Nadat de Oostenrijkse DSB het gebruik van Google Analytics verbood wegens onrechtmatige gegevensdoorgifte naar de Verenigde Staten (zie de uitspraak op de website van NOYB), heeft nu ook de AP, met een slag om de arm, aangekondigd dat het gebruik van Google Analytics op losse schroeven staat. Dit kan grote impact hebben op online retailers.

Wat is er aan de hand?

Google Analytics is onderzocht door de Oostenrijkse toezichthouder. De uitkomst van dat onderzoek was dat Analytics niet aan de AVG voldoet. De Nederlandse Autoreit Persoonsgegevens (AP) onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet.

Door Schrems II, een uitspraak van het Europese hof, is alle datadoorgifte naar de VS in principe als onveilig bestempeld. Daar komt dit besluit van de Oostenrijkse toezichthouder dan ook uit voort. Het gaat dus niet om Google Analytics als dienst zelf, maar om de gegevensvertrekking aan een bedrijf dat gevestigd is in de Verenigde Staten. Als Google zijn diensten naar Europa zou verplaatsen, is het probleem als het goed is verholpen.  

De rol van Thuiswinkel.org

E-commerce in Nederland en de Europe Unie is afhankelijk van grote tech-companies die in de VS zijn gevestigd. Denk aan Mailchimp, Google, Facebook, Microsoft, Apple et cetera. Ecommerce Europe, de Europese koepelorganisatie waar Thuiswinkel.org bij is aangesloten, kaart de uitdagingen die de e-commercesector door Schrems II ervaart aan bij de wetgevers in Brussel. Ook zijn wij in gesprek met de Autoriteit Persoonsgegevens via de privacycommissie van VNO-NCW. 

De oplossing ligt op geopolitiek niveau tussen de VS en de EU. We blijven dan ook bij wetgevers en toezichthouders benadrukken dat vaart moet worden gemaakt met een nieuw privacy shield, waardoor datadoorgifte met voldoende waarborgen naar de VS weer mogelijk is. Hoe eerder dat shield er is, hoe eerder we op veilige wijze weer data kunnen delen en gebruik kunnen maken van de diensten van in de VS gesitueerde bedrijven. Daarbij zijn wij van mening dat deze problemen door Google (en andere diensten waarbij persoonsgegevens worden geëxporteerd naar de VS) moet worden opgelost (bijvoorbeeld door gebruik van SCC’s of Binding Corporate Rules) en niet door de gebruikers van die diensten. Mede omdat de gebruikers geen invloed hebben op de inrichting van die diensten, maar ondertussen wel worden gezien als joint controllers.

De EPDB heeft inmiddels aanbevelingen gepubliceerd over de vraag hoe bedrijven in deze periode kunnen voldoend aan de AVG.

Heb jij vragen over
dit onderwerp?

Neem dan contact met onze expert.

Vincent
Vincent Romviel