Google Analytics is onlangs onder vuur komen te liggen van Europese autoriteiten wegens niet-naleving van de GDPR-regels inzake gegevensoverdracht. Google belooft dat de nieuwste versie van zijn analysetool meer privacygericht zal zijn. Volgend jaar wordt Universal Analytics vervangen door GA4, en privacy is de belangrijkste drijfveer voor deze verandering. Maar hoe "privacy-vriendelijker" zal deze versie zijn?
Veel bedrijven kijken uit naar Google Analytics 4 als oplossing voor de compliance puzzel. Bedrijven zijn echter misschien iets te optimistisch. Hoewel er nog geen jurisprudentie is over GA4, suggereert de bestaande jurisprudentie dat GA4 met dezelfde juridische problemen kampt als UA.
- De kern van de zaak: persoonsgegevens en aanvullende maatregelen
- Google Analytics 4 draagt persoonsgegevens over
- Privacy is meer dan naleving
- Laatste gedachten
Laten we erin duiken!
De kern van de zaak: persoonsgegevens en aanvullende maatregelen
De juridische aspecten van gegevensoverdracht zijn complex en lang om uit te leggen. Als u tijd te doden heeft, hebben we er hier uitgebreid over geschreven.
In een notendop: het Schrems II-arrest van het Hof van Justitie van de EU heeft een kader voor gegevensoverdracht dat een gemakkelijke gegevensoverdracht naar de VS mogelijk maakte, ongeldig verklaard. Europese bedrijven moeten nu vertrouwen op een mechanisme dat standaardcontractbepalingen heet om gegevens naar het buitenland door te geven. Bovendien moeten zij bovenop deze clausules aanvullende maatregelen nemen om gegevens tegen overheidstoezicht te beschermen.
Meteen na het Schrems II-arrest diende de privacy-ngo noyb 101 klachten in bij verschillende Europese gegevensbeschermingsautoriteiten tegen websites die Google Analytics en Facebook Connect gebruiken. De European Data Protection Board (de organisatie van alle Europese gegevensbeschermingsautoriteiten) vormde later een taskforce om de aanpak op Europees niveau te coördineren.
Tot nu toe heeft deze gecoördineerde aanpak ertoe geleid dat de Oostenrijkse, Franse en Italiaanse gegevensbeschermingsautoriteiten Google Analytics onwettig hebben verklaard. Bovendien heeft de Deense autoriteit in een recent persbericht in wezen hetzelfde gezegd, en heeft de Nederlandse gegevensbeschermingsautoriteit eerder dit jaar aangekondigd dat zij wellicht zal volgen.
De kern van de klachten zijn de aanvullende maatregelen die op grond van het Schrems II-arrest vereist zijn. Er bestaan momenteel geen effectieve maatregelen voor GA en andere cloud-gebaseerde diensten die gegevens ongecodeerd moeten verwerken1. Hieruit volgt dat Google alleen aan de GDPR kan voldoen door helemaal geen persoonsgegevens in de VS te verwerken, en dat is niet het geval. Ook niet voor Google Analytics 4.
Google Analytics 4 draagt persoonsgegevens over
Google adverteerde GA4 als een stap in de richting van een cookieloos en privacyvriendelijk webanalysemodel, maar hun nieuwe analysetool is niet geheel cookieloos. GA4 schrapt cookies van derden, maar gebruikt een enkele first-party cookie genaamd Client ID. Alle cookies, ook die van de eerste partij, zijn persoonsgegevens volgens de GDPR2.
GA4 gebruikt ook een identificatiecode genaamd User-ID. Gebruikers-ID's zijn geen cookies, maar een ander hulpmiddel dat GA gebruikt om gebruikers op verschillende apparaten te volgen. Het zijn persoonsgegevens omdat ze het mogelijk maken individuele gebruikers te onderscheiden3 onder het websiteverkeer. Hetzelfde geldt voor de unieke ID4, een andere parameter die door Google Analytics wordt verwerkt om een User ID te genereren.
Gegevenskoppeling is een andere cruciale factor. GA4 verwerkt vele gebeurtenissen en statistieken die op zichzelf geen zinvolle gegevens zijn, maar die gecombineerd kunnen worden om een gebruiker te identificeren. Cruciaal is dat Google ook persoonsgegevens verzamelt van gebruikers die zijn ingelogd op hun Google-account. Deze gegevens kunnen worden gekoppeld aan andere door GA4 verzamelde gegevens om een gebruiker gemakkelijk identificeerbaar te maken, zoals de Europese autoriteiten in recente besluiten hebben opgemerkt.
De overdracht van persoonsgegevens naar de VS is het probleem waar het om gaat. Google Analytics 4 lost dit niet op. Met Google Analytics 4 worden nog steeds persoonsgegevens doorgegeven aan de VS.
Privacy is meer dan naleving
Tot nu toe hebben we gekeken naar de naleving van de GDPR door GA4. Maar hoe zit het met de algemene gevolgen voor de privacy?
Laten we beginnen met de goede noten. GA4 is absoluut privacyvriendelijker in de manier waarop het met IP-adressen omgaat, aangezien deze niet worden gelogd of opgeslagen. Ter vergelijking: UA slaat altijd IP-adressen op en biedt alleen een optioneel IP-anonimiseringsprotocol (dat volgens de Europese gegevensbeschermingsautoriteiten niet doeltreffend is). Het afstappen van cookies van derden is ook een stap in de goede richting.
Anderzijds moedigt het User-ID systeem zeer invasieve tracking praktijken aan. Het is in wezen een tweestapssysteem waarbij de website zelf bepaalde gegevens verzamelt om een gebruiker platformoverschrijdend te identificeren. Op basis van deze gegevens genereert de website een unieke ID en verstrekt deze aan Google. Google genereert vervolgens een gebruikers-ID voor elke unieke ID-aanbieder en volgt de parameter op verschillende apparaten.
Zodra GA4 de standaard wordt, krijgen websites een prikkel om gebruikers te volgen en zullen ze voorspelbaar elk excuus zoeken om de gegevens te verzamelen die ze nodig hebben om gebruikers op verschillende apparaten te identificeren. Ze kunnen beginnen met het vergrendelen van inhoud achter een registratie om referenties te verzamelen en een unieke ID te genereren, op een soortgelijke manier als "cookiemuren" in wezen gegevens vereisen als betaling voor een "ommuurd" artikel.
Wat de naleving betreft, kan dit gemakkelijk fout gaan. Wij verwachten dat websites inloggegevens verzamelen met toestemming van de gebruiker zonder de gebruiker te informeren dat die gegevens zullen worden gebruikt om zijn gedrag te volgen voor analytische doeleinden, wat in strijd is met de GDPR5. Of ze kunnen de gebruiker informeren maar hem ook dwingen in te stemmen met het volgen van zijn gedrag om zich te kunnen registreren - wat een voorbeeld is van "gebundelde" toestemming6. Cruciaal is dat het genereren van een unieke ID volledig de verantwoordelijkheid van de klant is volgens de servicevoorwaarden van GA, en dat Google niet verantwoordelijk is voor een overtreding.
Als alternatief kunnen websites op zoek gaan naar andere "creatieve" manieren om hun gebruikers te volgen. Ze kunnen bijvoorbeeld probabilistische tracking toepassen - dat wil zeggen, een heleboel gegevens verzamelen, zoals IP, apparaatlocatie en browsegegevens, en deze door algoritmen laten lopen om de waarschijnlijkheid in te schatten dat twee apparaten tot dezelfde gebruiker behoren. Dat klinkt indringend, en dat is het ook.
Kortom: Google creëert een potentiële privacy-nachtmerrie en ontloopt de verantwoordelijkheid door een deel van het volgwerk uit te besteden aan de klanten zelf.
Laatste gedachten
Er is nog geen jurisprudentie over GA4's gegevensoverdrachten. Wij van Simple Analytics hebben geen kristallen bol, maar op basis van bestaande jurisprudentie en Google's eigen documentatie is het gebruik van Google Analytics 4 niet GDPR-conform.
Niet alleen werkt Google Analytics 4 niet binnen de wet, maar we geloven ook dat het een zeer privacy-invasief analysemodel is dat websites aanmoedigt om hun gebruikers te volgen.
Bij Simple Analytics geloven we dat u geen websitebezoekers hoeft te volgen of persoonlijke gegevens hoeft te verzamelen. Wij bieden de inzichten die je nodig hebt zonder de privacy van je bezoekers aan te tasten en zijn 100% GDPR-compliant.
Wij geloven in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers. Als dit resoneert met u, voel je vrij om ons te proberen.
#1 Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data, par. 94. [^2]: EDPB Advies 5/2019 over de wisselwerking tussen de ePrivacyrichtlijn en de GDPR, met name wat betreft de bevoegdheid, taken en bevoegdheden van gegevensbeschermingsautoriteiten, par. 29. [^3]: Overweging 26 GDPR, [^4]: Het gebruik van persoonlijk identificeerbare informatie (PII) als unieke ID is in strijd met de GA Terms of Service. Maar het begrip persoonsgegevens onder de GDPR is breder dan dat van PII zoals Google dat opvat. Hierop wijst Google zelf[^5]: Art. 13(1) GDPR. Als toestemming wordt verzameld, wordt de eis dat toestemming geïnformeerd en specifiek moet zijn op grond van art. 4(11) ook geschonden [^6]: Art. 7(4) GDPR verbiedt gebundelde toestemming niet ronduit, maar beschrijft het als problematisch.