Is Google Analytics illegaal in Australië?

Image of Carlo Cilento

Gepubliceerd op 3 feb 2023 en bijgewerkt op 15 aug 2023 door Carlo Cilento

Laten we het u zeggen: nee, Google Analytics is niet illegaal in Australië. De recente juridische problemen van Google Analytics komen voort uit de uitspraak van de Europese autoriteiten dat het gebruik van Google Analytics een schending is van de GDPR-regels voor de doorgifte van gegevens buiten Europa.

Maar aangezien meerdere EU-lidstaten het gebruik van Google Analytics onwettig hebben bevonden, is het de moeite waard om hier wat dieper te graven en het veranderende landschap te verkennen.

  1. Welke regels gelden voor Google Analytics in Australië?
  2. Kan ik persoonsgegevens doorgeven van Europa naar Australië?
  3. Waar gaat al die ophef over Google Analytics over?
  4. Privacywetgeving in Australië, in het algemeen
  5. Slotopmerkingen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Laten we erin duiken!

Welke regels gelden voor Google Analytics in Australië?

De GDPR is niet van toepassing in Australië, aangezien het geen lidstaat van de Europese Unie of de Europese Economische Ruimte is. Australische bedrijven moeten echter wel voldoen aan de GDPR als ze zich richten op de Europese markt of het gedrag van gebruikers in de EU monitoren**(waaronder het gebruik van Google Analytics voor een website die zich richt op een Europees publiek**).

De Australische wet verplicht websites de gebruiker te informeren over het gebruik van cookies. Expliciete toestemming is echter niet vereist. Dit betekent dat Google Analytics kan worden toegepast zonder de toestemming van de gebruiker te vragen.

Kan ik persoonsgegevens doorgeven van Europa naar Australië?

De Europese Commissie heeft geen adequaatheidsbesluit genomen voor Australië. Dit betekent dat het land geen "groen licht" heeft gekregen als veilige bestemming voor gegevensoverdrachten.

Doorgifte van gegevens naar Australië is nog steeds mogelijk, maar is lastiger in vergelijking met landen waarvoor een adequaatheidsbesluit is genomen. Voor doorgifte naar Australië moet een van de verschillende juridische mechanismen van hoofdstuk V van de GDPR worden toegepast (de meest voorkomende zijn de modelcontractbepalingen van de Europese Commissie, die in een contract met de ontvanger moeten worden opgenomen). Er moet ook een effectbeoordeling van gegevensoverdracht (DTIA) worden uitgevoerd.

Waar gaat al die ophef over Google Analytics over?

De recente trend van beslissingen tegen Google Analytics maakt deel uit van een grotere juridische puzzel over de doorgifte van gegevens tussen de EER en de VS. De kwestie heeft niet direct betrekking op Australië, maar wel op Australische websites die Google Analytics gebruiken, mits zij zich richten op de Europese markt en het Europese publiek. We hebben er uitgebreid over geschreven op onze blog, dus hier volgt een korte versie.

De kern van de zaak is overheidstoezicht. Volgens de GDPR kunnen Europese persoonsgegevens alleen veilig buiten de EER worden doorgegeven. Dit is moeilijk voor Amerikaanse gegevensoverdrachten omdat het Amerikaanse wettelijke kader uitgebreide en invasieve surveillance van de gegevens van buitenlandse burgers toestaat. Stel dat een Australisch bedrijf in de EU persoonsgegevens van gebruikers verzamelt met Google Analytics. In dat geval worden de gegevens voor verwerking door Google doorgegeven aan de VS, waardoor het risico ontstaat dat de gegevens onder toezicht komen te staan van Amerikaanse instanties.

Twee verschillende kaders voor gegevensoverdracht (Safe Harbor en Privacy Shield) tussen de EU en de VS maakten in het verleden een GDPR-conforme gegevensoverdracht mogelijk, maar beide kaders werden door het Hof van Justitie van de EU nietig verklaard in de zaken Schrems I en II. Een derde kader is in de maak, maar zal ongetwijfeld juridisch worden aangevochten. Met een Schrems III-arrest in het verschiet blijft de toekomst van de gegevensstromen tussen de EU en de VS onzeker.

In de tussentijd moeten bedrijven hun toevlucht nemen tot verschillende juridische instrumenten (meestal standaardcontractbepalingen) om gegevens rechtmatig naar de VS door te geven op grond van de GDPR. Het probleem met deze instrumenten is echter dat zij geen bescherming bieden tegen overheidstoezicht. Daarom heeft het Hof van Justitie in de zaak Schrems II verduidelijkt dat zij moeten worden aangevuld met extra privacybeschermende maatregelen wanneer gegevens naar "onveilige" landen worden verzonden. Dit is moeilijk en volstrekt onmogelijk voor de overdrachten die nodig zijn voor bepaalde clouddiensten zoals Google Analytics (we schreven er hier over).

Na het Schrems II-arrest in 2020 bleven de meeste bedrijven gewoon zaken doen met in de VS gevestigde dienstverleners. Ondertussen coördineerden de gegevensbeschermingsautoriteiten hun aanpak van gegevensoverdrachten op Europees niveau. Als gevolg daarvan oordeelden de Oostenrijkse, Franse, Italiaanse en Hongaarse gegevensbeschermingsautoriteiten in soortgelijke besluiten tegen het gebruik van Google Analytics. Ook de Deense gegevensbeschermingsautoriteit nam in een persbericht een streng standpunt in. Alle beslissingen komen praktisch neer op een verbod voor de hele staat, zoals we hier hebben uitgelegd. Andere gegevensbeschermingsautoriteiten zullen waarschijnlijk het voorbeeld volgen en een strenger standpunt over Google Analytics innemen.

Privacywetgeving in Australië, in het algemeen

Op federaal niveau is de belangrijkste privacywet van Australië de Privacy Act van 1988. Deze wet wordt aangevuld door wetgeving van de deelstaten en door andere wetten die specifieke sectoren regelen, zoals de financiële diensten. De Australische Information Commissioner is de onafhankelijke gegevensbeschermingsautoriteit van het land en speelt een belangrijke rol bij de handhaving van de privacywetgeving.

Er zij op gewezen dat het Australische recht privacyschending niet erkent als een onrechtmatige daad (d.w.z. als een specifieke oorzaak of soort privaatrechtelijke actie). Daarom kan het afdwingen van privacyrechten in Australië ingewikkelder zijn dan in andere common law-landen zoals de VS en het VK.

Slotopmerkingen

Of Google Analytics nu illegaal is in Australië of niet, het is zeker niet privacyvriendelijk voor uw websitebezoekers. In een wereld waar overheidstoezicht en monopolistisch wangedrag duidelijker zijn dan ooit, streven we naar een onafhankelijk internet.

Met Simple Analytics kunt u toch inzichten verzamelen en kansen ontdekken uit uw website analytics zonder cookies te gebruiken of persoonlijke gegevens te verzamelen. Wilt u zien hoe dat eruit ziet? Bekijk hier ons live dashboard.

Als dit je aanspreekt, probeer ons dan eens. Het is gratis.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode