Juridisch kader
De Oostenrijkse privacy toezichthouder concludeerde in haar onderzoek dat Google Analytics in strijd handelt met art. 44 van de AVG/GDPR. Er worden persoonsgegevens naar de servers van Google in de Verenigde Staten verstuurd zonder passend beschermingsniveau. Zelfs de privacy vriendelijke maatregelen binnen Google Analytics, waaronder IP-anonimisering zijn niet afdoende. Daarnaast zijn de genomen maatregelen in aanvulling op de door Google gebruikte Standard Contractual Clauses (SCC) niet voldoende. Hierdoor bestaat er een mogelijkheid tot monitoring van en toegang tot data door de Amerikaanse inlichtingendiensten onder de Foreign Intelligence Surveillance Act (FISA). Omdat er geen andere wettelijk gronden van toepassing zijn die de doorgifte van data naar de Verenigde staten legitimeren, is er sprake van een overtreding van de AVG/GDPR.
Aanbeveling Autoriteit Persoonsgegevens
Dit is het eerste besluit naar aanleiding van een reeks van talloze klachten over de doorgifte van persoonsgegevens naar de Verenigde Staten na de Schrems II uitspraak. De AP geeft aan ook een onderzoek te zijn gestart naar twee klachten rondom Google Analytics vanuit Nederland. Komt de AP daarin net als de Oostenrijkse Autoriteit tot dezelfde conclusie, dan zullen we op zoek moeten naar alternatieve analyse software. Nederlandse websites die Google Analytics blijven gebruiken riskeren dan een boete. De AP neemt de huidige situatie zo serieus dat men de eigen handleiding voor het privacy vriendelijk instellen van Google Analytics al heeft voorzien van de waarschuwing “Let op: gebruik van Google Analytics mogelijk binnenkort niet meer toegestaan”.
Alternatieven
Veel websites maken gebruik van Google Analytics, om het gebruik van de website te analyseren aan de hand van statistische gegevens. Maar Google Analytics is niet de enige manier om te kijken hoe een website wordt gebruikt. Er zijn AVG/GDPR vriendelijke alternatieven. Wat dacht u van de privacy-first oplossing van het Nederlandse Simple Analytics of de oplossing van het Zweedse Matomo? Is het nu tijd om over te stappen op een van deze alternatieven? Sinds de invoering van de GDPR/AVG in 2018 wordt privacy steeds belangrijker. En terecht. Ook het privacy bewustzijn bij consumenten en werknemers is merkbaar toegenomen. Wij adviseren daarom niet te wachten op het moment dat Google Analytics daadwerkelijk verboden wordt. Zie deze ontwikkeling als een nieuwe kans. De tijd dat organisaties zich positief kunnen onderscheiden, door duidelijk de privacy van anderen te respecteren en hierover transparant te zijn, komt er snel aan. En dat is een goede zaak.
Advies
Het gebruik van software en diensten, afkomstig uit landen buiten Europa zoals die van Google zijn alleen mogelijk onder strikte voorwaarden. Deze omvatten o.a. het afsluiten van een Standard Contractual Clauses (SCC), een beoordeling van de wet- en regelwetgeving in het derde land en een risicoanalyse met eventuele technische, organisatorische en contractuele maatregelen. De privacy specialisten van PrivacyTeam zijn op de hoogte van de huidige regelgeving en adviseren u graag over de noodzakelijke vereisten.
Heeft u vragen of kunnen wij iets voor u betekenen?
Bel ons op 033- 200 30 83 of stuur een mail naar post@privacyteam.nl.