Privacy NGO noyb heeft klachten ingediend tegen vier Nederlandse websites, met de klacht dat Google Analytics niet GDPR compliant is.
De klachten zijn nog niet beslist. Maar vier Europese gegevensbeschermingsautoriteiten hebben zich al uitgesproken tegen het gebruik van Google Analytics in soortgelijke klachten van noyb en een andere (de Deense Datatilsynet) heeft in een persbericht Google Analytics praktisch verboden in Denemarken. Deze autoriteiten volgen een gecoördineerde aanpak, dus andere EER- en EU-landen, zoals Nederland, kunnen volgen.
Verder heeft de Autoriteit Persoonsgegevens in een persbericht van januari 2022 aangekondigd dat zij een onderzoek instelt naar het gebruik van Google Analytics, dus we kunnen op enig moment een besluit verwachten.
- Moet ik me zorgen maken over de GDPR in Nederland?
- Wat is de Nederlandse privacywetgeving?
- Waar gaat al die GDPR ophef over?
- Eindgedachten
Laten we erin duiken!
Moet ik me zorgen maken over de GDPR in Nederland?
Nederland is een lidstaat van de Europese Unie, dus de GDPR is van toepassing op alle gegevensverwerkingsactiviteiten van Nederlandse bedrijven.
De GDPR geldt ook voor elke dienst die gericht is op de Nederlandse markt. Bovendien, als de doelgroep van uw website Nederland omvat en u Google Analytics gebruikt, geldt deze ook voor u.
Maar er is een addertje onder het gras: het geldt alleen als u persoonsgegevens verwerkt. Met privacyvriendelijke analysetools zoals Simple Analytics kunt u waardevolle inzichten krijgen zonder persoonsgegevens te verwerken. Op deze manier moet u wel voldoen aan de GDPR omdat deze niet van toepassing is op de gegevens die u in eerste instantie verwerkt.
Wat is de Nederlandse privacywetgeving?
Naast de GDPR heeft Nederland zijn eigen privacywetgeving, waaronder de Uitvoeringswet GDPR. De privacywetgeving wordt gehandhaafd door de Nederlandse DPA (Autoriteit Persoonsgegevens).
Nederland valt ook onder artikel 7 en 8 van het Handvest van de grondrechten van de Europese Unie, die de privacy beschermen en een recht op bescherming van persoonsgegevens toekennen.
Nederland is ook lid van de Raad van Europa. Als zodanig heeft Nederland het Europees Verdrag tot bescherming van de rechten van de mens geratificeerd, dat het privéleven en de correspondentie beschermt. Nederland heeft ook Verdrag 108 van de Raad van Europa geratificeerd, de enige bindende internationale overeenkomst over gegevensbescherming.
Waar gaat al die GDPR ophef over?
De recente trend van beslissingen tegen Google Analytics maakt deel uit van een grotere juridische puzzel over gegevensoverdracht tussen de EER en de VS. Dit is dus veel groter dan individuele landen zoals Nederland, en het is ook groter dan Google Analytics. We hebben er al uitgebreid over geschreven op onze blog, dus hier is een korte versie.
De kern van de zaak is staatstoezicht. Onder de GDPR kunnen Europese persoonsgegevens alleen veilig buiten de EER worden doorgegeven. Dit is moeilijk voor Amerikaanse gegevensoverdrachten omdat het Amerikaanse wettelijke kader uitgebreide en invasieve surveillance toestaat over de gegevens van buitenlandse burgers, waaronder Nederlandse burgers.
Twee kaders voor gegevensoverdracht (Safe Harbor en Privacy Shield) tussen de EU en de VS maakten in het verleden GDPR-conforme gegevensoverdrachten mogelijk, maar beide kaders werden ongeldig gemaakt door het Hof van Justitie van de EU in de zaken Schrems I en II. Een derde kader is in de maak, maar zal zeker juridisch worden aangevochten. Met een Schrems III arrest in het verschiet blijft de toekomst van de EU-VS gegevensstromen onzeker.
In de tussentijd moeten Nederlandse bedrijven hun toevlucht nemen tot verschillende juridische instrumenten (meestal standaard contractuele clausules) om gegevens rechtmatig naar de VS door te geven onder de GDPR. Het probleem met deze instrumenten is echter dat ze geen bescherming bieden tegen overheidstoezicht. Daarom is in het arrest Schrem II verduidelijkt dat zij moeten worden aangevuld met extra privacybeschermende maatregelen wanneer gegevens naar "onveilige" landen, waaronder de VS, worden verzonden. Dit is moeilijk en volstrekt onmogelijk voor de overdrachten die nodig zijn voor bepaalde clouddiensten zoals Google Analytics (we schreven hierover hier).
Na het Schrems II-arrest in 2020 bleven de meeste bedrijven gewoon zaken doen met in de VS gevestigde dienstverleners. In de tussentijd diende NGO noyb 101 klachten in over gegevensoverdrachten tegen Europese websites die Google Analytics en Facebook Connect gebruiken om de autoriteiten aan te zetten tot een striktere handhaving van het Schrems II-arrest.
De gegevensbeschermingsautoriteiten coördineerden hun aanpak op Europees niveau om de klachten coherent te behandelen. Bijgevolg hebben de Oostenrijks, Frans, Italiaans, en Hongaars De gegevensbeschermingsautoriteiten hebben zich in zeer vergelijkbare besluiten uitgesproken tegen het gebruik van Google Analytics, en de Deense gegevensbeschermingsautoriteit heeft in wezen hetzelfde gedaan in een persbericht. Hoewel de beslissingen betrekking hebben op een individuele controller, vormen ze allemaal een precedent dat praktisch neerkomt op een verbod voor de hele staat, zoals we hier hebben uitgelegd. Het aangekondigde besluit van de Autoriteit Persoonsgegevens kan een soortgelijk precedent scheppen voor Nederland.
Met de coördinatie op Europees niveau en de invloedrijke Franse en Italiaanse autoriteiten die het voortouw nemen, zullen andere gegevensbeschermingsautoriteiten waarschijnlijk het voorbeeld volgen en een harder standpunt innemen over Google Analytics.
Eindgedachten
Gelukkig zijn er alternatieven voor Google Analytics die geen persoonsgegevens verzamelen en 100% GDPR-compliant zijn. Simple Analytics is daar één van. Wij vinden dat je geen cookies hoeft te gebruiken of persoonlijke gegevens hoeft te verzamelen om inzicht te krijgen in de prestaties van je website.
Het verzamelen van bruikbare inzichten en het identificeren van kansen uit website analytics is mogelijk zonder het volgen van individuele websitebezoekers. Wilt u zien hoe dat eruit ziet? Bekijk ons live dashboard hier.
Wij geloven erin om het internet een veiligere plaats te maken die vriendelijk is voor websitebezoekers. Als dit u aanspreekt, aarzel dan niet geef ons een kans