Na Oostenrijk, Frankrijk en Italië is Denemarken het vierde land dat het gebruik van Google Analytics onwettig verklaart. Dit besluit staat in een persbericht van de DPA zelf (Datatilsynet) en is het resultaat van een gecoördineerde aanpak op Europees niveau.
Het is niet de eerste keer dat de Deense DPA een verklaring af legt over het gebruik van Google-producten. Enkele maanden geleden gaf het een verklaring uit waarin het gebruik van Google Workspace (voorheen G-suite) voor gemeenten in strijd met de GDPR werd verklaard.
In deze verklaring gaat de Deense DPA specifiek en op veel bredere schaal in op het gebruik van Google Analytics.
Laten we erin duiken!
- Verklaring van de Deense DPA
- Achtergrond bij het persbericht
- Gevolgen voor Deense organisaties
- Laatste gedachten
Verklaring van de Deense DPA
De Deense DPA heeft besloten dat het gebruik van Google Analytics onwettig is. Het besluit is gebaseerd op een individueel geval, maar vertegenwoordigt een gemeenschappelijk Europees standpunt over de verwerking van persoonsgegevens.
In tegenstelling tot de andere gegevensbeschermingsautoriteiten heeft de Deense gegevensbeschermingsautoriteit niet gereageerd op een klacht, maar naar eigen inzicht de gegevensoverdracht door GA onderzocht.
Zij verklaarde dat de GDPR is gemaakt om de privacy van EU-burgers te beschermen. Dit betekent dat je een website moet kunnen bezoeken zonder dat je gegevens worden misbruikt. In dit licht hebben zij Google Analytics zorgvuldig onderzocht, met name na eerdere besluiten van andere lidstaten.
Na rijp beraad is de Deense gegevensbeschermingsautoriteit tot dezelfde conclusie gekomen als de andere lidstaten. In zijn huidige vorm en instellingen is het gebruik van Google Analytics in strijd met de wet.
Zij verklaarden dat u moet stoppen met het gebruik van de tool als het onmogelijk is om aanvullende maatregelen te nemen die de privacy van websitebezoekers waarborgen. Als dat niet mogelijk is, moet u een andere analysetool vinden die wel voldoet aan de GDPR en geen gegevens doorgeeft aan "onveilige" derde landen zoals de VS.
Lees de volledige verklaring hier.
Achtergrond bij het persbericht
Gegevensoverdracht naar de VS is veel ingewikkelder geworden sinds het Schrems II-besluit. Het is een lang verhaal; u kunt er hier meer over lezen. In een notendop: sinds Schrems II moeten extra waarborgen worden ingevoerd om gegevens naar de VS door te geven.
Na Schrems II kwam Google Analytics onder vuur te liggen van verschillende gegevensbeschermingsautoriteiten omdat het niet voldeed aan de regels voor gegevensoverdracht. De privacy-ngo noyb diende 101 klachten over gegevensdoorgifte in tegen Google Analytics en Facebook, en de EDPB richtte een taskforce op om de reactie op Europees niveau te coördineren. Dit leidde ertoe dat de Oostenrijkse, Franse en Italiaanse gegevensbeschermingsautoriteiten verklaarden dat het gebruik van Google Analytics illegaal is.
De Deense gegevensbeschermingsautoriteit volgt nu dit voorbeeld. Zij onderzochten GA en verklaarden dat het niet kon worden gebruikt zonder een aantal complexe en dure aanvullende maatregelen (een reverse proxy server). Concreet is Denemarken het vierde land dat Google Analytics verbiedt.
Gevolgen voor Deense organisaties
De Deense gegevensbeschermingsautoriteit verklaarde dat GA niet in overeenstemming is met de regels voor gegevensoverdracht, wat betekent dat een voor de verwerking verantwoordelijke het niet wettelijk kan gebruiken tenzij hij de gegevens met aanvullende maatregelen beschermt.
Het enige voorbeeld dat de DPA biedt is een verwijzing naar het standpunt van de Franse autoriteit: je kunt GA gebruiken als je een server als reverse proxy gebruikt. Het zou ons zeer verbazen als iemand dit daadwerkelijk zou doen. Het hosten van GA op je eigen server is zo duur en ingewikkeld dat het het doel van het gebruik van een gratis analyseprogramma tenietdoet!
Er worden geen andere maatregelen voorgesteld, om de zeer goede reden dat er geen bestaan. Deze persverklaring is, voor alle praktische doeleinden, een verbod.
Er is een discussie gaande of dit statement ook geldt voor Google Analytics 4. Het korte antwoord is ja, dit geldt voor elke versie van Google Analytics. Over Google Analytics 4 hebben we in deze blog uitgebreider geschreven.
Laatste gedachten
De recente besluiten en het feit dat er op Europees niveau een taskforce is opgericht, maken het zeer waarschijnlijk dat dit niet het laatste besluit is dat we hebben gezien.
Organisaties zullen hun bedrijfsvoering met betrekking tot web analytics moeten heroverwegen. Dit is een verandering ten goede. Het gebruik van Google Analytics is niet alleen onwettig, maar ook onethisch tegenover websitebezoekers.
Consumenten eisen privacy en willen niet gevolgd worden op het internet.
Het internet zal een betere plaats zijn als organisaties zich aanpassen en hun activiteiten uitvoeren zonder te vertrouwen op privacy-invasieve tools zoals Google Analytics.
Wij geloven dat het mogelijk is om adequate beslissingen te nemen op basis van websitegegevens zonder de noodzaak om persoonlijke gegevens te verzamelen of individuen te volgen.
Daarom hebben we Simple Analytics gebouwd, een privacy-eerst Google Analytics-alternatief dat cookieloos is ontworpen en geen persoonlijke gegevens verzamelt terwijl het de inzichten verschaft die u nodig hebt.
Wij geloven in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers. Als dit resoneert met je, voel je vrij om ons te proberen.