Met Google Analytics kunnen bedrijven het verkeer op hun website(s) analyseren. Recente uitspraken van de Franse en Oostenrijkse privacy waakhonden hebben een bom gelegd onder het gebruik van Google Analytics én daarmee vergelijkbare niet-Europese diensten.[1] Het ging hierbij om doorgifte[2] van persoonsgegevens vanuit de EU naar de Verenigde Staten (hierna: VS) door middel van Google Analytics. Aanleiding voor de uitspraken waren de klachten ingediend door Non Of Your Business (NOYB), een Oostenrijkse non-profitorganisatie opgericht door privacy activist Max Schrems. Schrems is bekend van uitspraken die er in een eerder stadium al voor zorgden dat doorgifte van persoonsgegevens tussen de EU en VS onder het ‘Privacy Shield’ en diens voorganger ‘Safe Harbour’ als onrechtmatig werd gezien, onder andere vanwege het feit dat de rechten van betrokkenen niet gewaarborgd konden worden binnen de VS. In dit document wordt allereerst uitgelegd wat het probleem met het gebruik van Google Analytics uitgelegd, waarna er verschillende mogelijke oplossingen worden geschetst om met aanvullende waarborgen gebruik te kunnen blijven maken van Google Analytics.
Google Analytics
Google Analytics is een breed gebruikt analyseplatform dat informatie verzamelt over het gebruik van bezoekers van een bepaalde website. Die informatie wordt door Google geanalyseerd en vervolgens gedeeld met de beheerder van de betreffende website. Een van de toepassingen van de dienst is dat er een uniek kenmerk toegekend wordt aan iedere websitebezoeker en deze unieke kenmerken worden weer doorgespeeld naar de servers in de VS, waar Google de gegevens opslaat op haar eigen servers. Deze gegevensoverdracht is volgens de Oostenrijkse waakhond en haar Franse evenknie in strijd met het algemeen beginsel inzake doorgifte, als beschreven in artikel 44 van de AVG, omdat deze doorgifte op basis van het Privacy Shield niet meer geldig is.
Aanleiding
De uitspraken van de twee toezichthouders ten aanzien van Google Analytics komen voort uit de meer dan honderd klachten die door de organisatie van Schrems ingediend zijn bij de toezichthoudende autoriteiten van alle 27 EU-lidstaten en drie andere landen binnen de Europese Economische Ruimte (EER). Aan de uitspraken lag de opvatting ten grondslag dat een IP-adres en gegevens verzameld door cookies als persoonsgegeven worden gezien in het licht van de AVG (hetgeen ook is bevestigd door het HvJEU in de Breyer-zaak). Ondanks dat Google Analytics over een functie beschikt die IP-adressen anonimiseert, hebben zij deze functie niet standaard geactiveerd binnen het systeem.
Daarnaast vond de Oostenrijkse toezichthouder dat de bepalingen uit de modelovereenkomsten (SCC’s) niet werden nageleefd. In Schrems II werd geoordeeld dat deze SCC’s geldig waren voor doorgifte naar een land buiten de EU, al moesten partijen nu beoordelen of op basis van de geldende veiligheidswetten in een niet-EU land de bepalingen uit de SCC nog nageleefd konden worden. Google boodt geen adequate beveiliging omdat het als digitaal communicatieplatform onderworpen kan worden aan surveillance van Amerikaanse veiligheidsdiensten. De veiligheidsdiensten (waaronder de NSA) kunnen Google sommeren bepaalde gegevens over te dragen in het kader van de nationale veiligheid. De veiligheidsdiensten maar ook andere overheidsinstanties hadden volgens de toezichthouder hierdoor vrij makkelijk toegang tot gegevens van EU-burgers, onder andere door de gebrekkige aanvullende technische bescherming[3] van de gegevens door Google. Wel oordeelde de toezichthouder dat de overtreding viel toe te rekenen aan de beheerders van de websites in plaats van Google zelf. Dit omdat de beheerder optreedt als verwerkingsverantwoordelijke en daarom toe moet zien op een goede naleving van de AVG. De Franse Autoriteit merkte verder nog op dat analyse services als standaardinstelling zouden moeten hebben dat ze geanonimiseerde data voortbrengen.
Gevolgen van de uitspraak
De uitspraken hebben in ieder geval gevolgen voor alle Franse en Oostenrijkse beheerders van websites die gebruik maken van de dienst. Op dit moment zijn alle verwerkingen, zonder aanvullende beschermingsmaatregelen, met behulp van Google Analytics onrechtmatig. Leidend zijn de gebrekkige aanvullende maatregelen om gegevens van EU-burgers uit handen te houden van Amerikaanse veiligheidsdiensten. En het einde is nog niet in zicht, daar de Nederlandse en Noorse toezichthouders hebben aangekondigd[4] met vergelijkbare uitspraken te komen.
Oplossingsrichtingen
Google op haar beurt, vestigt haar hoop op een nieuwe overeenkomst tussen de EU en VS die het onderuitgehaalde ‘Privacy Shield’ moet gaan vervangen. Onderhandelingen tussen de EU en VS zijn in volle gang, maar een oplossing lijkt nog ver weg gelet op de fundamentele rechten in de AVG en aan de andere kant de Amerikaanse surveillancewet. Toch gaan in de wandelgangen verhalen dat de twee grootmachten tijdens de aanstaande Tech and Trade Council in mei met een nieuwe deal zullen komen. Tot die tijd zijn er nog genoeg NOYB-klachten in behandeling en wordt verwacht dat binnen de EU veel soortgelijke uitspraken zullen worden gedaan.
Kan Google Analytics dan helemaal niet meer worden gebruikt? Ja dat kan wel. Er kunnen door beheerders van websites aanvullende maatregelen genomen worden om toch te voldoen aan de bepalingen uit de SCC’s. Zo kun je de gegevens pseudonimiseren en een derde partij binnen de EU de encryptiesleutel laten bewaken[5]. Er zijn daarnaast ook andere landen buiten de EU die een zogenaamd adequaatheidsbesluit hebben gekregen. Dat betekent dat de gegevensbescherming op een soortgelijk niveau is als in de EU. Een lijst van deze landen vind je hier. Aanbieders van vergelijkbare diensten die gevestigd zijn in de EU dan wel in een land waar een adequaatheidsbesluit voor is, kunnen worden gebruikt.
In navolging van deze uitspraken heeft Meta, het bedrijf achter Facebook en Instagram, aangekondigd haar diensten niet meer aan te bieden in de EU als er geen vervanger van het Privacy Shield komt. De onderhandelingen tussen de VS en de EU hierover zijn nog lopende. Ben je benieuwd naar de afloop hiervan? Schrijf je dan in voor onze nieuwsbrief!
[1] Onder ‘doorgifte’ wordt ook verstaan de toegang van partijen buiten de EU tot persoonsgegevens wanneer deze staan opgeslagen op een Europese server.
[2] European rulings on the use of Google Analytics and how it may affect your business | Data Protection Report
[3] The French Data Protection Authority Joins the Austrian Data Protection Authority in Ruling that the Use of Google Analytics Violates the GDPR | WilmerHale
[4] Noorse datawaakhond zegt dat Google Analytics mogelijk illegaal is – IT Pro – Nieuws – Tweakers
[5] recommendations_on_measures_that_supplement_transfer_tools_to_ensure_compliance_with_the_eu_level_of_protection_of_personal_data.pdf (autoriteitpersoonsgegevens.nl)