Je hebt waarschijnlijk gehoord over de juridische problemen van Google Analytics met de GDPR. Privacywaakhonden nemen een hard standpunt in over Google Analytics, marketeers in heel Europa zijn in paniek, en Google vertelt iedereen dat alles goed komt. Het internet staat vol met informatie over hoe u uw website GDPR-compliant kunt maken. Het kan allemaal verwarrend zijn, dus hier is een overzicht van wat er aan de hand is met Google Analytics.
- Hoe zit het met Google Analytics?
- Wat zeiden de beslissingen precies over Google Analytics?
- Hoe zit het met IP-anonimisering?
- Hoe zit het met Google Analytics 4?
- Hoe zit het met Google Analytics voor Firebase?
- Zal Google het probleem oplossen?
- Hoe zit het met de nieuwe overeenkomst inzake gegevensoverdracht?
- Wat kan ik doen om Google Analytics compliant te maken?
- Zijn er nog andere privacyrisico's verbonden aan Google Analytics?
- Google Analytics alternatieven
- Beslis je om bij Google Analytics te blijven?
- Slotopmerkingen
Hoe zit het met Google Analytics?
Google Analytics heeft persoonlijke gegevens nodig om te kunnen werken. Dit is hoe:
- Wanneer u toestemming geeft voor een cookiebanner, worden uw persoonsgegevens verzameld en naar Google Ierland gestuurd.
- Google Ierland stuurt de gegevens naar Google in de VS voor verwerking.
- Het moederbedrijf verricht vervolgens zijn algoritmische magie en verschaft de website inzicht in het gedrag van de gebruiker.
We hebben dus een gegevensoverdracht buiten de EU waarbij drie actoren betrokken zijn: de website, Google Ierland en Google.
De GDPR heeft strenge regels voor gegevensoverdracht vastgesteld om ervoor te zorgen dat persoonsgegevens de EU alleen veilig kunnen verlaten. Helaas kan dit niet in het geval van Google Analytics. Dit staat los van Google: het bedrijf is onderworpen aan Amerikaanse wetgeving die uitgebreide bewaking van buitenlandse gegevens toestaat, waaronder de gegevens van Europese gebruikers.
Toezicht staat centraal in de juridische kwesties rond gegevensoverdracht. De Amerikaanse toezichtwetgeving is de reden waarom het Hof van Justitie van de EU twee kaders voor gegevensoverdracht tussen de EU en de VS nietig heeft verklaard in de beroemde arresten Schrems I en II. En meer recentelijk is privacy-ngo noyb een juridische strijd begonnen tegen zowel Google Analytics als Facebook Connect over gegevensoverdrachten door 101 identieke klachten in te dienen bij een groot aantal Europese autoriteiten.
De strategie heeft tot nu toe vruchten afgeworpen. De autoriteiten coördineerden hun reactie op Europees niveau. Als gevolg daarvan hebben de toezichthoudende autoriteiten van Oostenrijk, Frankrijk, Italië en Hongarije zich allemaal tegen Google Analytics uitgesproken, en heeft Denemarken in een persbericht hetzelfde standpunt ingenomen. Met de coördinatie op Europees niveau en de invloedrijke Franse en Italiaanse autoriteiten die het voortouw nemen, zullen andere beslissingen waarschijnlijk volgen.
Wat zeiden de beslissingen precies over Google Analytics?
Veel websites en nieuwsberichten melden dat Google Analytics in bepaalde landen is verboden of illegaal verklaard. Is dit waar?
In elk besluit beval een autoriteit een specifieke website te stoppen met het gebruik van Google Analytics omdat zij vond dat de gegevensoverdracht onvoldoende waarborgen bood voor persoonsgegevens. In theorie zou een andere website sterkere waarborgen voor persoonsgegevens kunnen implementeren en Google Analytics rechtmatig en veilig kunnen gebruiken. Maar theorie is hier het sleutelwoord. In de praktijk is het voor veel diensten moeilijk en voor Google Analytics onmogelijk om waarborgen te implementeren.
Google Analytics gebruikt cookies om gebruikers te volgen. Die cookies bevatten unieke ID's om elke gebruiker te identificeren en kwalificeren als persoonsgegevens. Dus de enige manier om Google Analytics op een GDPR-conforme manier te gebruiken is het anonimiseren van die gegevens - maar dat zijn nu net de gegevens die Google Analytics het meest nodig heeft! U zou Google Analytics wettelijk kunnen gebruiken door het server-side te draaien en alle persoonsgegevens te anonimiseren, maar dat zou de prestaties van Google Analytics verlammen. Het is een dure oplossing die slechte resultaten oplevert.
Voor alle praktische doeleinden komen beslissingen tegen Google Analytics dus neer op een landelijk verbod. En we hebben al zulke beslissingen voor twee belangrijke nationale markten in de EU.
Hoe zit het met IP-anonimisering?
Universal Analytics bevat een optie om IP-adressen te anonimiseren, maar dit is niet de standaardoptie. Google Analytics 4 is in dit opzicht beter en anonimiseert IP-adressen automatisch.
Helaas maakt de IP-anonimiseringsoptie van Google Analytics Google Analytics niet GDPR-compliant. Europese autoriteiten vonden dat de IP-afschermingstechniek van Google nogal zwak is en niet voldoet aan de GDPR-normen voor anonimisering. Bovendien zijn Google Analytics-cookies nog steeds persoonsgegevens onder de GDPR, ongeacht IP-anonimisering. Dus het anonimiseren van IP-adressen lost het kernprobleem van de overdracht van persoonsgegevens niet op.
Hoe zit het met Google Analytics 4?
Is het privacy-vriendelijker dan Universal Analytics? Ja. Is het GDPR-compliant? Waarschijnlijk niet. We hebben geen beslissingen over Google Analytics 4, maar de nieuwe versie lost de cruciale juridische problemen met gegevensoverdracht niet op.
Google Analytics 4 vertoont enkele verbeteringen ten opzichte van Universal Analytics. Google Analytics 4 draait om first-party cookies, die minder invasief zijn dan third-party cookies. Bovendien is IP-anonimisering altijd ingeschakeld en wordt IP niet verzameld door Google. Maar bij nader inzien heeft Google Analytics 4 nog steeds te kampen met dezelfde nalevingsproblemen omdat het nog steeds vertrouwt op cookies, en cookies zijn persoonsgegevens. De veranderingen zijn welkom, maar lossen het juridische probleem niet op.
Hoe zit het met Google Analytics voor Firebase?
Het is een veilige gok dat Firebase met dezelfde juridische problemen kampt als Google Analytics. Net als Google Analytics gebruikt Google Analytics voor Firebase cookies met unieke identificatoren, die persoonsgegevens zijn onder de GDPR. Het verwerkt ook andere persoonsgegevens, waaronder invasieve identifiers voor mobiele apparaten. Al deze gegevens worden verwerkt op de infrastructuur van Google, omdat Google eigenaar is van Firebase.
Zal Google het probleem oplossen?
Nee,want er is geen eenvoudige oplossing. Google kan dit niet oplossen door zijn verwerkingsvoorwaarden aan te passen. Als inlichtingendiensten de gegevens opvragen, moet Google ze overhandigen volgens de Amerikaanse wetgeving.
Op dit moment is de enige oplossing de verwerking van Europese gegevens rechtstreeks naar de EU te verplaatsen, zoals Microsoft begint te doen met zijn EU Data Boundary Program. Natuurlijk is dit een dure oplossing die een stevige infrastructuur in Europa vereist. Maar Google heeft nooit een dergelijk programma aangekondigd en is waarschijnlijk niet van plan te investeren in datalokalisatie.
Hoe zit het met de nieuwe overeenkomst inzake gegevensoverdracht?
Na lange onderhandelingen zijn de VS en de EU het eens geworden over een nieuw kader voor gegevensoverdracht (het Trans Atlantic Data Privacy Framework). De Europese Commissie is bezig met de omzetting ervan in EU-wetgeving door middel van een adequaatheidsbesluit: een besluit waarbij het privacykader van een ander land wordt onderzocht en het land in wezen als een veilige bestemming voor gegevensoverdracht wordt aangemerkt.
Het adequaatheidsbesluit zal waarschijnlijk worden goedgekeurd, maar daarmee is de kous nog niet af. De Commissie kan alleen een adequaatheidsbesluit nemen als het privacykader van een land kan garanderen dat de gegevens veilig zijn. Zij kan geen adequaatheidsbesluit nemen voor de VS alleen omdat zij hen mag of omdat Europa zijn dienstverleners hard nodig heeft. Het nieuwe adequaatheidsbesluit zal zeker worden aangevochten bij het Hof van Justitie van de EU omdat de Amerikaanse wetgeving geen voldoende beschermingsniveau voor Europese gegevens biedt.
Het Hof heeft om die reden al twee kaders voor gegevensoverdracht ongeldig verklaard en zou dat in de komende zaak Schrems III opnieuw kunnen doen. Het nieuwe kader is complex en het is moeilijk te zeggen hoe het zal uitpakken, maar voorlopig blijft de toekomst van gegevensoverdrachten onzeker.
Wat kan ik doen om Google Analytics compliant te maken?
U kunt niet echt iets doen om persoonlijke gegevens te beschermen tegen toezicht door de VS. Of u stapt over op een andere tool voor webanalyse of u accepteert een zeker nalevingsrisico.
Zijn er nog andere privacyrisico's verbonden aan Google Analytics?
Meer dan we kunnen tellen. Google is een van de minst privacy-vriendelijke bedrijven die er zijn. Het verdient een fortuin met het volgen van internetgebruikers, het verzamelen van enorme hoeveelheden persoonlijke gegevens over hen en het opstellen van gedragsprofielen voor gerichte reclame.
Google Analytics is een cruciaal onderdeel van Google's bedrijf, maar het is niet de enige manier waarop het gegevens verzamelt. Populaire diensten zoals Zoeken, Kaarten en Youtube voorzien Google van enorme hoeveelheden gegevens. Elke via Gmail verzonden of ontvangen e-mail wordt verwerkt voor profilering, en gebruikers die via hun browser inloggen op hun Gmail-account worden gevolgd op verschillende websites. Zelfs Android volgt gebruikers. Deze onvoorstelbare hoeveelheid persoonlijke gegevens wordt samengevoegd en gebruikt voor profilering en voorspelling om nog meer persoonlijke gegevens af te leiden zonder dat die verzameld hoeven te worden.
Natuurlijk zweert Google dat het uw privacy serieus neemt en belooft het dat het eraan werkt om u in de toekomst steeds meer privacy te bieden. Maar dingen zullen niet veranderen, want de inbreuk op uw privacy is geen neveneffect van hun bedrijfsmodel - het is hun bedrijfsmodel.
Google Analytics alternatieven
U kunt bij Google Analytics blijven en hopen dat u niet in de problemen komt, of u kunt overstappen op een privacy-vriendelijk, in de EU gebaseerd alternatief zoals Simple Analytics (Ja, ik weet dat wij dat zijn).
Wij zijn zeker niet de enigen in deze ruimte.Er zijn veel alternatieven voor Google Analytics, zoals Matomo, Pirsch & Fathom. Ze zijn allemaal privacy-vriendelijker dan Google.
Hetzelfde geldt voor ons (Simple Analytics). We hebben Simple Analytics ontworpen op een manier die alle inzichten biedt die je nodig hebt zonder ook maar enige persoonlijke gegevens te verzamelen. Dit maakt onze tool 100% compliant met elke privacy regelgeving, inclusief de GDPR. We zijn gevestigd in Nederland en geven geen gegevens door buiten de EU. Ook kunt u uw historische gegevens uit Google Analytics importeren! Als dit je goed in de oren klinkt, neem dan gerust een kijkje bij ons!
Beslis je om bij Google Analytics te blijven?
Als u besluit bij Google Analytics te blijven, ziet het er niet goed uit. Universal Analytics wordt tegen 2024 uitgefaseerd, dus als je het gebruikt, moet je zo snel mogelijk overstappen naar Google Analytics 4. U zult daarbij uw historische gegevens van Universal Analytics verliezen, omdat Google Analytics 4 geen importfunctie biedt voor de meeste gegevens die door Universal Analytics worden verzameld (Simple Analytics wel).
Om het risico te minimaliseren moet uw website een duidelijk, uitgebreid cookiebeleid bevatten. Dit is gemakkelijker gezegd dan gedaan. Een goed cookiebeleid moet veel informatie geven en tegelijkertijd kort en leesbaar zijn. We hebben enkele suggesties op onze blog, maar u moet natuurlijk iets vinden dat voor u werkt en rekening houdt met de gegevens die u verzamelt en het beleid dat u voert.
Ten slotte moet u voorzichtig zijn met uw cookiebanners. Er zijn tekenen van een mogelijke EU-brede aanpak van niet-conforme cookiebanners(we schreven hierover op onze blog). Zorg ervoor dat uw cookiebanners transparant zijn en presenteer gebruikers een zichtbare en gemakkelijk toegankelijke knop "alles weigeren" (of een duidelijk geformuleerde optie in die zin). Dit zal er waarschijnlijk toe leiden dat meer gebruikers cookies weigeren en de prestaties van Google Analytics op uw website beïnvloeden. Mensen worden niet graag gevolgd en zullen vaak "nee bedankt" zeggen als ze een transparante keuze krijgen.
Slotopmerkingen
Google Analytics is een compliance risico voor uw bedrijf (ethiek daargelaten). In theorie is het nog steeds discutabel of het al dan niet als illegaal wordt beschouwd in de EU, maar Google Analytics blijven gebruiken (zelfs GA4) is een risico. Zelfs als u besluit dit risico te nemen, moet u ervoor zorgen dat uw cookiebanners 100% conform zijn. U hebt een goed cookiebeleid nodig, wat gemakkelijker gezegd dan gedaan is. Bovendien moet u zich vertrouwd maken met Google Analytics 4 en daar zo snel mogelijk op overstappen, omdat Google Universal Analytics opheft.
U kunt er ook voor kiezen om Google Analytics helemaal te dumpen. Meerdere tools bieden de inzichten die u nodig hebt om de prestaties van uw website te volgen, zonder dat u risico's loopt op het gebied van compliance. Google Analytics verwijderen en overstappen op een privacy-vriendelijke oplossing zonder historische gegevens te verliezen is eenvoudig, omdat velen (zoals wij) een Google Analytics-importeur hebben.
De keuze is aan u!