Is Google Analytics illegaal in het Verenigd Koninkrijk?

Image of Carlo Cilento

Gepubliceerd op 3 feb 2023 en bijgewerkt op 15 aug 2023 door Carlo Cilento

Laten we het u zeggen: nee, Google Analytics is niet illegaal in het Verenigd Koninkrijk. De recente juridische problemen van Google Analytics komen voort uit de uitspraak van de Europese autoriteiten dat het gebruik van Google Analytics een schending is van de GDPR-regels inzake de doorgifte van gegevens buiten Europa. Dit heeft geen betrekking op het VK, aangezien het niet langer een lidstaat van de Europese Unie of de Europese Economische Ruimte is.

Maar aangezien meerdere EU-lidstaten het gebruik van Google Analytics onwettig hebben bevonden, is het de moeite waard om hier wat dieper te graven en het veranderende landschap te verkennen.

  1. Welke regels gelden voor Google Analytics in het Verenigd Koninkrijk?
  2. Kan ik persoonsgegevens van Europa naar het Verenigd Koninkrijk overdragen?
  3. Waar gaat al die ophef over Google Analytics over?
  4. Privacywetgeving in het VK, in het algemeen
  5. Slotopmerkingen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Laten we erin duiken!

Welke regels gelden voor Google Analytics in het Verenigd Koninkrijk?

De cookieregels zijn precies hetzelfde als in de EU en behoorlijk streng. Volgens de Privacy and Electronic Communications Regulations (PECR) is voor cookies altijd uitdrukkelijke toestemming van de gebruiker vereist, met slechts zeer beperkte uitzonderingen die niet gelden voor marketing- en webanalysecookies. Voor Google Analytics is dus zeker toestemming nodig in het Verenigd Koninkrijk, net als in de EU.

Kan ik persoonsgegevens van Europa naar het Verenigd Koninkrijk overdragen?

De Europese Commissie heeft in 2021 een adequaatheidsbesluit voor het VK vastgesteld, waarmee het land in wezen tot een veilige bestemming voor gegevensoverdracht wordt verklaard. Door dit besluit worden gegevensoverdrachten naar een bedrijf in het Verenigd Koninkrijk op dezelfde manier behandeld als bijvoorbeeld overdrachten naar een Sloveens of Nederlands bedrijf. U kunt op deze manier gegevens doorgeven zonder de nalevingslasten die doorgaans gepaard gaan met gegevensoverdrachten buiten de EU.

De Commissie herziet periodiek de besluiten inzake adequaatheid. Als u van plan bent zich te beroepen op een adequaatheidsbesluit, zorg er dan voor dat het nog steeds geldig is.

Waar gaat al die ophef over Google Analytics over?

De recente trend van besluiten tegen Google Analytics maakt deel uit van een grotere juridische puzzel over gegevensoverdracht tussen de EER en de VS. De kwestie heeft niet direct betrekking op het VK, maar wel op websites in het VK die Google Analytics gebruiken, mits zij zich richten op de Europese markt en het Europese publiek. We hebben er uitgebreid over geschreven op onze blog, dus hier volgt een korte versie.

De kern van de zaak is overheidstoezicht. Volgens de GDPR kunnen Europese persoonsgegevens alleen veilig buiten de EER worden doorgegeven. Dit is moeilijk voor Amerikaanse gegevensoverdrachten omdat het Amerikaanse wettelijke kader uitgebreide en invasieve surveillance van de gegevens van buitenlandse burgers toestaat. Stel dat een bedrijf uit het VK in de EU persoonsgegevens van gebruikers verzamelt met Google Analytics. In dat geval worden de gegevens in de VS doorgegeven voor verwerking door Google, waardoor het risico ontstaat dat de gegevens onder toezicht van Amerikaanse instanties komen te staan.

Twee verschillende kaders voor gegevensoverdracht (Safe Harbor en Privacy Shield) tussen de EU en de VS maakten in het verleden een GDPR-conforme gegevensoverdracht mogelijk, maar beide kaders werden door het Hof van Justitie van de EU nietig verklaard in de zaken Schrems I en II. Een derde kader is in de maak, maar zal ongetwijfeld juridisch worden aangevochten. Met een Schrems III-arrest in het verschiet blijft de toekomst van de gegevensstromen tussen de EU en de VS onzeker.

Ondertussen moeten bedrijven hun toevlucht nemen tot verschillende juridische instrumenten (meestal standaardcontractbepalingen) om gegevens rechtmatig naar de VS door te geven in het kader van de GDPR. Het probleem met deze instrumenten is echter dat zij geen bescherming bieden tegen overheidstoezicht. Daarom heeft het Hof van Justitie in de zaak Schrems II verduidelijkt dat zij moeten worden aangevuld met extra privacybeschermende maatregelen wanneer gegevens naar "onveilige" landen worden verzonden. Dit is moeilijk en volstrekt onmogelijk voor de overdrachten die nodig zijn voor bepaalde clouddiensten zoals Google Analytics (we schreven er hier over).

Na het Schrems II-arrest in 2020 bleven de meeste bedrijven gewoon zaken doen met in de VS gevestigde dienstverleners. Ondertussen coördineerden de gegevensbeschermingsautoriteiten hun aanpak van gegevensoverdrachten op Europees niveau. Als gevolg daarvan oordeelden de Oostenrijkse, Franse, Italiaanse en Hongaarse gegevensbeschermingsautoriteiten in soortgelijke besluiten tegen het gebruik van Google Analytics. Ook de Deense gegevensbeschermingsautoriteit nam in een persbericht een streng standpunt in. Alle beslissingen komen praktisch neer op een verbod voor de hele staat, zoals we hier hebben uitgelegd. Andere gegevensbeschermingsautoriteiten zullen waarschijnlijk het voorbeeld volgen en een strenger standpunt over Google Analytics innemen.

Privacywetgeving in het VK, in het algemeen

Het VK is niet langer een EU-lidstaat. De Britse GDPR en de PECR (die de ePrivacy-richtlijn implementeert) zijn echter nog steeds van kracht. Daardoor is het Britse kader voor gegevensbescherming vrijwel identiek aan het Europese.

De Information Commissioner's Office (ICO) is de gegevensbeschermingsautoriteit voor het VK en oefent soortgelijke bevoegdheden uit als zijn Europese tegenhangers. De huidige commissaris is de Nieuw-Zeelander John Edwards.

(Overigens is de website van de ICO een uitstekende bron van informatie over privacywetgeving, met veel nauwkeurige, gedetailleerde en toegankelijke uitleg - waarvan de meeste ook van toepassing zijn op de GDPR en de EU-wetgeving inzake gegevensbescherming).

Slotopmerkingen

Of Google Analytics nu illegaal is in het Verenigd Koninkrijk of niet, het is zeker niet privacyvriendelijk voor uw websitebezoekers. In een wereld waar staatstoezicht en monopolistisch wangedrag duidelijker zijn dan ooit, streven we naar een onafhankelijk internet.

Met Simple Analytics kunt u toch inzichten verzamelen en kansen ontdekken uit uw website analytics zonder cookies te gebruiken of persoonlijke gegevens te verzamelen. Wilt u zien hoe dat eruit ziet? Bekijk hier ons live dashboard.

Als dit je aanspreekt, probeer ons dan eens. Het is gratis.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode