Update: Google Analytics verboden?

Nadat de Oostenrijkse DSB het gebruik van Google Analytics verbood wegens onrechtmatige gegevensdoorgifte naar de Verenigde Staten (zie de uitspraak op de website van NOYB), is er nu ook een uitspraak in Frankrijk. De Nederlandse uitspraak wordt begin 2022 verwacht, maar de AP heeft eerder al aangekondigd, met een slag om de arm, dat het gebruik van Google Analytics op losse schroeven staat. Dit kan grote impact hebben op online retailers.

Update 11 februari 2021

Na de eerdere uitspraak van de Oostenrijkse gegevensbeschermingsautoriteit heeft nu ook de Franse privacywaakhond CNIL geoordeeld dat een niet nader genoemde Franse website geen gebruik mag maken van Google Analytics omdat het continue gebruik ervan in strijd zou zijn met de GDPR.

De CNIL werd ingeschakeld door noyb, een vereniging onder leiding van privacy-activist Max Schrems die in de 27 lidstaten 101 klachten heeft ingediend tegen dataverwerkers die persoonsgegevens aan de VS zouden doorgeven. Volgens de CNIL is het doorgeven van de data niet goed genoeg gereguleerd en kan niet worden uitgesloten dat deze gegevens toegankelijk zijn voor Amerikaanse inlichtingensystemen. Dit is problematisch, aangezien de gegevens die via de Google Analytics-functionaliteit worden gegenereerd - onder de huidige voorwaarden - als persoonsgegevens kunnen worden aangemerkt. De websitebeheerder heeft nu een maand de tijd om aan het bevel van de CNIL te voldoen door het gebruik van de Google Analytics-functionaliteit in haar huidige vorm stop te zetten of door een tool te gebruiken waarbij geen gegevens aan de VS worden doorgegeven.

Het onderzoek loopt nog in Nederland. Naar verwachting neemt de Autoriteit Persoonsgegevens (AP) begin 2022 hierover een besluit. Het is mogelijk dat soortgelijke besluiten in andere EU-lidstaten zullen volgen, aangezien de toezichthouders in deze zaken hebben samengewerkt in een EDPB-"taskforce".

Wat is er aan de hand?

Google Analytics is onderzocht door de Oostenrijkse toezichthouder. De uitkomst van dat onderzoek was dat Analytics niet aan de AVG voldoet. De Nederlandse Autoreit Persoonsgegevens (AP) onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet.

Door Schrems II, een uitspraak van het Europese hof, is alle datadoorgifte naar de VS in principe als onveilig bestempeld. Daar komt dit besluit van de Oostenrijkse toezichthouder dan ook uit voort. Het gaat dus niet om Google Analytics als dienst zelf, maar om de gegevensvertrekking aan een bedrijf dat gevestigd is in de Verenigde Staten. Als Google zijn diensten naar Europa zou verplaatsen, is het probleem als het goed is verholpen.  

De rol van Thuiswinkel.org

E-commerce in Nederland en de Europe Unie is afhankelijk van grote tech-companies die in de VS zijn gevestigd. Denk aan Mailchimp, Google, Facebook, Microsoft, Apple et cetera. Ecommerce Europe, de Europese koepelorganisatie waar Thuiswinkel.org bij is aangesloten, kaart de uitdagingen die de e-commercesector door Schrems II ervaart aan bij de wetgevers in Brussel. Ook zijn wij in gesprek met de Autoriteit Persoonsgegevens via de privacycommissie van VNO-NCW. 

De oplossing ligt op geopolitiek niveau tussen de VS en de EU. We blijven dan ook bij wetgevers en toezichthouders benadrukken dat vaart moet worden gemaakt met een nieuw privacy shield, waardoor datadoorgifte met voldoende waarborgen naar de VS weer mogelijk is. Hoe eerder dat shield er is, hoe eerder we op veilige wijze weer data kunnen delen en gebruik kunnen maken van de diensten van in de VS gesitueerde bedrijven. Daarbij zijn wij van mening dat deze problemen door Google (en andere diensten waarbij persoonsgegevens worden geëxporteerd naar de VS) moet worden opgelost (bijvoorbeeld door gebruik van SCC’s of Binding Corporate Rules) en niet door de gebruikers van die diensten. Mede omdat de gebruikers geen invloed hebben op de inrichting van die diensten, maar ondertussen wel worden gezien als joint controllers.

De EPDB heeft inmiddels aanbevelingen gepubliceerd over de vraag hoe bedrijven in deze periode kunnen voldoen aan de AVG.