Google Analytics en andere US tools in strijd met GDPR: wat nu?

Google Analytics en andere US tools in strijd met GDPR: wat nu?

14 januari 2022

Niet alleen Google Analytics maar bij uitbreiding alle Amerikaanse tools staan onder druk door twee uitspraken van Europese Data Protection Autoriteiten. De Amerikaanse privacybescherming is onvoldoende waardoor Europese organisaties en bedrijven veroordeeld worden bij het gebruik ervan. Ook Belgische bedrijven hebben een onderzoek lopen op het gebruik van Google Analytics of Facebook Connect. Toch blijft het gebruik van website data noodzakelijk voor bedrijven én mogelijk. We leggen in dit artikel uit hoe de vork in de steel zit en welke impact dit voor u als bedrijf heeft.

Wordt 2022 het jaar waarin Amerikaanse cloud tools de EU-regels moeten respecteren of de EU moeten verlaten?

Vast staat dat twee uitspraken in amper 1 week voor extra spanning zorgen bij zowel de (Amerikaanse) tools als de (Europese) gebruikers. De Europese Data Protection Supervisor (EDPS) veroordeelde het Europees Parlement voor het gebruik van Google Analytics en betaal provider Stripe. De Oostenrijkse Data Protection Autoriteit (DPA) veroordeelde een website voor het gebruik van Google Analytics wegens in strijd met de GDPR.

De US-EU spanningen met betrekking tot data transfers gaan al een hele tijd terug. Het Safe Harbor Agreement en het Privacy Shield als wettelijke basis voor de data transfers van online tools naar US-servers zijn ondertussen al lang begraven. Na de Shrems II uitspraak waarbij het Europese Hof van Justitie bepaalde dat de data transfers van de EU naar US in strijd zijn met de GDPR, steunden de Amerikaanse bedrijven op de Standard Contract Clauses.

Garanties op papier zijn onvoldoende

De Oostenrijkse DPA oordeelt echter dat de "Technical and Organzational Measures" (TOM) die de GDPR aan de website-eigenaar oplegt, onvoldoende bescherming bieden wanneer men van Google Analytics gebruik maakt. De data van Europese burgers kan immers door de Amerikaanse inlichtingendiensten ingekeken worden. Daar het om IP-adressen, user-ID en browser parameters gaat, vond de Oostenrijkse DPA dit voldoende om de website-eigenaar te veroordelen. Eerder oordeelde de EDPS eveneens dat deze TOM's geen evenwaardige privacy bescherming boden om data transfers naar de US toe te laten. De Oostenrijkse DPA handelt dus in overeenstemming met de Europese instantie.

Volgens de privacy actiegroep noyb (European Center for Digital Rights) waarvan Max Schrems ere-voorzitter is, betekent deze uitspraak dat enkel en alleen het plaatsen van een cookie door een US provider voldoende is om de Europese regelgeving te overtreden. noyb lanceerde in augustus 2020 101 klachten tegen EU bedrijven die gebruik maken van Google Analytics of Facebook Connect. In België gaat het om Neckermann, bpost, Logic-Immo en Flair (Roularta Media Group). In de buurlanden om bedrijven zoals onder meer Takeaway.com, Marktplaats, Post.nl, Auchan en Decathlon. 

Verder dansen op een slappe koord?

Heel wat bedrijven investeerden de afgelopen jaren in het opzetten en optimaliseren van hun website analytics, in hoofdzaak via Google-diensten. Deze data zijn van levensbelang voor digitale ondernemingen en niet in het minst voor e-commerce. Vandaar dat FeWeb samen met andere beroepsverenigingen en onder leiding van Sirius Legal ijverden om de expliciete opt-in voor statistische en analytische cookies ongedaan te maken, net zoals in de buurlanden. 

  • In Frankrijk maakte de Franse DPA (CNIL) een uitzondering op de expliciete toestemming voor statistische of analytische cookies onder bepaalde voorwaarden en ontwikkelde ze per analytics tool een handleiding.
  • In Nederland heeft men het slim gespeeld: bij de omzetting van de GDPR in hun nationale Telecommunicatiewet voegde men een deelzin toe aan het artikel over het plaatsen van cookies. Zo is expliciete toestemming niet vereist als het gaat om statistische of analytische cookies 'met geen of geringe gevolgen voor de privacy van uw websitebezoekers'. Hoe je dan Google Analytics moet instellen volgens de Nerderlandse DPA leggen ze uit in een handleiding. Al geloven ze er zelf ook niet meer in sinds 13 januari 2022...

AP Google Analytics

  • In België tot slot weigerde de DPA om het Franse voorbeeld te volgen en verwees ze door naar de Minister van Justitie. Daar zou naar Nederlands voorbeeld de Telecom-wet in die zin aangepast kunnen worden. Maar helaas, einde 2021 stemde het Belgisch parlement voor een reeks aanpassingen maar die voor statistische en analytische cookies zat er niet bij. Sinds 2020 is de interpretatie van de DPA geldig, met name een expliciete toestemming voor analytische en statistische cookies is nodig.

Vast staat dat de GDPR als 'Regulation' (regelgeving die niet per lidstaat kan verschillen, in tegenstelling tot een Richtlijn) niet heeft gezorgd voor een gelijk speelveld in Europa. Niet alleen omdat men hier en daar de nationale wetgeving toch wat aanpastte maar vooral omdat de nationale DPA's elk hun interpretratie van de GDPR opleggen aan de bedrijfswereld op straffe van zware boetes. 

Deze discussie over opt-in valt in het niets vergeleken met de impact die de uitspraak van de Oostenrijkse DPA te weegbrengt voor website-eigenaars. Niet enkel voor het gebruik van Google Analytics maar bij uitbreiding voor elke tool die data transfers uitvoert naar US-servers (zoals MS Office 365, Teams, Zoom, Mailchimp, Adobe Analytics, Hubspot, Hotjar, AWS, Azure,...), lezen we in de diepgaande analyse van de FeWeb legal partner, Sirius Legal.

Wat zegt Google?

"Het is niet de fout van de tool maar de gebruiker", zegt Google in een mededeling. Het is immers niet toegestaan in de gebruiksvoorwaarden van Google Analytics om gegevens van gebuikers te downloaden waardoor Google deze gebruikers zou kunnen identificeren. Het zijn de gebruikers van Google Analytics die voor hun product kiezen en dus is Google niet aansprakelijk maar wel de website-eigenaars. Google biedt diverse mogelijkheden aan om IP-adressen te anonimiseren, het verzamelen van data te desactiveren, etc.

Het bedrijf legt de verantwoordelijkheid ook bij de internetgebruikers die Google Analytics via de webbrowser kunnen blokkeren. Tot slot meent Google dat het noodzakelijk is om de data naar servers in de US te sturen in het belang van de snelheid en de betrouwbaarheid (die Europese servers dan niet hebben?).

Wat nu?

Verwacht wordt dat er de komende tijd meer van uitspraken zullen vallen waarbij het gebruik van Amerikaanse cloud tools veroordeeld wordt (onder meer met het afwerken van de 101 klachten van noyb). De Amerikaanse wetgever zal de privacybescherming moeten opkrikken naar het Europese niveau of de US bedrijven zullen hun US en EU activiteiten spitsen.

Wat kan je als ondernemer nu doen? 

  • Expliciete toestemming vragen voor het gebruik van analytische en statistische cookies en daar bovenop een expliciete toestemming voor data transfer buiten de EU. Maar of dit voldoende is wanneer de tools zelf als illegaal bestempeld worden?
  • Een Data Export Compliance Audit uit te voeren: dit is een grondige analyse van als je data export om na te gaan of deze juridisch afgedekt is en of encryptie van data of andere maatregelen nodig zijn. 
  • Kiezen voor Europese providers (zo biedt Piwik PRO een privacyvriendelijk alternatief voor Google Analytics aan): de data blijfven eigendom van de klant en niet van de externe service provider. Als bedrijf werk je zo compliant en gebruik je de website data voor het eigen bedrijf. 

Help Lines

>> The Legal Compliant Agency: FeWeb Academy die (online) plaats heeft op 8 februari van 9 tot 12u30

>> Data Export Webinar van Sirius Legal op 11 februari (incl. stappenplan om risico's en boetes te voorkomen)

>> Heb je een juridische vraag? Als FeWeb-lid maak je gratis gebruik van de Legal Line

Tags:

Website created and supported by Starring Jane & Procurios
Sluiten