De Q&A CNIL vermeldde expliciet dat het gebruik van Google Analytics nog steeds in strijd is met de GDPR. Bovendien verklaarde het dat er geen omstandigheden zijn waarin dit niet het geval is.
In het onderhavige artikel splitsen we de uitspraken van CNIL tijdens de Q&A-sessie uit.
- Schrems II en de schending van Privacy Shield 1.0
- Privacy Shield 2.0 update
- Conclusie uit CNIL Q&A sessie
- Oplossingen
- Waarom kan het ons wat schelen?
Laten we beginnen!
Schrems II en de schending van Privacy Shield 1.0
De huidige situatie met Google Analytics is in gang gezet door het Schrems II-arrest dat het privacyschild 1.0 ongeldig maakte. Volgens de GDPR zijn gegevensoverdrachten buiten de EU alleen mogelijk als er adequate waarborgen kunnen worden gebruikt. Het privacyschild fungeerde als een mechanisme om deze gegevensoverdrachten te waarborgen.
Schrems II maakte het privacyschild ongeldig: Kortom, de EU eist privacyrechten voor haar burgers, waar de Amerikaanse overheid zich niet aan houdt. Volgens de wet is Google een "aanbieder van elektronische communicatiediensten", wat betekent dat het gegevens over EU-burgers moet vrijgeven als de Amerikaanse inlichtingendienst daarom vraagt.
De DSB (Oostenrijkse waakhond voor gegevensbescherming) en de CNIL verklaarden als reactie dat het gebruik van Google Analytics in strijd is met de GDPR en dat EU-bedrijven die Google Analytics blijven gebruiken een boete kunnen krijgen.
Privacy Shield 2.0 update
Sindsdien hebben de VS en de EU een politiek akkoord aangekondigd dat het ongeldige privacyschild zou vervangen. We hebben er hier over geschreven en gewezen op het feit dat de overeenkomst geen juridische waarde heeft. Het was in plaats daarvan een politieke overeenkomst. Er is nog geen juridisch document, dat nog wel even op zich zal laten wachten.
Dit werd ook opgemerkt door de CNIL tijdens hun vraag en antwoord sessie vorige week. Zij vermeldden specifiek dat de gezamenlijke verklaring geen juridisch kader is en dat er niet op kan worden vertrouwd. De CNIL verwacht dat dit pas aan het eind van het jaar zal gebeuren, als er een overeenkomst is gesloten. Maar als die is afgerond, zal die vrijwel zeker opnieuw juridisch worden aangevochten om te zien of ze inderdaad niet net zo gebrekkig is als Privacy Shield 1.0. Om wat perspectief te geven: Privacy Shield 1.0 werd in juli 2020 ongeldig verklaard. Het duurde tot februari 2022 voordat de DSB & CNIL proactief tot handhaving overgingen.
Conclusie uit CNIL Q&A sessie
Volgens het Franse agentschap voor gegevensbescherming is de belangrijkste conclusie uit de Q&A-sessie dat Google Analytics nog steeds illegaal is. De CNIL bevestigde ook formele kennisgevingen te hebben gedaan aan organisaties tussen de eerste aankondiging in februari en nu. Bedrijven hebben een maand de tijd om hieraan te voldoen; anders krijgen ze een boete.
CNIL beweert specifiek dat EU-websites hun gebruik van Google Analytics moeten aanpassen. Ze stellen echter ook dat het gebruik van Google Analytics met de beschikbare informatie in geen geval legaal is. Google stelde verschillende oplossingen voor om dit aan te pakken. Deze werden allemaal door de CNIL van tafel geveegd.
Google bevestigde dat de gegevens op Amerikaanse bodem worden gehost en dat geen enkele verandering in de ogen van de CNIL de doorgifte van persoonsgegevens zou verhinderen. Google stelde twee oplossingen voor:
- De anonimisering van persoonsgegevens.
- Het gebruik van unieke identificatiemiddelen.
De CNIL verwierp beide oplossingen omdat Google niet kon aantonen dat de anonimisering van de gegevens plaatsvond vóór de overdracht van de gegevens naar de VS. Het gebruik van unieke identificatiemiddelen was ook onvoldoende omdat de unieke identificatiemiddelen met andere gegevens konden worden gecombineerd.
Bovendien merkt de CNIL op dat Google meer oplossingen aanbiedt die IP-adressen traceren, wat betekent dat deze diensten een kruiscontrole van IP-adressen mogelijk maken en zo de surfgeschiedenis van de gebruikers traceren. De CNIL stelt ook dat gegevenscodering niet voldoende is zolang Google over de coderingssleutels beschikt, waardoor het toegang heeft tot persoonlijke gegevens als het dat wil.
Uit het bovenstaande kunnen we opmaken dat de boetes waarschijnlijk zullen oplopen. Het feit dat er geen omstandigheden zijn waaronder Google Analytics legaal kan worden gebruikt, zorgt voor eenvoudige richtlijnen. Handhaving van de uitspraak is dan ook nog nooit zo eenvoudig geweest.
Er is een discussie gaande of dit alleen geldt voor de huidige versie van Google Analytics (universal analytics). Het korte antwoord is dat het geldt voor elke versie en setup van Google Analytics, dus ook voor de nieuwste versie Google Analytics 4. In deze blog hebben we hier uitgebreider over geschreven.
Oplossingen
De eerste voorgestelde oplossing was data encryptie, waarbij de sleutel om de data te ontsleutelen in handen zou moeten zijn van de data exporteur (of een vertrouwde derde partij gevestigd in de EU). Zo worden de gegevens van EU-burgers beschermd tegen uitlevering aan de Amerikaanse inlichtingendienst.
Een ander alternatief is het gebruik van een proxyserver. Op die manier is er geen rechtstreeks contact tussen de gegevensexporteur en Google, aangezien de proxyserver als tussenpersoon fungeert.
De laatste voorgestelde optie zou zijn om gebruikers om uitdrukkelijke toestemming te vragen voor de doorgifte van gegevens. Dit is echter geen haalbare oplossing, aangezien het een verschrikking zou zijn om dit bij elk bezoek aan elke bezoeker te vragen. Dit zou dus alleen in uitzonderlijke omstandigheden kunnen werken.
De implementatie van bovenstaande oplossingen kan echter kostbaar zijn, en de vraag rijst of deze ook aan de operationele behoeften zullen voldoen.
Als dit alles je ondermaats lijkt en je geen zin meer hebt in GDPR-gedoe, zijn er privacyvriendelijke alternatieven voor Google Analytics. Simple Analytics is er daar één van. Voordat we schaamteloos onze oplossingen pluggen als de beste oplossing, hebben we alle privacy-vriendelijke alternatieven bekeken en vier oplossingen gevonden die je misschien wilt bekijken.
Waarom kan het ons wat schelen?
Wij zijn een onafhankelijk team van twee personen die om privacy geven en geloven dat de toekomst van web analytics cookieless by design is. Als u klaar bent om Google Analytics te dumpen en wilt zien wat wij hebben gebouwd, probeer ons dan gerust uit.