Google Analytics is niet illegaal in Canada. De recente juridische problemen van Google Analytics komen voort uit de uitspraak van Europese autoriteiten dat het gebruik van Google Analytics een schending is van de GDPR-regels voor de doorgifte van gegevens buiten Europa.
Maar aangezien meerdere EU-lidstaten het gebruik van Google Analytics onwettig hebben bevonden, is het de moeite waard om hier wat dieper te graven en het veranderende landschap te verkennen.
- Welke regels gelden voor Google Analytics in Canada?
- Kan ik persoonsgegevens doorgeven van Europa naar Canada?
- Waar gaat al die ophef over Google Analytics over?
- Privacywetgeving in Canada, in het algemeen
- Eindgedachten
Laten we erin duiken!
Welke regels gelden voor Google Analytics in Canada?
De GDPR is niet van toepassing in Canada, omdat het geen lidstaat van de Europese Unie of de Europese Economische Ruimte is. Canadese bedrijven moeten echter nog steeds voldoen aan de GDPR als ze zich richten op de Europese markt of gedragingen in de EU monitoren (dit omvat het gebruik van Google Analytics voor een website die zich richt op een Europees publiek).
Onder de Canadese wet kunnen cookies worden verwerkt op basis van expliciete of impliciete toestemming van de gebruiker. Websites zijn verplicht om een cookiemelding en een onmiddellijk opt-out mechanisme te bieden.
Kan ik persoonsgegevens doorgeven van Europa naar Canada?
De Europese Commissie heeft een adequaatheidsbesluit genomen voor Canada, waarmee het land in wezen een veilige bestemming voor gegevensoverdrachten wordt verklaard. Deze beschikking heeft alleen betrekking op commerciële organisaties; u kunt zich er niet op beroepen om persoonsgegevens door te geven aan een Canadese overheidsinstantie.
Door de beschikking van de Commissie inzake adequaatheid worden gegevensoverdrachten naar een Canadees bedrijf op dezelfde manier behandeld als bijvoorbeeld overdrachten naar een Sloveens of Nederlands bedrijf. U kunt op deze manier gegevens doorgeven zonder extra nalevingslasten.
Gelet op het feit dat de Commissie regelmatig beschikkingen inzake adequaatheid herziet. Als u van plan bent zich op een adequaatheidsbesluit te beroepen, moet u ervoor zorgen dat het nog steeds geldig is.
Waar gaat al die ophef over Google Analytics over?
De recente trend van beslissingen tegen Google Analytics maakt deel uit van een grotere juridische puzzel over gegevensoverdracht tussen de EER en de VS. De kwestie heeft niet direct betrekking op Canada, maar wel op Canadese websites die Google Analytics gebruiken, mits zij zich richten op de Europese markt en het Europese publiek. We hebben hier uitgebreid over geschreven op onze blog, dus hier is een korte versie.
De kern van de zaak is staatstoezicht. Volgens de GDPR kunnen Europese persoonsgegevens alleen veilig buiten de EER worden doorgegeven. Dit is moeilijk voor Amerikaanse gegevensoverdrachten omdat het Amerikaanse rechtskader uitgebreide en invasieve surveillance van de gegevens van buitenlandse burgers toestaat. Stel dat een Canadees bedrijf in de EU persoonsgegevens van gebruikers verzamelt met Google Analytics. In dat geval worden de gegevens overgebracht naar de VS om door Google te worden verwerkt, waardoor het risico ontstaat dat de gegevens onder toezicht van Amerikaanse instanties komen te staan.
Twee verschillende kaders voor gegevensoverdracht (Safe Harbor en Privacy Shield) tussen de EU en de VS maakten in het verleden GDPR-conforme gegevensoverdrachten mogelijk, maar beide kaders werden ongeldig verklaard door het Hof van Justitie van de EU in de zaken Schrems I en II. Een derde kader is in de maak, maar zal ongetwijfeld juridisch worden aangevochten. Met een Schrems III-arrest in het verschiet blijft de toekomst van de gegevensstromen tussen de EU en de VS onzeker.
In de tussentijd moeten bedrijven hun toevlucht nemen tot verschillende juridische instrumenten (meestal standaard contractuele clausules) om gegevens rechtmatig naar de VS door te geven onder de GDPR. Het probleem met deze instrumenten is echter dat ze geen bescherming bieden tegen overheidstoezicht. Daarom heeft het Hof van Justitie in de zaak Schrems II verduidelijkt dat zij moeten worden aangevuld met extra maatregelen ter bescherming van de persoonlijke levenssfeer wanneer gegevens naar "onveilige" landen worden verzonden. Dit is moeilijk en volstrekt onmogelijk voor de overdrachten die nodig zijn voor bepaalde clouddiensten zoals Google Analytics (we schreven hierover hier). Staatstoezicht is dus de reden dat het doorgeven van gegevens naar Canada doorgaans minder lastig is dan naar de VS, ook al geldt een adequaatheidsbesluit voor geen van beide landen.
Na het Schrems II-arrest in 2020 bleven de meeste bedrijven gewoon zaken doen met in de VS gevestigde dienstverleners. Ondertussen coördineerden de gegevensbeschermingsautoriteiten hun aanpak van gegevensoverdrachten op Europees niveau. Als gevolg daarvan hebben de Oostenrijks, Frans, Italiaans, en Hongaars hebben de gegevensbeschermingsautoriteiten zich in soortgelijke besluiten uitgesproken tegen het gebruik van Google Analytics. Ook de Deense gegevensbeschermingsautoriteit nam een streng standpunt in in een persbericht. Alle beslissingen komen praktisch neer op een verbod voor de hele staat, zoals we hier hebben uitgelegd. Andere gegevensbeschermingsautoriteiten zullen waarschijnlijk het voorbeeld volgen en een strenger standpunt over Google Analytics innemen.
Privacywetgeving in Canada, in het algemeen
Canada heeft een uitgebreid wettelijk kader voor gegevensbescherming. De Federal Privacy Act van 1983 en de Personal Information Protection and Electronic Documents Act van 2000 spelen een cruciale rol in het Canadese privacykader.
Eindgedachten
Of Google Analytics nu illegaal is in Canada of niet, het is zeker niet privacyvriendelijk voor uw websitebezoekers. In een wereld waar overheidstoezicht en monopolistisch wangedrag duidelijker zijn dan ooit, streven we naar een onafhankelijk internet.
Met Simple Analytics kunt u toch inzichten verzamelen en kansen ontdekken uit uw website analytics zonder cookies te gebruiken of persoonsgegevens te verzamelen. Wilt u zien hoe dat eruit ziet? Bekijk ons live dashboard hier.
Als dit u aanspreekt, probeer ons dan eens. Het is gratis.