Is Google Analytics illegaal in Ierland?

Image of Iron Brands

Gepubliceerd op 13 jan 2023 en bijgewerkt op 3 feb 2023 door Iron Brands

Dit artikel is automatisch vertaald. Ga naar de Engelse versie voor het origineel.

Privacy NGO noyb heeft klachten ingediend tegen drie Ierse websites, met de klacht dat het gebruik van Google Analytics niet GDPR-conform is.

De klachten zijn nog niet beslist. Maar vier Europese gegevensbeschermingsautoriteiten hebben zich al uitgesproken tegen het gebruik van Google Analytics in soortgelijke klachten van noyb en een andere (het Deense Datatilsynet) heeft Google Analytics in een persbericht praktisch verboden in Denemarken. Deze autoriteiten volgen een gecoördineerde aanpak, dus andere EER- en EU-landen, zoals Ierland, kunnen volgen.

Bovendien heeft de Ierse gegevensbeschermingsautoriteit (DPC) een besluit opgesteld om de doorgifte van gegevens voor Meta te onderbreken en in oktober 2022 voorgelegd aan het Europees Comité voor gegevensbescherming. De kernpunten van de zaak zijn in wezen dezelfde als die van de klachten van noyb tegen Google Analytics. Mocht het College de beslissing van de DPC bekrachtigen, dan zou de zaak een belangrijk precedent scheppen op Europees niveau, zeker in Ierland. Een dergelijk precedent zou verstrekkende gevolgen hebben voor de hele EU, aangezien veel multinationale techgiganten Europese hoofdkantoren of dochterondernemingen hebben in de Republiek Ierland.

  1. Moet ik me zorgen maken over de GDPR in Ierland?
  2. Wat is de Ierse privacywetgeving?
  3. Waar gaat al die GDPR ophef over?
  4. Eindgedachten
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Laat ons erin duiken!

Moet ik me zorgen maken over de GDPR in Ierland?

De Republiek Ierland is een lidstaat van de Europese Unie, dus de GDPR is van toepassing op alle gegevensverwerkingsactiviteiten van Ierse bedrijven.

De GDPR geldt ook voor elke dienst die gericht is op de Ierse markt. Bovendien, als de doelgroep van uw website Ierland omvat en u Google Analytics gebruikt, is ze ook op u van toepassing.

Maar er zit een addertje onder het gras: het geldt alleen als u persoonsgegevens verwerkt. Met privacyvriendelijke analysetools zoals Simple Analytics kunt u waardevolle inzichten krijgen zonder persoonsgegevens te verwerken. Op deze manier hoeft u niet te voldoen aan de GDPR omdat deze niet van toepassing is op de gegevens die u in eerste instantie verwerkt.

Wat is de Ierse privacywetgeving?

Het belangrijkste kader voor gegevensbescherming is de GDPR van de Europese Unie. De Republiek heeft ook haar eigen privacywetgeving, waaronder de 2018 Data Protection Act, die de GDPR implementeert. De Data Protection Commission en de Ierse rechtbanken handhaven deze wetgeving.

De Republiek Ierland valt ook onder de artikelen 7 en 8 van het EU-Handvest van de grondrechten, dat de privacy en gegevensbescherming beschermt.

De Republiek Ierland is ook een lidstaat van de Raad van Europa. Als zodanig heeft de Republiek Ierland het Europees Verdrag tot bescherming van de rechten van de mens geratificeerd, dat het privéleven en de correspondentie beschermt. Ierland heeft ook Verdrag 108 van de Raad van Europa geratificeerd, de enige bindende internationale overeenkomst over gegevensbescherming tot nu toe.

Waar gaat al die GDPR ophef over?

De recente trend van beslissingen tegen Google Analytics maakt deel uit van een grotere juridische puzzel over gegevensoverdracht tussen de EER en de VS. Dit is dus veel groter dan individuele landen zoals de Republiek Ierland, en het is ook groter dan Google Analytics. We hebben er al uitgebreid over geschreven op onze blog, dus hier is een korte versie.

De kern van de zaak is staatstoezicht. Volgens de GDPR kunnen Europese persoonsgegevens alleen buiten de EER worden doorgegeven als dat veilig gebeurt. Dit is moeilijk voor Amerikaanse gegevensoverdrachten omdat het Amerikaanse wettelijke kader uitgebreide en invasieve surveillance toestaat over de gegevens van buitenlandse burgers, waaronder Ierse] burgers.

Twee kaders voor gegevensoverdracht (Safe Harbor en Privacy Shield) tussen de EU en de VS maakten in het verleden GDPR-conforme gegevensoverdrachten mogelijk, maar beide kaders werden ongeldig verklaard door het Hof van Justitie van de EU in de zaken Schrems I en II. Een derde kader is in de maak, maar zal zeker juridisch worden aangevochten. Met een Schrems III-arrest in het verschiet blijft de toekomst van de gegevensstromen tussen de EU en de VS onzeker.

In de tussentijd moeten Ierse bedrijven en Europese bedrijven in het algemeen hun toevlucht nemen tot verschillende juridische instrumenten (meestal standaard contractuele clausules) om gegevens rechtmatig naar de VS door te geven onder de GDPR. Het probleem met deze instrumenten is echter dat ze geen bescherming bieden tegen staatstoezicht. Daarom heeft het Hof van Justitie in de zaak Schrems II verduidelijkt dat zij moeten worden aangevuld met extra privacybeschermende maatregelen wanneer gegevens naar "onveilige" landen worden verzonden. Dit is moeilijk en volstrekt onmogelijk voor de overdrachten die nodig zijn voor bepaalde clouddiensten zoals Google Analytics (we schreven hierover hier).

Na het Schrems II-arrest in 2020 bleven de meeste bedrijven gewoon zaken doen met in de VS gevestigde dienstverleners. In de tussentijd diende NGO noyb 101 klachten in over gegevensoverdrachten tegen Europese websites die Google Analytics en Facebook Connect gebruiken om de autoriteiten aan te zetten tot een striktere handhaving van het Schrems II-arrest.

De gegevensbeschermingsautoriteiten coördineerden hun aanpak op Europees niveau om de klachten coherent te behandelen. Bijgevolg hebben de Oostenrijks, Frans, Italiaans, en Hongaars De gegevensbeschermingsautoriteiten hebben zich in zeer vergelijkbare besluiten uitgesproken tegen het gebruik van Google Analytics, en de Deense gegevensbeschermingsautoriteit heeft in wezen hetzelfde gedaan in een persbericht. Hoewel de beslissingen betrekking hebben op een individuele controller, vormen ze allemaal een precedent dat praktisch neerkomt op een verbod voor de hele staat, zoals we hier hebben uitgelegd. Mocht de DPC hetzelfde doen, dan zou haar beslissing een soortgelijk precedent scheppen voor Ierland. Hetzelfde zal waarschijnlijk gebeuren als de EDPB het ontwerp-besluit van de DPC tegen Meta bekrachtigt.

Eindgedachten

Gelukkig zijn er alternatieven voor Google Analytics die geen persoonsgegevens verzamelen en 100% GDPR-compliant zijn. Simple Analytics is daar één van. Wij vinden dat je geen cookies hoeft te gebruiken of persoonsgegevens hoeft te verzamelen om inzicht te krijgen in de prestaties van je website.

Zonder het volgen van individuele websitebezoekers is het verzamelen van bruikbare inzichten en het identificeren van kansen uit website analytics mogelijk. Wilt u zien hoe dat eruit ziet? Bekijk ons live dashboard hier.

Wij geloven erin om het internet een veiligere plaats te maken die vriendelijk is voor websitebezoekers. Als dit resoneert met u, voel u dan vrij om geef ons een poging.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode