Is Google Analytics illegaal in de VS?

Image of Iron Brands

Gepubliceerd op 13 jan 2023 door Iron Brands

Laten we het u voorrekenen: nee, Google Analytics is niet illegaal in de VS. De recente juridische problemen van Google Analytics komen voort uit de uitspraak van de Europese autoriteiten dat het gebruik van Google Analytics een schending is van de GDPR-regels inzake de doorgifte van gegevens buiten Europa.

Maar aangezien meerdere EU-lidstaten het gebruik van Google Analytics onwettig hebben bevonden, is het de moeite waard om hier dieper te graven en het veranderende landschap te verkennen.

  1. Welke regels gelden voor Google Analytics in de VS?
  2. Kan ik persoonsgegevens doorgeven van Europa naar de VS?
  3. Waar gaat al die ophef over Google Analytics over?
  4. Privacywetgeving in de VS, in het algemeen
  5. Eindgedachten
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Laten we erin duiken!

Welke regels gelden voor Google Analytics in de VS?

De GDPR is niet van toepassing in de VS omdat het geen lid is van de Europese Unie of de Europese Economische Ruimte. Amerikaanse bedrijven moeten echter nog steeds voldoen aan de GDPR als ze zich richten op de Europese markt of gedragingen in de EU monitoren (dit omvat het gebruik van Google Analytics voor een website die zich richt op een Europees publiek).

Aangezien de VS geen federale privacywetgeving hebben, hangen de cookieregels af van de toepasselijke wetgeving van de staten. Volgens de California Consumer Privacy Act bijvoorbeeld moeten websites bezoekers informeren over het gebruik van cookies en voorzien in een opt-out mechanisme.

Kan ik persoonsgegevens doorgeven van Europa naar de VS?

Op dit moment is er geen adequaatheidsbesluit voor de VS. Met andere woorden, de Europese Commissie heeft geen groen licht gegeven aan de VS als veilig land voor gegevensoverdracht. Dit betekent niet dat u geen persoonsgegevens naar de VS kunt doorgeven, maar het zal lastiger zijn dan het doorgeven van gegevens naar een EER-land of een land waarvoor een adequaatheidsbesluit geldt. U zult een beroep moeten doen op een van de verschillende mechanismen uit hoofdstuk V van de GDPR om uw doorgifte GDPR-conform te maken (meestal standaard contractuele clausules - SCC's).

De Amerikaanse doorgifte van gegevens is in dit opzicht bijzonder lastig. In 2013 brachten de onthullingen van Edward Snowden invasieve, grootschalige Amerikaanse surveillanceprogramma's over buitenlandse gegevens aan het licht. Het lek leidde er uiteindelijk toe dat het Hof van Justitie van de EU twee adequaatheidsbesluiten voor de VS nietig verklaarde in de baanbrekende arresten Schrems I en II. Het Hof verduidelijkte ook dat gegevensoverdrachten naar de VS alleen rechtmatig zijn wanneer de voor de verwerking verantwoordelijke doeltreffende waarborgen toepast om persoonsgegevens te beschermen, bovenop elk "basis"-nalevingsmechanisme zoals een SCC.

De invoering van dergelijke waarborgen kan voor bepaalde diensten relatief eenvoudig zijn, maar voor andere moeilijk of onmogelijk. Google Analytics is een van die diensten, en daarom hebben verschillende Europese privacywaakhonden het effectief verbannen uit de respectieve lidstaten.

Alle clouddiensten die persoonsgegevens onopvallend moeten verwerken zijn problematisch. Door dergelijke diensten te gebruiken, neemt u in feite een compliance-risico. U kunt dit risico overwegen en alternatieven evalueren die niet in de VS zijn gebaseerd (vooral Europese, aangezien u geen moeite hoeft te doen om standaardcontractbepalingen of andere Hoofdstuk V-mechanismen te implementeren).

Naar aanleiding van het recente uitvoerend bevel van VS-president Joe Biden over elektronisch toezicht heeft de Europese Commissie de procedure gestart voor het nemen van een adequaatheidsbesluit. Een adequaatheidsbesluit zal uiteindelijk vrijwel zeker worden vastgesteld, maar het zal waarschijnlijk worden aangevochten bij het Hof van Justitie. In het verleden zijn twee van dergelijke besluiten nietig verklaard, dus het is moeilijk te voorspellen hoe een "Schrems III"-arrest zal uitpakken.

Tot slot is het vermeldenswaard dat sommige Amerikaanse providers, zoals Microsoft, voorzien in datalokalisatie door gebruik te maken van in de EU gevestigde datacentra. Lokalisatie kan u helpen uw nalevingsrisico te minimaliseren, maar u moet nog steeds zorgvuldig hun gegevensbeheer evalueren en beoordelen of en onder welke voorwaarden gegevensoverdracht naar de VS mag plaatsvinden bij het verlenen van de dienst.

Waar gaat al die ophef over Google Analytics over?

De juridische puzzel rond de doorgifte van gegevens naar de VS heeft belangrijke gevolgen voor het gebruik van Google Analytics en leidde tot belangrijke beslissingen in verschillende landen. We hebben hier uitgebreid over geschreven op onze blog, dus hier is het verhaal in een notendop.

Zoals we al zeiden, maakte het Schrems II-arrest van 2020 de gegevensoverdracht tussen de EU en de VS veel moeilijker. Desondanks bleven de meeste bedrijven gewoon zaken doen met in de VS gevestigde dienstverleners. In de tussentijd diende privacy-ngo noyb 101 klachten in tegen Google Analytics en Facebook connect in een strategische poging om de Europese privacywaakhonden aan te zetten tot strengere handhaving van het Schrems II-arrest.

De gegevensbeschermingsautoriteiten coördineerden hun aanpak van de klachten op Europees niveau. Bijgevolg hebben de Oostenrijk, Frans, Italiaans, en Hongaars hebben de gegevensbeschermingsautoriteiten zich in soortgelijke besluiten uitgesproken tegen het gebruik van Google Analytics. Ook de Deense gegevensbeschermingsautoriteit nam een streng standpunt in in een persbericht. Alle besluiten komen neer op een verbod voor de hele staat, zoals we hier hebben uitgelegd.

Met de coördinatie op Europees niveau en de invloedrijke Franse en Italiaanse gegevensbeschermingsautoriteiten die de weg wijzen, zullen andere autoriteiten waarschijnlijk het voorbeeld volgen en een harder standpunt innemen over Google Analytics en gegevensoverdrachten in het algemeen.

Privacywetgeving in de VS, in het algemeen

De VS hebben geen federale privacywet, maar het Amerikaanse Congres bespreekt een federaal wetsvoorstel inzake privacywetgeving (de American Data Privacy and Protection Act). Bovendien hebben vijf staten hun eigen privacywetgeving aangenomen (Californië, Virginia, Colorado, Connecticut en Utah).

De VS hebben geen agentschap op federaal niveau voor de handhaving van privacyregels, hoewel de Federal Trade Commission soms probeert de leemte in de praktijk op te vullen.

Eindgedachten

Of Google Analytics nu illegaal is in de VS of niet, het is zeker niet privacyvriendelijk voor uw websitebezoekers. In een wereld waar overheidstoezicht en monopolistisch wangedrag duidelijker zijn dan ooit, streven we naar een onafhankelijk internet.

Met Simple Analytics kunt u toch inzichten verzamelen en kansen ontdekken uit uw website analytics zonder cookies te gebruiken of persoonsgegevens te verzamelen. Wilt u zien hoe dat eruit ziet? Bekijk ons live dashboard hier.

Als dit u aanspreekt, probeer ons dan eens. Het is gratis.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode