Het complete overzicht: Van 101 noyb klachten tot het verbieden van Google Analytics

Image of Carlo Cilento

Gepubliceerd op 16 aug 2022 en bijgewerkt op 15 aug 2023 door Carlo Cilento

2022 is tot nu toe een heet jaar geweest op het gebied van gegevensbescherming, met links en rechts uitspraken van toezichthouders tegen Google Analytics. We hebben ons best gedaan om u op de hoogte te houden van alle actuele gebeurtenissen, maar zelfs voor ons is het moeilijk om alles bij te houden. Hier volgt een overzicht van de langdurige affaire rond gegevensoverdracht vanaf Schrems II in 2020 tot vandaag. Dit is bedoeld om beter te begrijpen waar we nu staan en misschien een kleine glimp op te vangen van waar we naartoe gaan.

  1. Tijdslijn
  2. Doorgifte van gegevens in een notendop
  3. Schrems II en het Privacy Shield
  4. De 101 klachten van Noyb en de EDPB-taskforce
  5. Oostenrijk, Frankrijk & Italië verbieden Google Analytics
  6. EDPS berispt Europees Parlement
  7. Ierland (DPC) beveelt Meta om gegevensoverdrachten op te schorten
  8. De aanbestedingskamer Baden-Württemberg
  9. Het besluit van de Deense gegevensbeschermingsautoriteit
  10. De onderhandelingen over de overeenkomst inzake gegevensoverdracht
  11. Slotopmerkingen
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Laten we erin duiken!

Tijdslijn

  • Juli 2020: het HvJEU vaardigt de prejudiciële beslissing Schrems II uit.
  • augustus 2020: noyb dient de 101 klachten in
  • september 2020: het Europees Comité voor gegevensbescherming stelt een taskforce in
  • december 2021: besluit van de Oostenrijkse gegevensbeschermingsautoriteit
  • januari 2022: besluit van de Europese Toezichthouder voor gegevensbescherming
  • Februari 2022: beslissing van de Franse gegevensbeschermingsautoriteit
  • Juni 2022: besluit van de Italiaanse gegevensbeschermingsautoriteit
  • Juli 2022: Ierse gegevensbeschermingsautoriteit kondigt ontwerpbesluit aan waarbij de doorgifte van gegevens door Meta Ierland wordt opgeschort
  • Juli 2022: Duitse aanbestedingsautoriteit acht Amerikaanse gegevensdoorgifte onwettig
  • Juli 2022: besluit van de Deense gegevensbeschermingsautoriteit.

Doorgifte van gegevens in een notendop

Voordat we in het Schrems II-besluit duiken, hebben we enige context nodig. Volgens de GDPR zijn gegevensoverdrachten buiten de EER alleen mogelijk als de persoonsgegevens adequaat worden beschermd. Deze bescherming kan op twee manieren worden gewaarborgd:

  1. Doorgifte van gegevens naar een derde land dat onder een "adequaatheidsbesluit" valt. Dit is een besluit van de Europese Commissie: de Commissie beoordeelt de gegevensbeschermingsregels in een derde land en geeft in wezen groen licht voor de doorgifte van gegevens naar dat land. Toereikendheidsbesluiten zijn het gemakkelijkste, meest probleemloze mechanisme voor de doorgifte van gegevens, maar zijn slechts voor een beperkt aantal landen vastgesteld.
  2. Door middel van door de Europese Commissie opgestelde modelcontractbepalingen (VCA's), die in een juridisch bindende overeenkomst met de gegevensverwerker moeten worden opgenomen. Bij de doorgifte van gegevens op basis van SSC's moeten bedrijven beoordelen of de clausules in het derde land daadwerkelijk werken. Met andere woorden, de gegevensexporteur kan niet volstaan met het opnemen van de SCC's in de gegevensverwerkingsovereenkomst, maar moet zich ervan vergewissen dat de SCC's in de praktijk voldoende bescherming bieden en zo nodig extra waarborgen inbouwen.

Schrems II en het Privacy Shield

Voor de VS was een "adequaatheidsbesluit" beschikbaar op basis van een overeenkomst inzake gegevensoverdracht die bekend staat als Privacy Shield. In Schrems II oordeelde het Hof van Justitie echter dat het Privacy Shield onvoldoende bescherming bood voor persoonsgegevens en maakte het de adequaatheidsbeschikking ongeldig.

Het Hof benadrukte echter dat aanvullende waarborgen voor de doorgifte van gegevens naar de VS nodig zijn wanneer men vertrouwt op SCC's: zonder dergelijke waarborgen zijn doorgiften op basis van SCC's illegaal. Het bieden van deze waarborgen voor een doorgifte van gegevens in de VS is geen gemakkelijke opgave, aangezien veel Amerikaanse ondernemingen (waaronder Google en Meta) volgens de Amerikaanse toezichtwetgeving als "aanbieders van elektronische communicatie" worden beschouwd. Dit betekent dat zij moeten voldoen aan elk verzoek om gegevens door de NSA.

Helaas is er weinig dat een bedrijf kan doen om in dit scenario adequate gegevensbescherming te garanderen. Bovendien vertrouwen techgiganten zoals Google, AWS en dergelijke doorgaans op standaardcontracten, waardoor hun klanten geen ruimte hebben om te onderhandelen over aanvullende beschermingsclausules.

In dit lastige scenario hebben sommige bedrijven gekozen voor een op risico gebaseerde aanpak: zij voeren in wezen aan dat hun doorgifte veilig is omdat het onwaarschijnlijk is dat de gegevens die zij exporteren daadwerkelijk het doelwit zijn van een FISA-bevel - ook al is het theoretisch mogelijk. Zoals we hebben gezien, beginnen sommige gegevensbeschermingsautoriteiten deze aanpak te verwerpen.

complete overview of banning google analytics

De 101 klachten van Noyb en de EDPB-taskforce

In de zomer van 2020, vlak na het Schrems II arrest, diende Noyb 101 klachten in bij verschillende Europese toezichthouders. Noyb is een privacy-ngo onder voorzitterschap van Max Schrems (ja, de Schrems II-man). De 101 klachten gaan over gegevensoverdracht en zijn niet rechtstreeks gericht tegen Facebook of Google: ze zijn gericht tegen websites van online nieuwsuitgevers of commerciële bedrijven die Meta of Google als gegevensverwerkers gebruiken.

Alle klachten zijn inhoudelijk vergelijkbaar en vormen een strategie om de Europese DPA's (de gegevensbeschermingsautoriteiten in elk land) aan te zetten tot een strengere handhaving van de GDPR met betrekking tot gegevensoverdrachten.

In een notendop gebruiken websites de Europese bedrijven Google Ireland/Meta Platforms Ireland als gegevensverwerkers, die op hun beurt vertrouwen op hun moederbedrijven in de VS om de gegevens te verwerken (dat wil zeggen, ze zijn subverwerkers in juridisch jargon). Noyb acht de gegevensoverdrachten tussen Google Ireland/Meta Platforms Ireland en hun moederbedrijven illegaal onder de GDPR en stelt dat bedrijven niet zouden mogen vertrouwen op diensten die dergelijke overdrachten vereisen (zoals Google Analytics).

In september 2020 kondigde de European Data Protection Board (EDPB) de oprichting aan van een taskforce om de 101 klachten van noyb te behandelen. Er zijn weinig details over de werkzaamheden van de taskforce bekendgemaakt, maar we weten wel dat de gegevensbeschermingsautoriteiten hebben gewerkt aan een consistente aanpak voor de behandeling van de klachten. Het belang van dit punt kan niet genoeg worden benadrukt: de recente beslissingen die het nieuws haalden, weerspiegelen een gecoördineerde aanpak, waardoor het des te waarschijnlijker is dat andere toezichthouders dit voorbeeld zullen volgen.

do you really need google analytics

Oostenrijk, Frankrijk & Italië verbieden Google Analytics

De eerste beslissing over de 101 klachten kwam in december 2021 van de Oostenrijkse DPA (DSB). Twee andere klachten werden in 2022 gegrond verklaard door twee van Europa's meest invloedrijke en gerespecteerde toezichthouders: de Franse CNIL en de Italiaanse Garante.

De overeenkomsten tussen de uitspraken weerspiegelen duidelijk een gemeenschappelijke aanpak van de handhaving van hoofdstuk V van de GDPR:

  • De risicogebaseerde benadering van gegevensoverdrachten werd uitdrukkelijk verworpen.
  • De door Google toegepaste aanvullende waarborgen werden onvoldoende bevonden. Dit omvat (niet-end-to-end) encryptie van opgeslagen gegevens, aangezien de de-encryptiesleutels in het bezit waren van Google en samen met de gerichte gegevens door Amerikaanse instanties konden worden opgevraagd op grond van een FISA-bevel.
  • De IP-anonimiseringsoptie van Google Analytics werd beschouwd als een vorm van pseudonimisering in plaats van volledige anonimisering. Dit betekent dat het IP-adres van de gebruikers van de site nog steeds als persoonsgegevens wordt beschouwd, zelfs wanneer het door Google is "geanonimiseerd".
  • Er werden geen boetes opgelegd. De gegevensbeschermingsautoriteiten willen vooral duidelijk maken dat de regels inzake gegevensoverdracht in de toekomst strenger zullen worden gehandhaafd. Momenteel willen zij bedrijven niet straffen zolang zij de opmerkingen van de toezichthouder serieus nemen en Google Analytics snel van de hand wijzen nadat de klacht is ingediend.

EDPS berispt Europees Parlement

In januari 2022 berispte de Europese Toezichthouder voor gegevensbescherming het Europees Parlement voor het opnemen van cookies van Google Analytics en Stripe (een betalingsbedrijf) in een website zonder de gebruikers te informeren en hun toestemming te verzamelen.

De site was een interne coronavirustestwebsite voor leden van het Europees Parlement. Het Parlement had de ontwikkeling van de site uitbesteed en de ontwikkelaars kopieerden een deel van de code van een andere website die zij hadden ontwikkeld, waaronder onnodige analytische functies.

Het besluit van de EDPS ging slechts kort in op de doorgifte van gegevens en wees op het totale gebrek aan waarborgen in dit verband. Het trok echter niet zoveel aandacht als de 101 klachten.

Ierland (DPC) beveelt Meta om gegevensoverdrachten op te schorten

In juli 2022 kondigde de Ierse DPA (DPC) een ontwerpbesluit aan waarin Meta Ireland werd bevolen de doorgifte van gegevens voor hun Facebook- en Instagram-diensten op te schorten. Het ontwerp is het resultaat van een langdurig onderzoek van de DPC. Het ontwerp is niet openbaar, maar de kern van het besluit is de doorgifte van persoonsgegevens op basis van SCC's.

De Meta-zaak is nog lang niet ten einde. Het besluit maakt deel uit van een complexe procedure waarbij de EDPB betrokken is, en andere Europese gegevensbeschermingsautoriteiten kunnen bezwaar aantekenen, waardoor het proces nog meer vertraging oploopt. De aankondiging is echter nog steeds veelzeggend.

Veel Amerikaanse bedrijven (waaronder Meta en Google) hebben hun Europese vestiging of spin-off bedrijven in Ierland, en de Ierse gegevensbeschermingsautoriteit is enigszins laks in het toezicht daarop. Een bevel tot opschorting van overdrachten van een notoir softe toezichthouder zou een voorbode kunnen zijn van een strenger toezicht op de naleving van de overdrachtsregels in de GDPR, wat talloze diensten en bedrijven - waaronder Google en Google Analytics - zou kunnen betreffen.

De aanbestedingskamer Baden-Württemberg

Een andere interessante zaak werd beslist in juli 2022. De zaak ging over een openbare aanbesteding voor digitale beheersoftware. Het winnende bedrijf zou een beroep doen op AWS Europe (Amazon Web Service EMEA SARL) als verwerker. Hoewel de gegevens volledig gelokaliseerd waren in de EU, kon het Amerikaanse moederbedrijf AWS Inc. toegang krijgen tot persoonsgegevens om "de dienst te onderhouden en te verlenen" en "te voldoen aan de wet of een geldig en bindend bevel van een overheidsinstantie".

De aanbestedingskamer vond dat deze verstrekking een gegevensoverdracht onder de GDPR vormde. De Kamer vond de gegevensoverdracht ook onrechtmatig, omdat de extra waarborgen die er waren, bleken te ontbreken en VCA's op zichzelf onvoldoende bescherming boden.

De beslissing zelf is verre van duidelijk. De beslissende autoriteit is geen gegevensbeschermingsautoriteit en is ook niet typisch betrokken bij de interpretatie van de GDPR. Zeer belangrijke punten van de beslissingen worden nauwelijks aangestipt, zodat het aan de lezer wordt overgelaten om de redenering af te leiden. Dit gezegd zijnde, zou dit besluit een teken kunnen zijn dat een hard standpunt over de doorgifte van gegevens ook buiten de strikte grenzen van de gegevensbeschermingswetgeving ingang begint te vinden en aan kracht wint in het bredere juridische landschap.

Caption of the image

Het besluit van de Deense gegevensbeschermingsautoriteit

Het laatste hoofdstuk van het verhaal tot nu toe is een besluit van de Deense gegevensbeschermingsautoriteiten (Datatilsynet). In juli 2022 verbood de toezichthouder de gemeente Helsingør om Google Workspace op scholen te gebruiken. Hoewel de DPA verschillende privacyproblemen benadrukte, stond de gegevensoverdracht centraal in het besluit.

Bij de verwerkingen waren zowel moederbedrijf Google LLC als het in Ierland gevestigde bedrijf Google Cloud EMEA Ltd betrokken. In het onderhavige geval maakte de gemeente gebruik van een datalokalisatie-instelling die beschikbaar is op Google Workspace. Bijgevolg werden alle gegevens door Google Cloud EMEA op Europese servers opgeslagen en was Google LLC alleen betrokken bij de technische ondersteuning. Voor de ondersteuning door Google LLC zou Google Cloud EMEA echter gegevens onder SCC's overdragen, waaronder persoonsgegevens die in duidelijke tekst toegankelijk zijn. Het CBP vond dat deze doorgifte onvoldoende waarborgen bood en verbood deze.

Het CBP waarschuwde dat dezelfde conclusies waarschijnlijk zouden gelden voor andere gemeenten die Google Workspace gebruiken. De toezichthouder behandelt deze zaken op het moment van schrijven, en soortgelijke beslissingen zullen waarschijnlijk volgen.

Opmerkelijk is dat de zaak geen betrekking had op Google Analytics, en dat het Deense OM helemaal niet betrokken was bij de 101 klachten. De beslissing kan een teken zijn dat de harde aanpak die begon met de 101-klachten ook in andere zaken terrein wint. Als dat het geval zou zijn, zou dit veel groter zijn dan een "verbod op Google Analytics".

De onderhandelingen over de overeenkomst inzake gegevensoverdracht

Momenteel onderhandelen de Europese Commissie en de VS over een nieuwe overeenkomst voor gegevensoverdracht. Een dergelijke overeenkomst zal waarschijnlijk worden aangevochten bij het Hof van Justitie.

Aangezien er geen juridisch document beschikbaar is, is het moeilijk om het resultaat van een mogelijke "Schrems III"-uitspraak te voorspellen. Maar we weten dat de VS niet werken aan een wetgevende hervorming van het overheidstoezicht - op het moment van schrijven is het eerste federale privacywetsvoorstel in het Congres ingediend, en het ontwerp beperkt de surveillancebevoegdheden van de NSA onder FISA niet. Zonder hervorming van de wetgeving zal de overeenkomst de toetsing door het Hof van Justitie waarschijnlijk niet doorstaan.

Slotopmerkingen

Het handhavingssysteem van de GDPR is een complex mechanisme waarbij verschillende actoren betrokken zijn: nationale toezichthouders, de EDPB, de nationale rechtbanken van de lidstaten en het Hof van Justitie van de EU. Het voorspellen van de toekomstige richting van de GDPR-handhaving is geen gemakkelijke taak, maar alle tekenen lijken in één richting te wijzen. Een tijdperk van strikte handhaving van de regels inzake gegevensoverdracht is waarschijnlijk aangebroken, en het is tijd om ons voor te bereiden om voorop te blijven lopen.

De recente besluiten van de EU-lidstaten (Frankrijk, Oostenrijk en Italië) maken deel uit van een gecoördineerde aanpak. Daarom verwachten wij dat meer EU-lidstaten dit voorbeeld zullen volgen.

Organisaties moeten zich aanpassen en klaar zijn om in dit veranderende bedrijfsklimaat te navigeren. Zij moeten uitzoeken welke datapunten zij echt nodig hebben om beslissingen te nemen en deze op ethische wijze verzamelen. Het is mogelijk, en het zal u verbazen hoeveel gegevens worden verzameld omwille van het verzamelen van gegevens.

Wij geloven dat het niet alleen een kwestie is van binnen de wet blijven. Het gaat verder dan dat. Wij geloven in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers. Daarom hebben we Simple Analytics gebouwd zonder trackingmechanismen of de mogelijkheid om persoonlijke gegevens te verzamelen, terwijl u toch de inzichten krijgt die u nodig hebt. Als dit resoneert met u, voel je vrij om ons te proberen.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode