Oeps, op de website van de Autoriteit Persoonsgegevens lezen we opeens: “Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan”. Heeft de juridische realiteit ons dan toch eindelijk ingehaald? Na de Schrems-II uitspraak was het natuurlijk al een beetje wachten op de genadeklap. Maar wegens de praktische moeilijkheden (iedereen maakt toch gebruik van Amerikaanse software?) valt de mededeling toch een beetje rauw op het dak. Met deze actie laat de AP doorschemeren dat het hoog tijd wordt om ons struisvogelgedrag vaarwel te zeggen en op zoek te gaan naar (Europese) oplossingen.
Even terug naar het begin
Heb je nog nooit van Maximillian Schrems of noyb gehoord? Dan wordt het bij deze toch echt tijd. Deze privacy-activist (en advocaat) heeft in z’n uppie (oke, wel bijgestaan door een juridisch team uiteraard, maar een David en Goliath vergelijking is toch echt op zijn plaats) de privacy-wereld behoorlijk op zijn kop gezet. De Oostenrijker Max Schrems was van mening dat de doorgifte van persoonsgegevens van Facebook Ierland (de Ierse vestiging van het Amerikaanse bedrijf Facebook) naar Facebook Inc. (vestiging in VS) niet mag? Waarom? Omdat – kort gezegd – door het het bestaan van Amerikaanse surveillance wetgeving de privacy van EU-burgers in de VS niet voldoende gewaarborgd kan worden en de doorgifte daarom in strijd is met de Algemene Verordening Gegevensbescherming. En die Max: die heeft gewoon gelijk gekregen in een baanbrekende uitspraak waarin het Hof het Privacy Shield tussen EU – VS ongeldig verklaart.
Schrems-II en Google Analytics
Als we heel eerlijk zijn, was het direct na de Schrems-II uitspraak al duidelijk dat het vrijwel onmogelijk zou worden voor ondernemers om nog legaal gebruik te maken van Amerikaanse software, zoals Google Analytics. Google Analytics stuurt namelijk ook gewoon persoonsgegevens door naar de VS. Denk aan IP-adressen, user identifiers en browser parameters. De realiteit is alleen dat dit tot de enigszins verbazingwekkende conclusie leidt, dat we vrijwel allemaal illegaal bezig zijn. Welk bedrijf maakt er nou geen gebruik van Amerikaanse software als Google Analytics, Mailchimp, HubSpot, Cloudinary, etc.? De meeste ondernemers hebben dan ook nog geen actie genomen. Hoewel wij op kantoor wel degelijk op zoek zijn gegaan naar Europese alternatieven (en er een paar hebben gevonden), is het af en toe nog knap lastig om een echt geschikt alternatief te vinden. Hopelijk komt daar snel verandering in.
Goed, het lijkt erop dat de toezichthoudende organen ons eindelijk tot de orde gaan roepen. Want hé: het feit dat we allemaal illegaal bezig zijn, betekent nog niet dat het oké is.
De Oostenrijkse privacytoezichthouder
De mededeling van de Autoriteit Persoonsgegevens komt trouwens niet zomaar uit de lucht vallen. Gisteren stelde de Oostenrijkse privacytoezichthouder (“Datenschutzbehörde” of “DSB”) al in een uitspraak over de door noyb ingediende 101 modelklachten naar aanleiding van de Schrems II uitspraak, dat het gebruik van Google Analytics in strijd is met de AVG. De Oostenrijkse autoriteit kwam tot de conclusie dat de website in kwestie (https://www.netdoktor.at/), die gegevens van bezoekers naar de VS had geëxporteerd als gevolg van de implementatie van Google Analytics, in strijd handelde met de AVG.
De Nederlandse Autoriteit Persoonsgegevens heeft vervolgens laten weten ook al twee klachten te hebben ontvangen. Het onderzoek zou zich momenteel in een afrondende fase bevinden. Enigszins vooruitlopend op de zaken(?), heeft de Autoriteit inmiddels de “Handleiding privacyvriendelijk instellen van Google Analytics” al aangepast door het verontrustende zinnetje “Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan” toe te voegen (zie printscreen hieronder).
Handleiding privacyvriendelijk instellen van Google Analytics (Autoriteit Persoonsgegevens), te vinden op: https://www.autoriteitpersoonsgegevens.nl/
Europese alternatieven zoeken
Maakt jouw bedrijf gebruik van buitenlandse dienstverleners, zoals cookie leveranciers, grote techbedrijven (Facebook, Google, Mailchimp), cloud-dienstverleners of hostingbedrijven? Dan is de kans groot dat ‘jouw’ data buiten de EU belandt. Doorgifte van persoonsgegevens naar landen buiten de EU (‘derde landen’) mag alleen als het beveiligingsniveau in het derde land adequaat is. In de Schrems-II uitspraak is het privacy shield met de VS ongeldig verklaard. Doorgifte van persoonsgegevens naar de VS mag dus (eigenlijk) niet meer.
Met de recente mededeling van de AP over Google Analytics, lijkt het toch echt tijd te worden om de Europese alternatieven eens onder de loep te nemen. Wij houden je in ieder geval op de hoogte.
Vragen over dit onderwerp? Neem gerust contact met ons op.