoogde de Autoriteit Persoonsgegevens het gebruik van Google Analytics. Zij publiceerde in 2018 de “Handleiding privacyvriendelijk instellen van Google Analytics” (bijgewerkte PDF). Door onder meer de bewaartermijnen te verkorten, het delen van gegevens met Google te beperken en een verwerkersovereenkomst te sluiten, zou het gebruik van Google Analytics mogen.
Na een Oostenrijkse uitspraak had de Autoriteit Persoonsgegevens de handleiding op 13 januari 2022 voorzien van een grote disclaimer:
Inmiddels zijn we een jaar verder en heeft de Autoriteit Persoonsgegevens zich inhoudelijk nog niet uitgelaten over deze heikele kwestie. Wel liet zij op 22 april 2022 weten dat zij in de loop van 2022 hierop zou terugkomen. Dat deed zij door haar disclaimer in de handleiding aan te passen:
De Autoriteit heeft haar eigen deadline laten verstrijken en met spanning wordt afgewacht op de ontknoping.
De uitkomst voorspeld door buurlanden
De beslissing van de Autoriteit Persoonsgegevens is allicht te voorspellen aan de hand van enkele beslissingen van naburige autoriteiten.
- In januari 2022 liet de Oostenrijkse Datenschutzbehörde (DSB) al weten dat het toenmalige gebruik van Google Analytics niet door de beugel kon en dat verschuilen achter contractsbepalingen niet voldoende is (zie hier de uitspraak in PDF);
- In februari 2022 bevestigde de Franse Commission Nationale de l’Informatique et des Libertés (CNIL) richting verscheidene houders van websites dat Google Analytics onrechtmatig is (zie hier de Engelse samenvatting met de link naar de uitspraak in PDF). In het kielzog daarvan gaf de CNIL nadere tekst en uitleg in een FAQ. Enkele pijnpunten van Google Analytics zijn het verwerken van de Europese data in de Verenigde Staten en het feit dat dit niet geanonimiseerd gebeurt. De door Google genomen ‘aanvullende maatregelen’ zijn onvoldoende om de doorgifte naar de VS te rechtvaardigen.
- In juni 2022 keerde ook de Italiaanse Garante per la Protezione dei dati Personali (GPDP) zich tegen Google Analytics.
- In september 2022 sloot de Deense Datatilsynet zich aan bij het rijtje met zijn conclusie.
- In december 2022 toonde de Spaanse AEPD zich iets soepeler en liet zij een voormalige gebruiker van de dienst gaan mede omdat deze er reeds mee gestopt was vanwege de Schrems II-zaak.
Wellicht dat Google anno 2023 haar Analytics dienst dusdanig kan herinrichten opdat het geen strijdigheid met de AVG meer oplevert? Gezien de vele haken en ogen die het afhankelijk maken van Amerikaanse diensten met zich mee brengen, is het allicht verstandig een Europees alternatief te zoeken. In ons omringende landen worden namelijk ook de partijen die Google Analytics gebruiken op hun website rechtstreeks aangepakt.
Online marketeers, word wakker!
De conclusie luidt een jaar later hetzelfde, ondanks het uitblijven van een conclusie van onze eigen autoriteit: het is tijd voor een privacyvriendelijk alternatief. Het ziet ernaar uit dat Google Analytics – in ieder geval in de huidige vorm – niet gedoogd zal blijven. En er zijn een hoop alternatieven, zo blijkt uit de lijst op de website van de Franse privacy-autoriteit (“CNIL”). Onze websitebouwers en marketeers zullen dus even uit hun comfortzone moeten stappen. Het is mogelijk om inzicht in het gebruik van de website te krijgen én de privacy van bezoekers te waarborgen.
In Europa adviseren de Europese privacytoezichthouders (“EDPB”) sowieso een verbod op het online volgen van mensen door bijvoorbeeld tracking cookies. Dat volgt uit de recent gepubliceerde richtsnoeren. We moeten het voorval van Google Analytics dus niet op zichzelf zien, maar in de geest van de tijd.
Uiteraard houdt NORD zich aanbevolen om dit thema op strategisch en juridisch niveau met uw organisatie te bespreken.