Begin dit jaar verscheen in de handleiding privacyvriendelijk instellen van Google Analytics van de Autoriteit Persoonsgegevens (AP) ineens dat het gebruik van Google Analytics binnenkort mogelijk niet is toegestaan. Say what! Ja echt. En dat heeft alles te maken met Max Schrems en de Algemene Verordening Gegevensbescherming (AVG).

Max Schrems en het EU-VS Privacy Shield

Max Schrems is een Oostenrijkse advocaat die Facebook Ireland (Europa) aanklaagde wegens het doorgeven van persoonsgegevens naar Facebook Inc (Verenigde Staten). En dat deed hij hierom. In Europa hebben wij namelijk de AVG, een verordening om onze privacy te waarborgen. Gegevens mogen worden uitgewisseld met landen die een adequaat niveau van data protectie hebben (het adequaatheid-besluit). De VS vielen hier niet onder (welke landen wel, vind je hier). Om ervoor te zorgen dat er toch persoonsgegevens met de VS uitgewisseld konden worden, werd er een zogenoemd privacy shield tussen Europa en de VS ingesteld. Dit is een overeenkomst waarin specifieke regels zijn opgenomen over de verwerking van persoonsgegevens. Op grond van het privacy shield mochten Europese persoonsgegevens toch verwerkt en doorgegeven worden aan de Verenigde Staten. De regels bleken alleen niet voldoende gewaarborgd te kunnen worden omdat ook Amerikaanse overheidsdiensten (dus ook inlichtingendiensten) bij de gegevens van Europeanen konden (als je hier meer over wilt lezen, zie hierover FISA 702). Dit is in strijd met de AVG en daarom heeft het Hof van Justitie van de EU (hoogste rechter van de EU) het privacy shield ongeldig verklaard. Met als gevolg dat software van een Amerikaanse onderneming of een bedrijf dat data host in de VS niet meer is toegestaan.

Google Analytics etc

En laat Google Analytics nou net een Amerikaans bedrijf zijn (net als overigens MailChimp, ActiveCampaign etc). Naast dat je kunt zien hoeveel bezoekers jouw website heeft, kun je ook zien hoe een bezoeker jouw website heeft gevonden en wat ze precies op jouw website hebben gedaan. Maar niet zozeer welke gegevens jij als ondernemer verwerkt, is hier het probleem. Google zelf verwerkt namelijk ook behoorlijk wat gegevens (denk aan IP-adressen) en plaatst cookies. In combinatie met jouw account wordt er op deze manier veel informatie verzameld en een profiel van jou samengesteld. Op basis van de Max Schrems zaak mocht dit niet meer.

Europese toezichthouders vinden er iets van

Maar heel veel bedrijven gebruiken nog steeds Google Analytics. Jij waarschijnlijk ook. Lange tijd was (en is) het ook niet duidelijk geweest wat we nu precies met de uitspraak moeten doen. Kun je Amerikaanse providers als Google Analytics blijven gebruiken of ben je dan direct in strijd met de AVG bezig? Oostenrijk Inmiddels heeft de Oostenrijkse toezichthouder (Datenschutsbehörde, kortweg DSB) zich gebogen over Google Analytics en geoordeeld dat het gebruik van Google Analytics in strijd is met de AVG. Aangezien Google Analytics standaard persoonsgegevens doorgeeft aan Google in de Verenigde Staten, is er hoe dan ook sprake van een dienst die in strijd is met de AVG. Encryptie en pseudonimisering (zoek het woord vooral even op 😉) zijn daarbij niet voldoende. Nederland En ook de Nederlandse toezichthouder AP zit niet stil. Momenteel loopt er een onderzoek naar twee klachten over Google Analytics. Op basis van de conclusies zou het zomaar eens kunnen gebeuren dat Google Analytics in Nederland worden verboden.

Dus wat nu?

In afwachting van het oordeel van de AP kun je voorlopig nog wel even gebruik maken van in elk geval Google Analytics maar feitelijk mag het dus al een tijdje niet meer. Het is daarom aan te raden om een overzicht te maken van alle software die je gebruikt om te onderzoeken waar het bedrijf achter deze software gevestigd is en vooral waar de datacentra staan. Deze informatie kun je bijvoorbeeld vinden in de verwerkersovereenkomst die je met zo’n partij hebt gesloten. Heb je dat eenmaal gedaan, dan is het slim om naar Europese alternatieven voor deze bedrijven te gaan kijken. Best een klus dus mocht je nog vragen hebben of wil je dat we meekijken? Neem dan hieronder contact met ons op!