Het gebruik van Google Analytics is binnenkort mogelijk niet meer toegestaan. Daarvoor waarschuwt de Autoriteit Persoonsgegevens (AP), naar aanleiding van een onderzoek van de Oostenrijkse privacytoezichthouder naar het gebruik van Google Analytics door een Oostenrijkse website. Het gebruik van Google Analytics blijkt volgens de Oostenrijkse toezichthouder niet aan de AVG te voldoen.
Doorgifte naar de VS
Op 16 juli 2020 verklaarde het Europese Hof het EU-VS privacy shield ongeldig, omdat de Amerikaanse overheid persoonsgegevens onvoldoende beschermt. Daardoor mogen bedrijven niet zomaar persoonsgegevens meer doorgeven vanuit de EU naar de VS. Een doorgifte van persoonsgegevens mag alleen plaatsvinden indien daarvoor passende waarborgen zijn geboden. Bijvoorbeeld door gebruik te maken van een modelcontract dat is goedgekeurd door de Europese Commissie: Standard Contractual Clauses (SCC).
Naast gebruikmaking van de SCC, moet het betreffende derde land een gelijkwaardig beschermingsniveau kennen. Dit is niet het geval indien de ontvanger in het derde land zijn verplichtingen uit de SCC niet kan nakomen als gevolg van wetgeving van het derde land. Het gaat hier ook om wetgeving die de ontvanger verplicht om persoonsgegevens te verstrekken aan overheidsautoriteiten. Of wetgeving die toegang door overheidsinstanties toestaat.
Alleen het sluiten van de SCC is dus niet voldoende. Bedrijven die persoonsgegevens doorgeven naar landen buiten de EU, moeten per doorgifte een risicoanalyse uitvoeren. Dit wordt ook wel een Data Transfer Impact Assessment genoemd. Als dan blijkt dat de wetgeving van het derde land onvoldoende bescherming biedt, zijn aanvullende maatregelen nodig.
Doorgifte Google Analytics voldoet niet aan AVG
Op basis van het onderzoek, concludeert de Oostenrijkse toezichthouder dat het gebruik van Google Analytics niet aan de AVG voldoet. Bij het gebruik worden persoonsgegevens van Oostenrijkse gebruikers, zoals IP-adressen, naar Google in de Verenigde Staten gestuurd. De SCC die gebruikt werden voor de doorgifte van persoonsgegevens naar de VS bieden onvoldoende bescherming. Dat komt omdat Google onderworpen is aan toezicht van de Amerikaanse inlichtingendiensten.
Google heeft aangegeven dat zij voldoende technische en organisatorische maatregelen heeft getroffen om de AVG na te kunnen leven, zoals versleuteling van gebruikersgegevens. Maar volgens de toezichthouder zijn de getroffen maatregelen niet effectief voor het voorkomen van toegang en inzage door Amerikaanse inlichtingendiensten.
Google Analytics privacyvriendelijk instellen
Voor het plaatsen van tracking cookies en cookies voor remarketing is toestemming van websitebezoekers nodig. Toestemming voor het plaatsen van analytische cookies is niet nodig. Mits die cookies alleen dienen om bezoekers te tellen en de gegevens niet (ook) worden gebruikt om mensen anders te behandelen. Vraagt uw website geen toestemming voor het plaatsen van Google Analytics? Doorloop dan de zes stappen in de handleiding van de AP om Google Analytics privacyvriendelijk in te stellen.
Als de website ook advertenties met Google DoubleClick- en/of AdWords en/of AdSense-diensten toont, dan combineert Google de gegevens van de analytic-cookies met de advertentiegegevens. De cookies zijn op dat moment tracking cookies. Voor deze gegevensverwerking is wel toestemming wo van websitebezoekers vereist. Het doorlopen van de zes stappen om Google Analytics privacyvriendelijk in te stellen is dan niet voldoende om in overeenstemming te handelen met de AVG.
Hoe nu verder?
De AP onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics is toegestaan. De AP heeft in haar handleiding inmiddels de waarschuwing opgenomen dat het gebruik van Google Analytics mogelijk binnenkort niet is toegestaan. Als de AP het standpunt van de Oostenrijkse toezichthouder overneemt, zijn er nog altijd de Europese alternatieven voor het genereren van websitestatistieken.