Is het gebruik van Google Analytics niet langer mogelijk?

20 jan '22

Auteur(s): Nina Witt, Lars Boer,

De Oostenrijkse gegevensbeschermingsautoriteit (DSB) heeft op donderdag 13 januari jl. geoordeeld dat het gebruik van Google Analytics (cookies) in strijd is met de Algemene verordening gegevensbescherming (AVG). Dit hoofdzakelijk vanwege de doorgifte van persoonsgegevens naar de Verenigde Staten (VS), die niet voldoet aan de vereisten van de AVG. Opvallend is dat ook de Nederlandse Autoriteit Persoonsgegevens (AP) op haar website inmiddels een waarschuwing heeft geplaatst dat het gebruik van Google Analytics mogelijk binnenkort niet meer is toegestaan.  

De beslissing van de DSB volgde naar aanleiding van één van de 101 klachten die None of Your Business (NOYB) heeft ingediend bij diverse gegevensbeschermingsautoriteiten in Europa. Deze klachten heeft NOYB ingediend in het kielzog van het Schrems II-arrest van het Europese Hof van Justitie, waarmee gegevensdoorgifte vanuit Europa naar de VS (of andere ‘derde landen’ buiten de EER) complexer is geworden. De maatregelen die Google in dat kader had getroffen, werden door de DSB onvoldoende geacht om het onder de AVG vereiste beschermingsniveau te kunnen garanderen. Dit mede vanwege de mogelijkheid voor de Amerikaanse overheid om verwerkte persoonsgegevens in te zien.

Mogelijke impact

Veel bedrijven maken gebruik van Google Analytics, o.a. voor het verkrijgen van statistische gegevens over websitebezoeken. Welke gevolgen voornoemde ontwikkeling precies zal hebben is nog niet geheel duidelijk. Gezien de waarschuwing van de AP op haar website, alsmede het gegeven dat binnen Europa een taskforce is opgericht waarin deze klachten van NOYB worden besproken en onlangs een vergelijkbaar bericht vanuit de Europese privacy supervisor, ligt het in de rede te veronderstellen dat de AP op korte termijn eenzelfde visie zal publiceren. Dit zal vermoedelijk ook impact hebben op het gebruik van diensten van andere partijen uit de VS.

In de communicatie van NOYB is te lezen dat Amerikaanse dienstverleners volgens NOYB op dit moment grotendeels niet het vereiste beschermingsniveau waarborgen. Daarom zou het gebruik van deze dienstverleners volgens NOYB verboden moeten worden geacht totdat de dienstverleners (of de Amerikaanse overheid) een ingrijpende verandering hebben (of heeft) doorgevoerd op het gebied van gegevensbescherming. Europese bedrijven zouden (voorlopig) beter op zoek kunnen gaan naar Europese alternatieven voor de diensten. Wij signaleerden echter ook een aantal mitsen en maren bij het lezen van de beslissing, die maken dat het oordeel van (nu) de DSB wellicht niet onverkort in elke situatie van toepassing kan worden geacht. Zo is denkbaar dat op basis van (goed ingeregelde) toestemming en/of door Google doorgevoerde verdere beperkingen van de verwerking, het gebruik van Google Analytics en vergelijkbare diensten alsnog plaats zou kunnen vinden. Daarbij is wel relevant dat is aangegeven dat nog nader wordt bekeken of de diensten van Google aan de andere vereisten van de AVG dan die voor de internationale doorgifte voldoen (die uitkomst kan ook nog van belang zijn).

Wat kunt u nu doen?

De uitkomsten van het onderzoek van de AP worden “begin 2022” verwacht. Wanneer inderdaad wordt geoordeeld dat geen gebruik meer mag worden gemaakt van dergelijke Amerikaanse diensten, moet worden nagedacht over alternatieve oplossingen. Het kan geen kwaad om alvast in kaart te brengen van welke dienstverleners, gevestigd in de VS, uw bedrijf diensten afneemt (zoals het gebruik van cookies). Daarbij kan het nuttig zijn om ook eens te bekijken of er een Europees alternatief denkbaar is dat voldoet. Wanneer de AP met een oordeel komt kan op deze manier, indien nodig, snel worden gehandeld. Kijk daarbij ook eens of u alle cookies die op uw website worden geplaatst ook daadwerkelijk gebruikt en of uw cookiebanner en privacy- en cookieverklaring nog up to date zijn. Wat staat hierin over de verwerking van persoonsgegevens buiten de EER? Verder is het verstandig om de berichtgeving vanuit de AP in de gaten te houden, want dit wordt ongetwijfeld over niet al te lang weer vervolgd.

In de Oostenrijkse beslissing is in ieder geval benadrukt dat de verwerkingsverantwoordelijke (lees: uw bedrijf) verantwoordelijk is voor de export van data en derhalve verplicht is dit overeenkomstig de AVG goed te regelen. Dat is niets nieuws, maar omdat dit complex kan zijn is het raadzaam daar – ook meer in het algemeen – juridische hulp bij in te schakelen.

Heeft u behoefte aan overleg over wat voor uw bedrijf nu de meest praktische aanpak is of heeft u andere vragen over cookies of internationale gegevensuitwisseling? Neem dan gerust contact met ons op.

privacy@ploum.nl

Contact

Advocaat

Nina Witt

Expertises:  IT-recht,Privacyrecht,Intellectuele Eigendom, Food,Zorg, E-health,E-commerce,

Advocaat

Lars Boer

Expertises:  IT-recht,Privacyrecht,Aanbestedingsrecht, Technologie, media en telecom, Commerciële contracten,

Aankomende events

Deel dit artikel

Blijf op de hoogte

Voeg deze interesses toe aan Mijn Ploum.

Expertise(s)

Onderwerp(en)

Auteur(s)

Stel direct een vraag

Inschrijven nieuwsbrief

Persoonlijke gegevens

 

Bedrijfsgegevens

Meer informatie over hoe we uw persoonlijke gegevens gebruiken, kunt u lezen in ons Privacy statement. U kunt uw voorkeuren altijd wijzigen via de link ‘Wijzig uw gegevens' of u afmelden via de link ‘Afmelden'. Deze links vindt u onderaan ieder bericht dat u van Ploum ontvangt.

* Verplicht in te vullen velden.

Geïnteresseerd in

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

Ik heb al een account

Voordelen Mijn Ploum

  • Volgen wat u interessant vindt
  • Krijg aanbevelingen op basis van uw interesses
  • Snel inschrijven voor kennisevents en Ploum Academy
  • Vraag en antwoord mogelijkheden gebruiken bij artikelen

Account aanmaken

Haal alles uit Ploum.nl. Binnen een minuut geregeld.

*Verplicht in te vullen velden.

Ik heb al een account

Voordelen Mijn Ploum

Volgen wat u interessant vindt

Krijg aanbevelingen op basis van uw interesses

Snel inschrijven voor kennisevents en Ploum Academy

Reacties op artikelen plaatsen


Waarom vragen we uw naam?

We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.

Wachtwoord

Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.