Italië is het derde land dat zich officieel uitspreekt tegen het gebruik van Google Analytics. Het nieuws brak vandaag uit nadat een zorgvuldig onderzoek concludeerde dat Google Analytics de GDPR-wetgeving schond. U kunt de verklaring hier vinden.
Bekijk het volledige artikel hier
<blockquote><h2>Italiaanse SA verbiedt gebruik Google Analytics</h2><h3>Geen passende waarborgen voor gegevensoverdracht naar de VS</h3>
Een website die Google Analytics (GA) gebruikt zonder de in de GDPR van de EU vastgestelde waarborgen, schendt de gegevensbeschermingswetgeving omdat de gegevens van gebruikers worden doorgegeven aan de VS, een land zonder passend niveau van gegevensbescherming.
De Italiaanse autoriteit kwam tot deze conclusie na een complex feitenonderzoek dat zij was begonnen in nauwe samenwerking met andere gegevensbeschermingsautoriteiten in de EU naar aanleiding van klachten die zij had ontvangen. De Italiaanse rekenkamer stelde vast dat de websitebeheerders die GA gebruiken, via cookies informatie verzamelden over de interacties van gebruikers met de respectieve websites, bezochte pagina's en aangeboden diensten. De diverse gegevens die in dit verband werden verzameld, omvatten het IP-adres van het apparaat van de gebruiker en informatie over de browser, het besturingssysteem, de schermresolutie, de geselecteerde taal en de datum en het tijdstip waarop de pagina werd bekeken. Deze informatie bleek te worden doorgegeven aan de VS. Bij de vaststelling dat de verwerking onrechtmatig was, herhaalde de Italiaanse rechterlijke instantie dat een IP-adres een persoonsgegeven is en niet zou worden geanonimiseerd, zelfs niet als het zou worden ingekort - gezien de mogelijkheden van Google om dergelijke gegevens te verrijken met aanvullende informatie waarover zij beschikt.
Op basis van deze bevindingen heeft de Italiaanse rechter een besluit vastgesteld, dat zal worden gevolgd door aanvullende besluiten, waarbij Caffeina Media S.r.l. - een website-exploitant - wordt berispt en haar wordt gelast de verwerking binnen negentig dagen in overeenstemming te brengen met de GDPR. Deze termijn werd passend geacht om de exploitant in staat te stellen passende maatregelen te nemen in verband met de doorgifte van gegevens; indien dit niet het geval blijkt te zijn, zal opschorting van de GA-gerelateerde gegevensstromen naar de VS worden gelast.
De Italiaanse NV wijst er met name op dat in de VS gevestigde overheids- en inlichtingendiensten toegang kunnen krijgen tot de doorgegeven persoonsgegevens zonder de vereiste waarborgen; zij wijst er in dit verband op dat de maatregelen die Google heeft genomen ter aanvulling van de instrumenten voor gegevensoverdracht, geen passend beschermingsniveau voor de persoonsgegevens van de gebruikers waarborgen in het licht van de richtsnoeren die de EDPB heeft verstrekt via zijn aanbevelingen nr. 1/2020 van 18 juni 2021.
De Italiaanse NV wil de aandacht van alle Italiaanse websitebeheerders, zowel openbare als particuliere, vestigen op de onrechtmatigheid van de gegevensoverdrachten naar de VS als gevolg van het gebruik van GA - mede naar aanleiding van de vele waarschuwingen en vragen die tot dusver zijn ontvangen. De Italiaanse SA roept alle verantwoordelijken voor de verwerking op om na te gaan of het gebruik van cookies en andere trackinginstrumenten op hun websites in overeenstemming is met de gegevensbeschermingswetgeving; dit geldt met name voor Google Analytics en soortgelijke diensten.
Na het verstrijken van de in haar besluit vastgestelde termijn van 90 dagen zal de Italiaanse CTF nagaan of de betrokken gegevensoverdrachten in overeenstemming zijn met de GDPR van de EU, onder meer door middel van ad-hocinspecties.
