Is Google Analytics illegaal in Europa?

Image of Iron Brands

Gepubliceerd op 14 okt 2022 en bijgewerkt op 19 dec 2023 door Iron Brands

Google Analytics staat de laatste tijd op de voorpagina van het privacynieuws. Oostenrijk, Frankrijk, Italië en onlangs Denemarken hebben het gebruik van Google Analytics in zijn huidige opzet onwettig verklaard. De uitspraken maken deel uit van een gecoördineerde inspanning op Europees niveau en er wordt al lang aan gewerkt.

GA is het standaard analyse-instrument, dat door 55% van alle websites op het web wordt gebruikt. GA is al lang een monopolist op de markt voor webanalyse, en de juridische problemen van GA doen het marketinglandschap in Europa op zijn grondvesten schudden. In dit klimaat van algemene paniek kan het een uitdaging zijn om te begrijpen wat de Europese autoriteiten precies beslissen. Is Google Analytics echt illegaal in Europa?

  1. De achtergrond van Google Analytics en GDPR
  2. Wat hebben de autoriteiten eigenlijk gezegd?
  3. Waar is Google Analytics illegaal?
  4. Waar is Google Analytics nog meer illegaal?
  5. Hoe zit het met het nieuwe kader voor gegevensoverdracht?
  6. Slotopmerkingen
Logo of MichelinMichelin chose Simple AnalyticsJoin them

Laten we erin duiken!

De achtergrond van Google Analytics en GDPR

Google Analytics kwam onder vuur te liggen omdat het de overdracht van persoonsgegevens naar de VS vereist voor verwerking. Gegevensoverdracht naar de VS is momenteel een juridisch raadsel. Het is een lang verhaal en je kunt er hier alles over lezen. In een notendop:

  • Het Schrems II-arrest van het Hof van Justitie vereist dat bedrijven bij de doorgifte van gegevens naar de VS adequate waarborgen inbouwen (gewoonlijk aanvullende maatregelen genoemd) om gegevens te beschermen tegen toezicht door de staat.
  • NGO noyb heeft 101 klachten ingediend tegen Google Analytics en Facebook Connect om de Europese autoriteiten aan te zetten tot een striktere handhaving van het Schrems II-arrest.
  • De raad van Europese toezichthouders (EDPB) coördineerde de reactie op de klachten op Europees niveau.
  • Verschillende Europese gegevensbeschermingsautoriteiten (DPA's) hebben GA "verbannen" uit de respectievelijke landen1.

Wat hebben de autoriteiten eigenlijk gezegd?

De klachten en beslissingen over Google Analytics lijken erg op elkaar. Dit is hoe ze tot nu toe allemaal hebben gespeeld:

  • Een betrokkene, vertegenwoordigd door noyb, beweerde dat een website die GA gebruikte, zijn persoonsgegevens zonder doeltreffende waarborgen naar de VS overbracht.
  • De eigenaar van de website protesteerde dat de waarborgen in de GA-voorwaarden voldoende waren.
  • Het CBP onderzocht de waarborgen en concludeerde dat deze niet doeltreffend waren tegen overheidstoezicht.
  • De DPA beval de website het gebruik van GA te staken (of strengere waarborgen in te voeren, wat onmogelijk is).

Volgens de zaak Schrems II moeten aanvullende maatregelen voor gegevensdoorgifte per geval worden beoordeeld. Een gegevensbeschermingsautoriteit kan Google Analytics dus niet per se onwettig verklaren omdat een andere website in theorie sterkere waarborgen zou kunnen implementeren en GA rechtmatig zou kunnen gebruiken.

Theorie' is hier het sleutelwoord. In de praktijk worden de aanvullende maatregelen gekozen door Google en geaccepteerd door elk bedrijf dat akkoord gaat met de standaard Servicevoorwaarden van GA. Omdat elk bedrijf instemt met exact dezelfde Servicevoorwaarden, zijn de aanvullende maatregelen altijd hetzelfde. Als een gegevensbeschermingsautoriteit oordeelt dat de maatregelen in een specifiek geval ontoereikend zijn, zal zij in toekomstige gevallen hetzelfde doen, omdat alle gevallen kopieën van elkaar zijn.

Maar kan een website geen eigen aanvullende maatregelen nemen bovenop die van Google? Helaas niet. Er zijn zeer weinig effectieve beveiligingen tegen overheidstoezicht, en geen daarvan kan worden gebruikt voor Google Analytics (we schreven hier meer over in onze blog over gegevensoverdrachten). Een proxyserver zou een effectieve oplossing kunnen zijn, maar die beperkt de analytische mogelijkheden van GA ernstig en is lastig te implementeren.

Kortom: de beslissingen gaan over specifieke websites, maar omdat alle websites dezelfde beveiligingen gebruiken, schept elke beslissing een algemeen precedent dat praktisch neerkomt op een verbod voor de hele staat.

Is google analytics illegal in Europe

Waar is Google Analytics illegaal?

Tot nu toe hebben drie gegevensbeschermingsautoriteiten zich tegen GA uitgesproken: de Oostenrijkse DSB, de Franse CNIL en de Italiaanse GPDP. Dit betekent dat Google Analytics praktisch verboden is in Oostenrijk, Frankrijk en Italië. Er zij op gewezen dat de CNIL en de GPDP vrij invloedrijk zijn op Europees niveau: als zij de door de EDPB-taakgroep gecoördineerde aanpak volgen, zullen andere gegevensbeschermingsautoriteiten waarschijnlijk hun voorbeeld volgen.

De Italiaanse situatie is bijzonder. In een persbericht na haar eerste besluit tegen GA waarschuwde de Italiaanse gegevensbeschermingsautoriteit dat zij het gebruik van analysetools (met name GA) verder zou onderzoeken voor Italiaanse verantwoordelijken voor gegevensverwerking, waaronder overheidsdiensten. Daarnaast stuurde de hacktivistengroep MonitoraPA (wat zich laat vertalen als het monitoren van de overheid) per e-mail aan duizenden openbare en particuliere bedrijven het verzoek om te stoppen met het gebruik van Google Analytics en Google Fonts, waarbij ze dreigden met juridische stappen bij de DPA. Het initiatief van MonitoraPA is enigszins controversieel en wordt uitgebreid besproken in de Italiaanse privacygemeenschap en onder marketingprofessionals.

Praktisch gezien is GA ook in Denemarken verboden. De Deense DPA was niet betrokken bij de 101 klachten en heeft geen enkele zaak over GA geschikt. Zij onderzocht GA's op eigen houtje nadat andere gegevensbeschermingsautoriteiten zich tegen GA hadden uitgesproken en verklaarde in een recent persbericht dat GA niet rechtmatig kan worden gebruikt tenzij doeltreffende aanvullende maatregelen worden genomen. Het enige voorbeeld dat zij gaf was een verwijzing naar de suggestie van de CNIL en de EDPB om een proxyserver op te zetten om alle persoonsgegevens te anonimiseren. Dit is zeer complex en onbetaalbaar voor de meeste bedrijven.

Er is een discussie gaande of de uitspraken gelden voor elke versie van Google Analytics of alleen voor de huidige versie (universal analytics). Het korte antwoord is dat het geldt voor elke Google Analytics setup of versie. We hebben hier uitgebreider over geschreven in deze blog.

Waar is Google Analytics nog meer illegaal?

De klachten van Noyb zijn ingediend bij elke Europese DPA. Er zijn op dit moment geen details bekend over de klachten, maar zoals we hebben uitgelegd, zullen sommige gegevensbeschermingsautoriteiten waarschijnlijk het voorbeeld van Oostenrijk, Frankrijk en Italië volgen.

Met name de Nederlandse gegevensbeschermingsautoriteit heeft in een persbericht van januari aangekondigd dat zij twee controllers onderzoekt voor het gebruik van GA en in 2022 mogelijk een uitspraak doet tegen GA. Andere details over de zaken zijn momenteel niet beschikbaar.

Vermeldenswaard is dat de Ierse gegevensbeschermingsautoriteit een besluit heeft opgesteld om de gegevensdoorgifte van Meta Platform Ierland aan Meta in de VS stop te zetten. Het ontwerp is nu voorgelegd aan de EDPB, dus de uitkomst van de zaak is nog onzeker. Bij deze zaak is Google niet betrokken, maar de fundamentele problemen met de gegevensoverdrachten van Meta zijn die welke de gegevensbeschermingsautoriteiten in de klachten van noyb hebben geanalyseerd, zodat dit een belangrijk precedent zou kunnen scheppen voor andere bedrijven, waaronder Google. Een Iers precedent zou van groot belang zijn omdat veel Amerikaanse tech-multinationals Europese vestigingen in Ierland hebben.

Hoe zit het met het nieuwe kader voor gegevensoverdracht?

In het recente nieuws publiceerde de Amerikaanse president Joe Biden een uitvoerend bevel over de surveillanceprogramma's van de VS. Het doel is de surveillancepraktijken van de VS in te perken en een nieuw kader voor gegevensoverdracht op te zetten.

Dit is niet het eerste kader voor gegevensoverdracht tussen de VS en de EU. Er waren twee oudere kaders (Safety Harbor en Privacy Shield), en het HvJEU heeft beide in de arresten Schrems I en II ongeldig verklaard op grond van toezichtproblemen. Het nieuwe kader zal zeker voor het Hof worden aangevochten, waarschijnlijk door Schrems zelf en noyb. Daarom heeft het nieuwe uitvoeringsbesluit betrekking op toezichtpraktijken: de president probeert de problemen die in het Schrems II-arrest aan de orde zijn gesteld, te verhelpen zodat het nieuwe kader Schrems III kan overleven.

Voor de verwerking verantwoordelijken zullen zich niet op het nieuwe kader voor gegevensoverdracht kunnen beroepen totdat de Europese Commissie een adequaatheidsbesluit neemt. Dit zal vrijwel zeker gebeuren, maar het is niet duidelijk wanneer - het zal waarschijnlijk enkele maanden duren. En cruciaal is dat het adequaatheidsbesluit daarna een Schrems III-besluit moet overleven, wat wij betwijfelen.

Slotopmerkingen

Het is moeilijk te zeggen hoe Schrems III zal uitpakken. Het nieuwe uitvoeringsbesluit en de mogelijke uitkomst van Schrems III zullen nog maandenlang een heet hangijzer zijn in de privacygemeenschap.

Of de adequaatheidsbeschikking Schrems III nu overleeft of niet, Google Analytics is een privacy-invasief instrument. Vanuit ethisch oogpunt vinden wij dat Google niet bijdraagt aan een onafhankelijk web dat vriendelijk is voor websitebezoekers. En waarom zouden ze? Ze harken miljarden binnen met Google Analytics.

Dit is de reden waarom wij Simple Analytics hebben gebouwd. Een web analytics tool die je de inzichten geeft die je nodig hebt zonder tracking of het verzamelen van persoonlijke gegevens.

Probeer ons gerust als je een onafhankelijk bedrijf wilt steunen dat probeert een web te creëren dat vriendelijk is voor websitebezoekers.

#1 De gpdrhub heeft samenvattingen voor de Oostenrijkse, Franse en Italiaanse besluiten.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode