De Finse gegevensbeschermingsautoriteit (Data Protection Ombudsman) heeft zich uitgesproken tegen het gebruik van Google Analytics door vier bibliotheken in de agglomeratie Helsinki. Je hebt deze misschien al gehoord, want ook autoriteiten in Oostenrijk, Frankrijk, Italië en Denemarken vonden dat het gebruik van Google Analytics niet verenigbaar is met de GDPR. (Update: de Noorse autoriteit volgde, hoewel haar besluit nog voorlopig is)
U kunt het persbericht hier lezen.
We bespreken eerst de zaak in een notendop en kijken daarna naar het grotere plaatje achter de beslissing. Laten we erin duiken!
De Moomins op de vlucht. Afwerking in stripvorm door Tove Jansson
De beslissing
De autoriteit stelde verschillende schendingen vast met betrekking tot toestemming en transparantie, maar we zullen die buiten beschouwing laten en ons concentreren op de doorgifte van persoonsgegevens.
De autoriteit heeft in dit verband niets nieuws gezegd. Zij verduidelijkte dat de VS geen veilige bestemming is voor de doorgifte van gegevens, overeenkomstig het Schrems II-arrest van het Hof van Justitie van de EU. Zij stelde ook vast dat de bibliotheken niet voldoende waarborgen implementeerden voor de door Google Analytics vereiste gegevensoverdrachten, wat een schending is van de GDPR-regels voor gegevensoverdrachten. Dit is precies wat andere Europese autoriteiten in soortgelijke gevallen hebben gezegd, en het zal een precedent scheppen tegen Google Analytics in weer een andere EU-lidstaat.
Voor alle duidelijkheid: dit is technisch gezien een besluit over een specifieke gegevensbeheerder (de bibliotheken), maar het heeft algemene gevolgen voor Finland. In theorie zou een andere voor de verwerking verantwoordelijke betere waarborgen kunnen bieden en Google Analytics rechtmatig kunnen gebruiken. Maar theorie is hier het sleutelwoord, want in de praktijk is dit eenvoudigweg onmogelijk.
De voor de verwerking verantwoordelijken gaan allemaal akkoord met dezelfde gestandaardiseerde voorwaarden van Google, met inbegrip van dezelfde gegevensbeschermingsclausules. Ze hebben geen ruimte om over andere voorwaarden te onderhandelen. En ze kunnen niet zelf voldoende technische beveiligingen invoeren omdat die voor Google Analytics niet bestaan.
End-to-end encryptie werkt niet omdat Google Analytics cookie-ID's ongecodeerd moet verwerken. Niet-end-to-end encryptie is onvoldoende omdat de Amerikaanse overheid kan eisen dat Google de decryptiesleutel verstrekt. Server-side implementatie van Google Analytics zou in theorie kunnen werken, maar het is omslachtig en zou de prestaties van het programma ernstig belemmeren.
Kortom: als de Finse overheid bij haar standpunt blijft, is Google Analytics in Finland praktisch verboden.
Het grotere plaatje
Schrems I en II
Google Analytics heeft al een geschiedenis van praktisch verbod in EU-lidstaten. Maar het verhaal over gegevensoverdracht is nog langer, en een kleine samenvatting kan de achtergrond van het Finse besluit verduidelijken.
Het begon allemaal in 2012 toen de Snowden-dossiers het bestaan onthulden van uitgebreide en willekeurige surveillanceprogramma's voor buitenlandse gegevens in de VS. Een jaar later diende de Oostenrijkse burger Max Schrems (nu een bekende privacy-activist) een klacht in tegen Facebook Ierland. Hij voerde aan dat de overdracht van zijn persoonsgegevens aan het Amerikaanse moederbedrijf Facebook hen blootstelde aan Amerikaans toezicht en daarom illegaal was volgens de EU-wetgeving inzake gegevensbescherming. Dit was het begin van een lange juridische strijd: de zaak werd twee keer doorverwezen naar het Hof van Justitie van de EU, wat leidde tot de ongeldigverklaring van twee overeenkomsten inzake gegevensoverdracht tussen de EU en de VS in de baanbrekende arresten Schrems I en II.
Schrems II werd uitgesproken in 2020 en had om twee redenen een enorme impact op de doorgifte van gegevens. Ten eerste maakte het Hof het Privacy Shield-kader ongeldig, dat voorheen gemakkelijke gegevensoverdrachten van de EU naar de VS mogelijk maakte. Ten tweede onderzocht het Hof standaardcontractbepalingen, een gemeenschappelijk nalevingsmechanisme voor bedrijven die gegevens willen overdragen.
We moeten enkele woorden wijden aan de modelcontractbepalingen. SCC's zijn een reeks door de Commissie opgestelde gestandaardiseerde clausules die bedoeld zijn om te worden opgenomen in een bindende overeenkomst met een ontvanger. Met andere woorden, als u gegevens buiten de EU wilt doorgeven, kunt u de modelcontractbepalingen in een contract opnemen, en de bepalingen vertellen de andere partij wat zij wel en niet met de gegevens mag doen. Dit is een manier om ervoor te zorgen dat persoonsgegevens veilig en vertrouwelijk buiten de Unie worden doorgegeven. Maar er is een probleem: deze clausules binden alleen de contractpartijen en voorkomen niet dat de staat toezicht houdt.
Met Schrems II heeft het Hof de VCA's als mechanisme voor gegevensoverdracht niet ongeldig verklaard, maar bepaald dat zij zo nodig moeten worden aangevuld met extra waarborgen - zoals in de VS het geval is. Je kunt ze dus niet gewoon kopiëren, het contract laten ondertekenen en het voor gezien houden. U moet ervoor zorgen dat de SCC's daadwerkelijk werken voor uw gegevensoverdracht, en als dat niet het geval is, moet u dit gebrek aan bescherming op een andere manier compenseren. Het probleem is dat dit moeilijk en soms onmogelijk is wanneer u te maken heeft met overheidstoezicht.
De 101 klachten
Vlak na het Schrems II-arrest diende de privacy-ngo noyb (onder voorzitterschap van Schrems) een reeks van 101 strategische klachten in tegen Google Analytics en Facebook Connect, in een poging de Europese autoriteiten ertoe te bewegen het Schrems II-arrest strikt toe te passen.
De autoriteiten coördineerden hun aanpak van de klachten op Europees niveau. De Oostenrijkse, Franse** en** Italiaanse privacywaakhonden spraken zich dan ook uit tegen Google Analytics bij de beslissing over de klachten van noyb, en de Deense autoriteit nam in een persbericht een soortgelijk standpunt in. De besluiten zijn allemaal hetzelfde, en het Finse besluit is niet anders. Al deze autoriteiten zeggen precies hetzelfde: Google Analytics kan persoonlijke gegevens niet veilig houden.
Met de coördinatie op Europees niveau en de invloedrijke Franse en Italiaanse autoriteiten die het voortouw nemen, zullen waarschijnlijk meer autoriteiten volgen.
Wat nu?
De kwestie van gegevensoverdracht is breder dan alleen Google Analytics: strikte handhaving van de grondgedachte achter Schrems II zal het moeilijk of onmogelijk maken om op veel Amerikaanse dienstverleners te vertrouwen. Daarom proberen de EU en de VS een politieke oplossing te vinden.
De Europese Unie en de VS hebben een nieuwe overeenkomst inzake gegevensoverdracht gesloten onder de naam Trans Atlantic Privacy Framework. De Amerikaanse president Joe Biden ondertekende een uitvoerend bevel om het kader mogelijk te maken. De Europese Commissie heeft een adequaatheidsbesluit opgesteld - een besluit dat gegevensoverdrachten gemakkelijker maakt. De lidstaten moeten het ontwerpbesluit nog goedkeuren voordat het in werking treedt.
Dus het is allemaal goed? Niet helemaal: het komende besluit zal zeker worden aangevochten bij het Hof van Justitie van de EU.
Volgens de GDPR kan de Europese Commissie geen adequaatheidsbesluit nemen voor een land, gewoon omdat het haar bevalt. Het besluit is een beoordeling van het rechtsstelsel van een land en moet aan bepaalde criteria voldoen. Het Hof heeft in het verleden al twee overeenkomsten inzake gegevensoverdracht om deze reden ongeldig verklaard (Schrems I en II arresten). Een Schrems III-arrest ligt dus in het verschiet, en het is moeilijk te zeggen hoe dat zal uitpakken.
Het nieuwe kader is vrij complex. Het is een verbetering ten opzichte van het verleden, maar het is in sommige opzichten potentieel problematisch en overleeft de juridische toetsing door het Hof wellicht niet. Voorlopig blijft de toekomst van gegevensoverdrachten onzeker.
Conclusies
Na deze lange omweg kunnen we enkele slotbeschouwingen over deze zaak maken. Ten eerste heeft de beslissing van de Finse overheid niets te maken met de 101 klachten. De klachten hebben dus gevolgen voor de behandeling van andere gevallen van gegevensoverdracht - en dat is precies wat de noyb met zijn klachten wilde bereiken. Ten tweede komt de beslissing ruim nadat de Amerikaanse president Joe Biden zijn uitvoeringsbevel heeft uitgevaardigd. Dit wijst erop dat de handhaving van Schrems II niet zal worden opgeschort door de politieke onderhandelingen over het besluit inzake adequaatheid.
Ik kan me voorstellen dat u moe wordt van deze wetswijzigingen, maar vanuit privacy-oogpunt zijn ze nodig. Als u van dit alles verschoond wilt blijven, bieden privacyvriendelijke analytics-opties u nog steeds de inzichten die u nodig hebt over de prestaties van uw website. Simple Analytics is daar één van. Wij geloven dat het internet onafhankelijk moet zijn en een plek die vriendelijk is voor websitebezoekers. Als dit resoneert met u, probeer Simple Analytics dan eens. Het is de eenvoudige manier om de privacy van uw klanten te respecteren'.