Rome, 23 juni 2022
</blockquote>Dit nieuws komt slechts een week nadat de CNIL (het Franse agentschap voor gegevensbescherming) richtsnoeren over de Google Analytics-kwestie heeft gepubliceerd. Deze richtsnoeren vloeien voort uit de uitspraken eerder dit jaar waarin CNIL het gebruik van Google Analytics verbood.
Steeds meer autoriteiten spreken zich uit tegen Google Analytics. Dit is niet verrassend: De Europese gegevensbeschermingsautoriteiten coördineerden hun aanpak van zaken waarbij Google Analytics gegevens doorgaf. Met de coördinatie op Europees niveau en de invloedrijke Franse en Italiaanse gegevensbeschermingsautoriteiten die het voortouw nemen, verwachten we dat meer autoriteiten het voorbeeld zullen volgen. (Update: en de Hongaarse gegevensbeschermingsautoriteit heeft dat ook gedaan).
- Is Google Analytics echt illegaal in Italië?
- Wat heeft de GPDP precies gezegd?
- De kwestie van de gegevensdoorgifte
- De Franse CNIL Q&A-richtsnoeren over Google Analytics
- Updates
- Slotopmerkingen
Laten we erin duiken!
Is Google Analytics echt illegaal in Italië?
In theorie niet. In de praktijk wel.
De GPDP heeft niet precies gezegd dat je Google Analytics niet mag gebruiken. Het verbiedt alleen een specifieke website om dat te doen.
Dus waar gaat al die ophef over? Nou, het besluit van de GPDP wijst op een gebrek aan waarborgen in de gegevensoverdracht die nodig is om Google Analytics te gebruiken. In theorie zou een andere website betere waarborgen kunnen implementeren en Google Analytics op een GDPR-conforme manier kunnen gebruiken. Maar in de praktijk is geen enkele website daartoe in staat (zoals we hier hebben uitgelegd).
Dus hoewel de uitspraak Google Analytics technisch gezien niet verbiedt, schept het een precedent dat praktisch neerkomt op een verbod voor de hele staat. Hetzelfde geldt voor elke beslissing tot nu toe. Praktisch gezien is Google Analytics verboden in Oostenrijk, Frankrijk en Italië (edit: en nu ook in Hongarije).
Privacyprofessionals en marketeers weten heel goed dat de recente beslissingen tegen Google Analytics praktisch neerkomen op het onwettig verklaren ervan. Daarom hebben de uitspraken zoveel media-aandacht getrokken.
De volgende domino valt, Italië verbiedt Google Analytics
Wat heeft de GPDP precies gezegd?
Een Italiaans nieuwsblad (caffeinamagazine) gebruikte Google Analytics. Wanneer Google Analytics gegevens verwerkt, wordt de informatie verzonden van Google Ierland naar het moederbedrijf Google in de VS. Deze gegevensoverdracht is volgens de GPDR alleen rechtmatig wanneer de gegevensbeschermingsrechten van de gebruiker adequaat kunnen worden beschermd. Volgens het Schrems II-arrest moet de voor de verwerking verantwoordelijke doeltreffende waarborgen invoeren om de gegevens vertrouwelijk te houden tegen toezicht door de VS.
De GPDP heeft alle waarborgen voor de gegevensoverdrachten onderzocht en ontoereikend bevonden. (Non-end-to-end) encryptie is onvoldoende omdat Google de sleutel bezit en kan worden verplicht deze te overhandigen aan overheidsinstanties. De contractuele waarborgen tussen Google Ierland en Google zijn onvoldoende zonder technische maatregelen. De GPDP verduidelijkte ook dat het IP-adres van de gebruiker persoonsgegevens zijn, zelfs wanneer het door Google wordt geanonimiseerd, omdat Google een zeer zwakke anonimisering toepast.
Dit alles is niet nieuw. In feite herhaalt de GPDP slechts wat de Oostenrijkse en Franse gegevensbeschermingsautoriteiten reeds hebben verduidelijkt, en alle autoriteiten passen gewoon de criteria van het Schrems II-arrest toe.
De kwestie van de gegevensdoorgifte
Maar wat maakt de doorgifte van gegevens naar de VS zo problematisch? Waarom zijn er waarborgen nodig? Bedrijven als Google, Facebook en AWS kunnen op grond van de Amerikaanse wetgeving (FISA Section 702) worden verplicht persoonsgegevens van buitenlanders aan Amerikaanse instanties te overhandigen.
De privacyzorgen van Google zijn niets nieuws. In 2013 onthulden de Snowden-dossiers dat persoonsgegevens van buitenlandse burgers bij overdracht aan de VS aan indringend overheidstoezicht konden worden onderworpen. De onthullingen van Snowden brachten twee brede programma's voor het verzamelen van inlichtingen aan het licht (Upstream en PRISM) die onder FISA zijn toegestaan. De bezorgdheid over de ruime werkingssfeer van de FISA en het gebrek aan doeltreffende rechtsmiddelen tegen VS-toezicht bracht het Hof van Justitie van de EU ertoe twee kaders voor gegevensoverdracht tussen de EU en de VS ongeldig te verklaren in de baanbrekende Schrems I- en II-besluiten.
Het Schrems II-arrest van 2020 heeft verstrekkende gevolgen voor Europese bedrijven. In principe kunnen gegevens nog steeds zonder kader voor gegevensoverdracht naar de VS worden doorgegeven. Het HvJEU heeft echter verduidelijkt dat Europese bedrijven de vertrouwelijkheid van gegevensoverdrachten moeten waarborgen door adequate waarborgen tegen overheidstoezicht in te voeren. In de praktijk is dit moeilijk te doen en helemaal onmogelijk voor bepaalde clouddiensten (we schreven er hier over).
In de nasleep van Schrems II heeft de privacy-ngo noyb 101 identieke klachten ingediend tegen de doorgifte van gegevens over het gebruik van Google Analytics en Facebook Connect. De klachten betreffen alle gegevensbeschermingsautoriteiten in de EU en vormen een strategische poging om Europa aan te zetten tot een strengere handhaving van de in Schrems II verduidelijkte regels.
Zoals gezegd hebben de gegevensbeschermingsautoriteiten hun aanpak van deze klachten op Europees niveau gecoördineerd. Als gevolg daarvan hebben drie Europese gegevensbeschermingsautoriteiten (de Oostenrijkse DSB, de Franse CNIL en nu de Italiaanse GPDP) (update: en de Hongaarse NAIH) zich uitgesproken tegen het gebruik van Google Analytics. In overeenstemming met het Schrems II-arrest achtten de gegevensbeschermingsautoriteiten de gegevensoverdrachten van Google Ierland naar Google LLC onwettig omdat er geen effectieve waarborgen waren tegen toezicht door de VS.
De Franse CNIL Q&A-richtsnoeren over Google Analytics
In hun Q&A van vorige week ging de CNIL in op alle vragen die waren gerezen nadat zij in februari van dit jaar had aangekondigd dat Google Analytics illegaal was. Sindsdien heeft Google verschillende benaderingen voorgesteld om ervoor te zorgen dat Google Analytics veilig kan worden gebruikt binnen de EU-wetgeving. De CNIL concludeerde echter dat het technisch onmogelijk is om Google Analytics conform de wet te gebruiken.
Google heeft verschillende oplossingen voorgesteld die door de CNIL zijn afgewezen:
- IP-anonimisering is geen geldige oplossing omdat Google niet kon aantonen dat anonimisering plaatsvindt voordat de gegevens naar de VS worden doorgestuurd.
- Gegevensencryptie is een ondoeltreffende beveiliging omdat Google de sleutels bezit en kan worden verplicht deze aan overheidsinstanties te overhandigen.
De enige oplossing waarvoor de CNIL wellicht openstaat, is de volledige anonimisering van alle persoonsgegevens via een proxyserver. Deze oplossing is duur en belastend voor de meeste bedrijven. Het maakt het ook onmogelijk om cookies te gebruiken, wat de analytische mogelijkheden van Google Analytics ernstig beperkt.
Updates
Er is veel gebeurd in de maanden na het GPDP-besluit, dus hier zijn enkele updates:
- De GPDP besliste over nog twee van de klachten en sprak zich opnieuw uit tegen het gebruik van Google Analytics. Dit bevestigt wat al duidelijk was: de eerste zaak heeft een cruciaal precedent geschapen, en over eventuele andere zaken zal dienovereenkomstig worden beslist. De tweede en derde uitspraak werden letterlijk gekopieerd van de eerste.
- De Hongaarse NAIH sloot zich aan bij de DSB, CNIL en GPDP in hun uitspraak tegen Google Analytics.
- De Deense DPA omarmde in wezen dezelfde aanpak in een persbericht over het gebruik van Google Analytics.
- Een nieuw kader voor de doorgifte van gegevens tussen de EU en de VS is in de maak. Het nieuwe kader is in sommige opzichten nog steeds problematisch en zal ongetwijfeld voor de rechter worden aangevochten. We kijken naar weer een Schrems-arrest, en het is moeilijk te zeggen hoe dit zal uitpakken.
- We hebben twee blogs geschreven over gegevensoverdracht in het algemeen en de problemen van Google Analytics met gegevensoverdracht. Deze bevatten meer diepgaande informatie over de onderwerpen.
Slotopmerkingen
Voordat we afsluiten, is het misschien de moeite waard om samen te vatten wat we hebben gezien:
- Meerdere gegevensbeschermingsautoriteiten hebben zich tot nu toe tegen Google Analytics uitgesproken.
- De gegevensbeschermingsautoriteiten volgen een gecoördineerde aanpak, en twee invloedrijke gegevensbeschermingsautoriteiten lopen voorop. Andere autoriteiten zullen waarschijnlijk volgen (update: de Hongaarse gegevensbeschermingsautoriteit heeft dat gedaan).
- Beslissingen zijn bijna identiek en komen praktisch neer op een verbod voor de hele staat.
Ook het vermelden waard: Consumenten eisen privacy.
Het bedrijfsklimaat verandert en u moet zich afvragen of u wilt meegaan of wilt vasthouden aan oude overtuigingen en praktijken.
Google stapt zelfs af van zijn huidige versie van Google Analytics door Universal Analytics af te schaffen ten gunste van GA4. In een verklaring lieten ze weten dat privacy een van de belangrijkste drijfveren is voor de overstap. Hoewel GA4 nog steeds niet privacy-vriendelijk is, erkennen ze tenminste dat de wereld verandert.
Er zijn alternatieven voor Google Analytics die daadwerkelijk geven om de privacy van je gebruikers. Simple Analytics is een van hen, maar voordat ik u vertel dat wij de beste zijn, hebben we een diepgaande vergelijking gemaakt met andere privacy-vriendelijke alternatieven om uw eigen beslissing te nemen.
Wij geloven dat het niet alleen een kwestie is van binnen de wet blijven. Ja, dat is ook belangrijk. Maar het gaat verder dan dat. Wij geloven dat u nog steeds beslissingen kunt nemen op basis van websitegegevens zonder dat u persoonlijke gegevens hoeft te verzamelen of individuen hoeft te volgen.
Daarom hebben we Simple Analytics gebouwd. Om u te voorzien van de inzichten die u nodig heeft en tegelijkertijd de privacy van uw gebruikers te beschermen en 100% GDPR compliant te zijn. Als dit u aanspreekt, probeer ons dan gerust uit.