Gebruikt u Google Analytics? Dit is waarschijnlijk in strijd met de Europese privacyregels (AVG)

Welke ondernemer gebruikt het niet? Google Analytics, de dienst van Google om statistieken van een website te kunnen verzamelen om meer inzicht te krijgen in de bezoekersstromen en welke pagina’s worden bezocht. Het gebruik van Google Analytics is mogelijk op korte termijn niet meer toegestaan in Nederland (en de rest van Europa). In Oostenrijk is dat al het geval. Recentelijk heeft de Oostenrijkse privacy toezichthouder namelijk al geoordeeld dat het gebruik van Google Analytics verboden is. Het gebruik hiervan zou in strijd zijn met de Europese Algemene Verordening Gegevensbescherming (AVG). Een wet die overal in ieder Europees land op een gelijke manier moet worden toegepast.

Van welke schending is er sprake?

Die schending komt simpelweg omdat Google bij uw gebruik van Google Analytics de via uw website verzamelde persoonsgegevens naar de Verenigde Staten (VS) verstuurt. Daaronder vallen de gebruikersidentificatie, IP-adressen en browserparameters.

Sommige bedrijven menen dit te kunnen omzeilen door afspraken daarover te maken middels de door de Europese waakhond opgestelde norm van de Standard Contractual Clauses (SCC) bij de doorgifte van persoonsgegevens. Echter, die afspraken kunnen ook niet voorkomen dat de persoonsgegevens toch worden doorgegeven door Google aan de Amerikaanse inlichtingendienst als zij daar om vragen. Google is in de VS namelijk onderworpen aan het toezicht van de Amerikaanse inlichtingendienst, o.a. door de Cloudact.

Nederlandse AP heeft waarschijnlijk verkeerd geadviseerd

De Autoriteit Persoonsgegevens (AP) heeft eerder een handleiding geplaatst op hun website over hoe Google Analytics toch privacy vriendelijk kan worden gebruikt. Dit door o.a. de gegevens zoveel mogelijk te aggregeren (gegevens te ontdoen van persoonlijke aspecten en op een hoop te gooien voor statistische doeleinden). Daar heeft de Oostenrijkse privacy toezichthouder ook bij stil gestaan, maar deze is tot de conclusie gekomen dat ook bij een privacy vriendelijke inrichting van Google Analytics toch nog steeds sprake is van persoonsgegevens en niet van geanonimiseerde gegevens. De gegevens die worden doorgegeven aan de VS zijn immers nog steeds herleidbaar tot een persoon. Indien de gegevens echt anoniem waren gemaakt (dan zijn de gegevens onomkeerbaar ontdaan van de persoonskenmerken), had het wel gekund.

Waarschuwing AP nu op de website

De uitspraak van de Oostenrijkse privacy toezichthouder is in elk geval voldoende reden geweest voor de AP in Nederland om een waarschuwing te plaatsen dat het gebruik van Google Analytics mogelijk binnenkort niet meer is toegestaan. Zij geven aan momenteel een onderzoek uit te voeren naar aanleiding van een tweetal klachten over het gebruik van Google Analytics in Nederland. Verwacht wordt dat het gebruik van Google Analytics ook door de AP en ook door andere Europese privacy toezichthouders verboden zal worden.

Het onderzoek van de AP bevindt zich in de afrondende fase, zegt een woordvoerder van de AP. Ook geeft de woordvoerder aan dat organisaties zelf verantwoordelijk zijn om bij te houden of hun producten aan de privacywet voldoen.

Tussentijdse actie van Google zelf

Google geeft nu op hun website aan dat gebruikers zelf kunnen instellen welke data wordt verstuurd. Google geeft aan dat gebruikers kunnen uitschakelen dat IP-adressen van gebruikers worden gedeeld met Amerikaanse servers. Dat lijkt voorlopig nu de beste oplossing.

Conclusie

Het is als ondernemer van belang om in ieder geval op korte termijn te controleren hoe Google Analytics is ingesteld. Dit om datalekken naar de VS te voorkomen. Verder is het van belang om alvast stil te staan bij de inhoud van de privacyverklaring van uw organisatie, voor het moment dat het gebruik van Google Analytics expliciet in Nederland wordt verboden door de AP.

Heeft u vragen over de AVG compliance van uw bedrijf, bijv. hoe de privacyverklaring inhoudelijk moet worden vormgegeven? The Legal Company kan u daarmee snel en gemakkelijk helpen.

De ondernemingsjuristen van The Legal Company zijn gespecialiseerd in het privacyrecht. Voor ondersteuning of advies kunt u contact met ons opnemen door te mailen naar info@thelegalcompany.nl, te bellen naar 020-3450152 of ons contactformulier in te vullen. We bellen of mailen u dan binnen 24 uur terug.

Wilt u op de hoogte blijven van dit onderwerp en van alle andere relevante actualiteiten voor het bedrijfsleven omtrent arbeidsrecht, contractrecht, ondernemingsrecht en privacyrecht en juridische tips & tricks ontvangen van onze ondernemingsjuristen? Meld u hier aan voor The Legal Alert!

Niets is zo veranderlijk als wet- en regelgeving. Graag wijzen wij u er op dat onze blogs mogelijk niet meer aansluiten op de huidige wet- en regelgeving en dus mogelijk verouderd zijn. Heeft u vragen of een probleem dat betrekking heeft op deze blog of u wenst rechtsbijstand, neem u dan contact met ons op.