Het gebruik van Google Analytics is populair – in Nederland en wereldwijd. Des te groter is de (mogelijke) impact van het besluit van de Oostenrijkse autoriteit (‘Datenschutzbehörde’), waarin werd gesteld dat het gebruik van Google Analytics onrechtmatig is omdat gegevens worden doorgegeven aan Google in de VS. In dit blog worden het besluit en de mogelijke gevolgen uiteengezet.
Wat is Google Analytics?
Analytics is software van Google die gebruikt kan worden om verschillende activiteiten van, naar en op websites te meten en inzichtelijk te maken. Hiermee kan een duidelijk beeld worden gegenereerd van bijvoorbeeld bezoekersstromen, verkeersbronnen en weergaven van pagina’s. Niet in de laatste plaats geven deze inzichten weer welke bezoekers het meeste opleveren.
Beslissing van de Oostenrijkse toezichthouder
De beslissing van de Datenschutzbehörde is terug te voeren op de Schrems-II uitspraak. Uit deze uitspraak volgt dat de doorgifte van persoonsgegevens naar derde landen, meer specifiek de VS, niet zonder meer is toegestaan. In veel gevallen zijn, naast passende waarborgen opgenomen in Hoofdstuk V AVG, aanvullende maatregelen nodig om een passend beschermingsniveau te garanderen.
Op dit punt gaat het volgens de Oostenrijkse toezichthouder mis. De Standard Contractual Clauses die Google onderling heeft gesloten en de aanvullende maatregelen die naar eigen zeggen zijn genomen, zijn naar de mening van de Oostenrijkse toezichthouder onvoldoende om te kunnen spreken van een passend beveiligingsniveau. Althans, Google lijkt niet te hebben kunnen aantonen dat de genomen maatregelen hebben geleid tot een passend beveiligingsniveau. De maatregelen lijken immers niet bestand tegen de bevoegdheden die toekomen aan Amerikaanse autoriteiten op basis van de daar geldende surveillance-wetgeving. Precies die wetgeving die door het HvJEU in Schrems II als bedreiging voor de rechten en vrijheden van EU-burgers is aangemerkt.
De Datenschutzbehörde komt dus tot de conclusie dat Google niet dan wel onvoldoende in staat is om een beschermingsniveau te bieden dat in grote lijnen overeenkomt met dat van de EU.
Wettelijk kader in Nederland
Het gebruik van Google Analytics leidt tot de verwerking van persoonsgegevens van websitebezoekers. Niet alleen de AVG, maar ook de Telecommunicatiewet (“Tw”) is van toepassing op een dergelijke verwerking. Het gebruik van cookies wordt immers gezien als ‘het opslaan van gegevens op randapparatuur’ (art. 11.7a Tw).
In beginsel geldt dat toestemming nodig is om een dergelijke verwerking uit te voeren. Dat is anders wanneer – volgens de AP – Google Analytics op een dusdanig privacy vriendelijke wijze wordt ingesteld, dat het gebruik ervan nauwelijks tot nadelige gevolgen leidt voor betrokkenen. In dat geval is dus geen toestemming nodig. In de AVG dient dan natuurlijk wel een (andere) grondslag voor de verwerking te worden gevonden. Welke instellingen dit zijn, heeft de AP uiteengezet in een handleiding.
Gevolgen voor Nederlandse gebruikers Google Analytics
Tot voor kort leek de AP geen problemen te hebben met het gebruik van Google Analytics. Naar aanleiding van het onderzoek van de Datenschutzbehörde heeft de AP echter een disclaimer opgenomen in de hierboven genoemde handleiding.
Zo stelt de AP dat gebruik van Google Analytics “mogelijk binnenkort niet [meer is] toegestaan”. De AP verwijst in dit kader niet alleen naar het Oostenrijkse onderzoek, maar ook naar twee eigen onderzoeken die zij op dit moment uitvoert.
De AP verwacht de onderzoeken begin dit jaar af te ronden. Pas dan kunnen harde conclusies worden getrokken voor Nederlandse gebruikers, al lijkt het lot van Google Analytics – en mogelijk ook andere dienstenaanbieders uit de VS die persoonsgegevens importeren – door de uitspraak van de Datenschutzbehörde al duidelijk.
Wij houden de ontwikkelingen in de gaten. Heeft u naar aanleiding van dit artikel vragen? Neem dan contact op met Sophie Hendriks.
Het gebruik van Google Analytics is populair – in Nederland en wereldwijd. Des te groter is de (mogelijke) impact van het besluit van de Oostenrijkse autoriteit (‘Datenschutzbehörde’), waarin werd gesteld dat het gebruik van Google Analytics onrechtmatig is omdat gegevens worden doorgegeven aan Google in de VS. In dit blog worden het besluit en de mogelijke gevolgen uiteengezet.
Wat is Google Analytics?
Analytics is software van Google die gebruikt kan worden om verschillende activiteiten van, naar en op websites te meten en inzichtelijk te maken. Hiermee kan een duidelijk beeld worden gegenereerd van bijvoorbeeld bezoekersstromen, verkeersbronnen en weergaven van pagina’s. Niet in de laatste plaats geven deze inzichten weer welke bezoekers het meeste opleveren.
Beslissing van de Oostenrijkse toezichthouder
De beslissing van de Datenschutzbehörde is terug te voeren op de Schrems-II uitspraak. Uit deze uitspraak volgt dat de doorgifte van persoonsgegevens naar derde landen, meer specifiek de VS, niet zonder meer is toegestaan. In veel gevallen zijn, naast passende waarborgen opgenomen in Hoofdstuk V AVG, aanvullende maatregelen nodig om een passend beschermingsniveau te garanderen.
Op dit punt gaat het volgens de Oostenrijkse toezichthouder mis. De Standard Contractual Clauses die Google onderling heeft gesloten en de aanvullende maatregelen die naar eigen zeggen zijn genomen, zijn naar de mening van de Oostenrijkse toezichthouder onvoldoende om te kunnen spreken van een passend beveiligingsniveau. Althans, Google lijkt niet te hebben kunnen aantonen dat de genomen maatregelen hebben geleid tot een passend beveiligingsniveau. De maatregelen lijken immers niet bestand tegen de bevoegdheden die toekomen aan Amerikaanse autoriteiten op basis van de daar geldende surveillance-wetgeving. Precies die wetgeving die door het HvJEU in Schrems II als bedreiging voor de rechten en vrijheden van EU-burgers is aangemerkt.
De Datenschutzbehörde komt dus tot de conclusie dat Google niet dan wel onvoldoende in staat is om een beschermingsniveau te bieden dat in grote lijnen overeenkomt met dat van de EU.
Wettelijk kader in Nederland
Het gebruik van Google Analytics leidt tot de verwerking van persoonsgegevens van websitebezoekers. Niet alleen de AVG, maar ook de Telecommunicatiewet (“Tw”) is van toepassing op een dergelijke verwerking. Het gebruik van cookies wordt immers gezien als ‘het opslaan van gegevens op randapparatuur’ (art. 11.7a Tw).
In beginsel geldt dat toestemming nodig is om een dergelijke verwerking uit te voeren. Dat is anders wanneer – volgens de AP – Google Analytics op een dusdanig privacy vriendelijke wijze wordt ingesteld, dat het gebruik ervan nauwelijks tot nadelige gevolgen leidt voor betrokkenen. In dat geval is dus geen toestemming nodig. In de AVG dient dan natuurlijk wel een (andere) grondslag voor de verwerking te worden gevonden. Welke instellingen dit zijn, heeft de AP uiteengezet in een handleiding.
Gevolgen voor Nederlandse gebruikers Google Analytics
Tot voor kort leek de AP geen problemen te hebben met het gebruik van Google Analytics. Naar aanleiding van het onderzoek van de Datenschutzbehörde heeft de AP echter een disclaimer opgenomen in de hierboven genoemde handleiding.
Zo stelt de AP dat gebruik van Google Analytics “mogelijk binnenkort niet [meer is] toegestaan”. De AP verwijst in dit kader niet alleen naar het Oostenrijkse onderzoek, maar ook naar twee eigen onderzoeken die zij op dit moment uitvoert.
De AP verwacht de onderzoeken begin dit jaar af te ronden. Pas dan kunnen harde conclusies worden getrokken voor Nederlandse gebruikers, al lijkt het lot van Google Analytics – en mogelijk ook andere dienstenaanbieders uit de VS die persoonsgegevens importeren – door de uitspraak van de Datenschutzbehörde al duidelijk.
Wij houden de ontwikkelingen in de gaten. Heeft u naar aanleiding van dit artikel vragen? Neem dan contact op met Sophie Hendriks.