Is Google Analytics mogelijk in strijd met de AVG?
De kans bestaat dat men op zoek moet naar een alternatief voor het verzamelen van statistieken van websites. Een onderzoek van de Oostenrijkse privacytoezichthouder, de DSB (Datenschutzbehörde), heeft namelijk een bom gelegd onder het huidige Google Analytics.
Google slaat de data die verzameld wordt met Google Analytics op in de Verenigde Staten. Daarbij zouden de voorschriften uit de Algemene Verordening Gegevensbescherming (AVG) niet in acht worden genomen. De DSB oordeelt daarmee dat Google Analytics in strijd is met de AVG. In deze blog legt Advocatenkantoor Holla Legal & Tax uit hoe de DSB tot deze beslissing is gekomen en wat de mogelijke gevolgen zijn.Wat is er aan de hand?
Een Oostenrijkse websitehouder gebruikt Google Analytics voor zijn website. Google Analytics is een dienst van Google waarmee statistieken over het gebruik van een website kunnen worden bijgehouden. Hierbij slaat Google echter bepaalde persoonsgegevens, zoals het IP-adres en cookiegegevens, op in de Verenigde Staten.
Het doorgeven van persoonsgegevens naar de Verenigde Staten ligt in Europa onder vuur door de Schrems-arresten. Deze arresten gingen over de vraag of persoonsgegevens van Europese burgers naar de Verenigde Staten doorgegeven mochten worden. Dat mag alleen wanneer persoonsgegevens in de Verenigde Staten net zo goed beschermd worden als in de Europese Economische Ruimte (EER, de Europese Unie plus Liechtenstein, Noorwegen en IJsland). In de Verenigde Staten kunnen veiligheidsdiensten toegang verkrijgen tot persoonsgegevens die de Verenigde Staten inkomen of die in de Verenigde Staten opgeslagen zijn. Dat was volgens het Hof van Justitie van de Europese Unie niet in overeenstemming met de AVG. Daarom moeten de data-exporteur, in dit geval de websitehouder, en de data-importeur, Google, samen bepaalde afspraken maken over deze gegevensdoorgifte (een zogenaamd modelcontract of Standard Contractual Clauses). Ook moeten zij extra maatregelen nemen om ervoor te zorgen dat de persoonsgegevens van Europese burgers net zo goed beschermd worden als in Europa.
In de zaak die de DSB behandelde, hebben de websitehouder en Google dan ook allerlei maatregelen getroffen. Zo is er een verwerkersovereenkomst gesloten en is er een modelcontract gesloten met afspraken over de gegevensbescherming. Bovendien heeft Google aanvullende maatregelen getroffen door inkomende data te versleutelen en door de datacenters goed te beveiligen. Ook zouden verzoeken van de Amerikaanse inlichtingendiensten kritisch behandeld worden.
Ondanks deze waarborgen is er toch een klacht ingediend over het gebruik van Google Analytics. De klager was namelijk van mening dat deze waarborgen er nog steeds niet voor zorgden dat Google Analytics in overeenstemming met de AVG gebruikt kon worden. De Amerikaanse veiligheidsdiensten zouden namelijk nog steeds toegang hebben tot de persoonsgegevens die verzameld waren met Google Analytics. Om die reden dient het gebruik van Google Analytics verboden te worden volgens de klager.
Wat was het oordeel van de DSB?
De DSB moest beoordelen of er voldaan was aan de eisen die de AVG stelt aan deze internationale gegevensdoorgifte, dus of de genomen maatregelen door de websitehouder en Google ervoor zorgden dat de gegevens van websitebezoekers goed genoeg beschermd worden in de Verenigde Staten. De DSB oordeelde dat de genomen maatregelen er niet voor zorgden dat een voldoende beschermingsniveau gewaarborgd werd. Deze maatregelen deden immers niets af aan de bevoegdheid van de Amerikaanse inlichtingendiensten om toegang te verkrijgen tot inkomende persoonsgegevens. En dat was een reden dat het Hof van Justitie van de Europese Unie bepaald had dat het beschermingsniveau in de Verenigde Staten niet voldoende was. De internationale gegevensdoorgifte voldoet daarmee niet aan het vereisten van de AVG. Om die reden sprak de DSB uit dat Google Analytics niet voldoet aan de AVG.
Wat geldt er voor Nederland?
Deze uitspraak is gedaan door de Oostenrijkse privacytoezichthouder en zal dus in beginsel niet direct gelden voor Nederland. Echter, mede naar aanleiding van deze uitspraak heeft de Nederlandse Autoriteit Persoonsgegevens een waarschuwing gegeven met de mededeling dat Google Analytics binnenkort mogelijk niet meer toegestaan is, zelfs niet als deze op de privacyvriendelijke manier is ingesteld. Op dit moment loopt er een onderzoek van de Autoriteit Persoonsgegevens naar Google Analytics en de overeenstemming daarvan met de AVG. Zodra het onderzoek is afgerond zal er meer bekend worden of Google Analytics in Nederland toegestaan is en onder welke voorwaarden.
< VorigeVolgende >
Share on: