Is Google Analytics illegaal in Noorwegen?

Image of Carlo Cilento

Gepubliceerd op 3 mrt 2023 en bijgewerkt op 15 aug 2023 door Carlo Cilento

Dit artikel is automatisch vertaald. Ga naar de Engelse versie voor het origineel.

In een nog lopende klacht is de Noorse gegevensbeschermingsautoriteit (Datatilsynet) tot de voorlopige conclusie gekomen dat "het gebruik van Google Analytics in strijd was met de doorgiftevoorschriften van de GDPR". De autoriteit maakte haar bevindingen gisteren bekend op haar website (alleen in het Noors) en verwacht een definitief besluit te nemen "op zijn vroegst eind april".

Natuurlijk kan de autoriteit uiteindelijk tot een andere conclusie komen. Maar wij hebben goede redenen om aan te nemen dat dit niet het geval zal zijn en dat Noorwegen zich binnenkort bij Oostenrijk, Frankrijk, Italië, Finland en Denemarken zal aansluiten en Google Analytics praktisch zal verbieden. Dit is waarom.

shit_here_we_go_again.jpeg

  1. Google Analytics en gegevensoverdracht
  2. Wat zeiden de andere autoriteiten precies?
  3. Wat kunnen we van de beslissing verwachten?
  4. Het grotere plaatje
  5. Slotopmerkingen
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Google Analytics en gegevensoverdracht

We hebben nog geen beslissing, maar we kunnen het bredere plaatje bekijken en een gefundeerde gok doen naar de meest waarschijnlijke uitkomst en de redenen daarvoor.

De juridische problemen van Google Analytics met de GDPR zijn niet nieuw: zoals we hebben opgemerkt, hebben andere gegevensbeschermingsautoriteiten (DPA's) al een hard standpunt ingenomen. De meeste van hun beslissingen komen voort uit een gecoördineerde reeks klachten van privacy-ngo noyb, in een strategische poging om de gegevensbeschermingsautoriteiten aan te zetten tot een striktere handhaving van de GDPR-regels inzake gegevensoverdracht en van het Schrems II-arrest van het Hof van Justitie van de EU.

De klachten van Noyb luiden allemaal hetzelfde. Het gebruik van Google Analytics vereist de overdracht van persoonsgegevens (cookies en IP-adressen) aan Google LLC, gevestigd in Californië. Maar deze overdracht stelt de gegevens bloot aan het risico van staatstoezicht in de VS. Daarom moeten persoonsgegevens worden beschermd door middel van passende waarborgen tegen toezicht, zoals het Hof van Justitie heeft vastgesteld in de zaak Schrems II. Volgens Noyb ontbreken deze vereiste waarborgen (in het jargon aanvullende maatregelen genoemd) bij de doorgifte van gegevens. Dit maakt het gebruik van Google Analytics onverenigbaar met de GDPR en het Schrems II-arrest. Tot dusver zijn de Oostenrijkse, Franse en Italiaanse autoriteiten het eens met noyb, en hebben de Deense en Finse autoriteiten in verschillende omstandigheden hetzelfde standpunt ingenomen.

(Er is meer over Schrems II en gegevensoverdracht. We hebben daar in een andere blog dieper op ingegaan.)

Wat zeiden de andere autoriteiten precies?

Voor alle duidelijkheid: alle klachten en beslissingen gaan technisch gezien over specifieke websites. Daarom zeggen we dat Google Analytics in sommige landen praktisch verboden is. In theorie zou een andere website Google Analytics rechtmatig kunnen gebruiken door andere en betere beveiligingen te implementeren.

Maar theorie is hier het sleutelwoord. In de praktijk zijn er zeer weinig waarborgen tegen overheidstoezicht. De veiligheid van de gegevensoverdracht waarborgen is voor veel diensten moeilijk en voor Google Analytics praktisch onmogelijk, omdat het is opgebouwd rond cookies en cookie-identificatoren onversleuteld moet verwerken om te kunnen werken(we hebben hier meer over geschreven).

Elke beslissing komt dus praktisch neer op een verbod voor de hele staat, en daarom trekken de juridische problemen van Google veel aandacht in de privacygemeenschap.

Wat kunnen we van de beslissing verwachten?

We hebben geen kristallen bol, maar we kunnen een gefundeerde gok doen op basis van het grotere geheel.

De autoriteiten hebben de klachten van noyb tot nu toe op dezelfde manier benaderd. Dat komt omdat zij hun aanpak op Europees niveau hebben gecoördineerd, zoals het Datatilsynet zelf in zijn persbericht opmerkt. Daarom zal de Noorse autoriteit zich waarschijnlijk uiteindelijk uitspreken tegen het gebruik van Google Analytics.

Overigens behandelt het Datatilsynet de klacht als een grensoverschrijdende zaak. In de praktijk betekent dit dat andere Europese autoriteiten een rol kunnen spelen door bezwaar te maken. Maar we verwachten niet dat dit zal gebeuren. Vorig jaar heeft de Franse autoriteit haar besluit tegen Google Analytics ook aan andere autoriteiten voorgelegd, en toen is er geen bezwaar gemaakt.

Vermeldenswaard is ook dat Noorwegen geen EU-land is. In feite valt Noorwegen onder de GDPR omdat het deel uitmaakt van de Europese Economische Ruimte. Als het besluit van Datatilsynet wordt bevestigd, wordt Noorwegen het eerste niet-EU-land dat zich uitspreekt tegen Google Analytics over de doorgifte van gegevens.

Het grotere plaatje

Er zijn veel privacyvriendelijke alternatieven voor Google Analytics, en Simple Analytics is er een van. Wij geloven dat een verbod op Google Analytics niet het einde van de wereld is.

Maar de kwestie van gegevensoverdracht is groter dan Google Analytics. Veel in de VS gevestigde diensten vereisen de overdracht van persoonsgegevens en kunnen hierna onder vuur komen te liggen. Google Analytics afschaffen is relatief eenvoudig (hallo Simple Analytics), maar afzien van diensten als Oracle en AWS is een ander verhaal.

Daarom hebben de VS en de Europese Commissie onderhandeld over een nieuw kader voor gegevensoverdracht om de doorgifte van gegevens te vergemakkelijken, en hebben ze stappen ondernomen om het uit te voeren. In december 2022 stelde de Commissie een adequaatheidsbesluit op voor de VS - in wezen een besluit dat gegevensoverdrachten met een specifiek land sterk vergemakkelijkt. Het besluit moet nog door de lidstaten worden goedgekeurd en zal zeker voor het Hof worden aangevochten.

Er zij op gewezen dat het Hof van Justitie van de EU reeds twee adequaatheidsbesluiten voor de VS nietig heeft verklaard in de zaken Schrems I en II. Het is moeilijk te zeggen hoe een "Schrems III"-zaak zal uitpakken. Voorlopig blijft de toekomst van gegevensoverdrachten onzeker.

Slotopmerkingen

Zelfde verhaal. Ander land. Hier is niets nieuws te zien, want we hebben gezien dat verschillende EU-landen tot dezelfde conclusie zijn gekomen als de Noorse autoriteiten zojuist hebben gedaan. Maar elk land dat een standpunt inneemt tegen Google Analytics versterkt de zaak voor betere gegevensbescherming. Google heeft de groeiende roep om meer privacy opgepikt door over te schakelen op GA4. GA4 lost dit probleem echter niet op.

Bij Simple Analytics hebben we de roep om meer privacy ook opgepikt, en we lossen dit probleem wel op. Wij zijn een klein en onafhankelijk team dat sterk gelooft dat het internet een plaats moet zijn waar privacy wordt gerespecteerd. Het is zeker mogelijk om de inzichten te krijgen die je nodig hebt terwijl je 100% GDPR compliant bent zonder een cookiebanner nodig te hebben. Niet overtuigd? Probeer het gerust zelf.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode