Google Analytics is momenteel een heet hangijzer in de Italiaanse privacy- en marketinggemeenschap. De Italiaanse autoriteit voor gegevensbescherming (GPDP) oordeelde in juni tegen GA en kondigde onderzoeken aan naar het gebruik van de tool bij zowel bedrijven als overheidsdiensten.
Maar er is meer aan de hand: Hacktivistengroep MonitoraPA stuurde duizenden e-mails waarin overheidsdiensten werden verzocht GA en Google Fonts te laten vallen.
Daarnaast stuurden ze soortgelijke waarschuwingen naar de websites van Italiaanse politieke partijen. Verder stuurden ze duizenden toegangsverzoeken naar Italiaanse scholen, waarin ze informatie vroegen over de verwerking van leerlinggegevens. Tegelijkertijd stuurde de Italiaanse activist Federico Leva via GA talloze e-mails naar Italiaanse websites om zijn persoonsgegevens te laten wissen. Tegen al deze verzoeken zijn juridische stappen ondernomen.
Het is moeilijk te achterhalen wat er gebeurt en wat de gevolgen zijn, daarom zijn we hier om wat duidelijkheid te scheppen. (Opmerking: sommige van de links in de volgende teksten zijn alleen in het Italiaans, omdat er geen internationale dekking is voor sommige van onze onderwerpen).
- Wat is er mis met Google Analytics?
- Monitora PA en hun campagne tegen Google Analytics
- Slotopmerkingen
Laten we erin duiken!
Wat is er mis met Google Analytics?
We schreven al uitgebreid over de nalevingsproblemen van Google Analytics, dus hier is een zeer korte recap:
In 2020 werd in het Schrems II-arrest vastgesteld dat het wettelijk kader van de VS onvoldoende bescherming kon bieden voor Europese gegevens vanwege de invasieve surveillancepraktijken van de VS.
Kort na het Schrems II-arrest diende de Oostenrijkse privacy-ngo noyb 101 klachten in over gegevensoverdrachten in een strategische poging om de gegevensbeschermingsautoriteiten aan te zetten tot strikte handhaving van het Schrems II-arrest. De gegevensbeschermingsautoriteiten coördineerden hun aanpak van de klachten op Europees niveau en als gevolg daarvan hebben drie gegevensbeschermingsautoriteiten zich tot dusver uitgesproken tegen het gebruik van Google Analytics (de Oostenrijkse DSB, de Franse CNIL en de Italiaanse GPDP).
Andere gegevensbeschermingsautoriteiten zullen in de toekomst waarschijnlijk soortgelijke standpunten innemen. De CNIL en de GPDP zijn zeer gerespecteerde en invloedrijke gegevensbeschermingsautoriteiten en andere zullen hun voorbeeld waarschijnlijk volgen.
Meer recent nieuws is dat de Commissie van de EU en het Witte Huis het onlangs eens zijn geworden over een nieuw kader voor de doorgifte van gegevens. Het nieuwe kader lijkt echter in sommige opzichten nog steeds problematisch en zal zeker worden aangevochten in het HvJEU. Daarom is de toekomst van trans-Atlantische gegevensoverdrachten nog steeds onzeker.
Monitora PA en hun campagne tegen Google Analytics
Zoals gezegd zitten de Oostenrijkse, Franse, Italiaanse en Deense gegevensbeschermingsautoriteiten allemaal op dezelfde lijn wat betreft gegevensoverdrachten. De Italiaanse situatie is echter enigszins merkwaardig. De Italiaanse burger Federico Leva en de Monitora PA-groep hebben duizenden verzoeken met betrekking tot GA doorgestuurd en daarbij gedreigd met juridische stappen.
Monitora PA's verzoeken om verwijdering
Kort voordat de GPDP een besluit nam over de eerste GA-klacht, stuurde de hacktivistengroep Monitora PA (monitoring the public administration) duizenden e-mails door waarin overheidsinstanties werd verzocht te stoppen met het gebruik van Google Analytics en Google Fonts en werd gedreigd met juridische stappen bij de GPDP.
De campagne kreeg enige kritiek, maar werkte tot dusverre. Monitora PA-lid Fabio Pietrosanti meldde dat bijna 8.000 overheden werden gecontacteerd, en dat meer dan 3.000 stopten met het gebruik van GA.
Toegangsverzoeken van Monitora PA
Monitora PA verzocht ook duizenden scholen om informatie over hun gegevensverwerking. Meer bepaald werd toegang gevraagd tot verschillende documenten die scholen krachtens de GDPR en de Italiaanse administratieve wetgeving moeten bewaren.
Het doel van Monitora PA is de naleving van de gegevensbeschermingsregels te beoordelen en eventueel juridische stappen te ondernemen tegen overtredingen. Dit initiatief gaat niet strikt over GA of gegevensoverdrachten. Toch maken ze deel uit van het plaatje, aangezien Monitora PA voor elke school de transfer impact assessment opvraagt, naast andere documenten.
Het uitvoeren van een TIA is een van de verplichtingen van de gegevensexporteur1. TIA's zijn ook de plaats waar aanvullende beschermingsmaatregelen voor gegevensoverdrachten worden opgesomd en de effectiviteit ervan wordt onderzocht. Veel scholen vertrouwen op Google tools en software van andere big-tech bedrijven, en het is moeilijk voor te stellen dat ze allemaal effectieve waarborgen hebben geïmplementeerd. Sterker nog, sommige scholen hebben om te beginnen geen duidelijk beeld van hoe leerlinggegevens worden verwerkt.
Vermeldenswaard is ook dat de Deense gegevensbeschermingsautoriteit scholen in de gemeente Helsingor onlangs heeft bevolen Google Workplace te ontslaan vanwege de vereiste gegevensoverdracht naar de VS. Gezien dit precedent kunnen de toegangsverzoeken van Monitora PA de aanzet geven tot een onderzoek naar het gebruik van Google-software en andere tools in Italiaanse scholen.
Monitora PA's "verkiezingsspecial"
In september startte Monitora PA nog een andere campagne. De groep ontdekte dat talrijke websites van Italiaanse politieke partijen gebruik maakten van Google Analytics en Google Fonts en verzocht hen het gebruik van de tools stop te zetten. Monitora PA diende later een klacht in tegen 47 websites die GA of GF bleven gebruiken.
Gebruikerstracking op websites van politieke verenigingen is zeer problematisch. Het Cambridge Analytica-schandaal moet ons herinneren aan de mogelijke gevolgen van privacypraktijken voor de politiek van democratische landen. En vanuit een strikt juridisch perspectief zouden de verzamelde gegevens de politieke opvattingen van een gebruiker kunnen onthullen, wat onder de GDPR2- zoals Monitora PA in hun klacht aangaf - als gevoelige gegevens geldt.
De e-mails van Federico Leva
In de zomer stuurde de activist Federico Leva duizenden e-mails naar Italiaanse websites die GA gebruiken en eiste dat zijn persoonsgegevens werden gewist. Hij beweerde dat het gebruik van GA gepaard gaat met onrechtmatige gegevensoverdracht en dat de verwerking van zijn persoonsgegevens voor webanalyse illegaal is. Net als Monitora Pa dreigt de heer Leva met juridische stappen als de controller niet op zijn verzoeken ingaat.
Kritiek
Zoals gezegd hebben de campagnes van Monitora PA en de heer Leva polariserende reacties opgeroepen in de juridische en privacygemeenschappen. De kritiek op deze campagnes is samengevat in een recent document: een kennisgevingsbrief aan de Italiaanse GPDP tegen Monitora PA en Federico Leva, ondertekend door talrijke Italiaanse advocaten onder de coördinatie van advocaat Andrea Lisi.
In de brief wordt geklaagd dat spamming scare e-mails een ongepaste manier zijn om een anders legitieme agenda van activisme te bevorderen. Vanuit een strikt juridisch perspectief beweert de brief dat deze massale e-mailcampagnes bepaalde bepalingen van de GDPR kunnen schenden. Ook wordt beweerd dat Monitora PA en de heer Leva misbruik maken van hun rechten onder de GDPR, omdat zij deze uitoefenen voor activisme in plaats van voor de bescherming van hun privacy.
Maar voor zover wij weten, heeft Monitora PA nooit gebruik gemaakt van rechten3 onder de GDPR - wat logisch is, aangezien ze die om te beginnen niet hebben4. Wat de heer Leva betreft, heeft advocaat en GPDP-lid Guido Scorza in een interview verduidelijkt dat hij op legitieme wijze gebruik maakt van zijn recht op wissen onder de GDPR en dat zijn verzoeken daarom moeten worden ingewilligd. Het standpunt van de heer Scorza weerspiegelt natuurlijk niet noodzakelijk dat van de GPDP, maar het is een aanwijzing dat klachten van de heer Leva waarschijnlijk serieus zullen worden genomen.
Slotopmerkingen
De e-mails van Monitora PA en Federico Leva hebben nogal wat paniek gezaaid. De dreiging van juridische stappen achter hun verzoeken is reëel, maar we verwachten geen klacht voor elke afzonderlijke overtreding - de GDPD kan onmogelijk zoveel zaken behandelen. Naar alle waarschijnlijkheid zullen alleen de ernstigste overtredingen onder de aandacht van de GPDP worden gebracht.
Ongeacht de controversiële aard ervan, is het debat dat door deze campagnes op gang wordt gebracht gezond en zal het hopelijk de aandacht vestigen op de gevolgen voor de privacy van de dagelijkse gegevensverwerking in particuliere en openbare organisaties. Dat is een goede zaak.
Privacy is een mensenrecht en de Europese gegevensbeschermingsautoriteiten laten eindelijk hun tanden zien door Google Analytics in zijn huidige vorm te verbieden.
Niet alleen werkt Google Analytics niet binnen de wet, maar ze helpen ook niet om een onafhankelijk web te creëren dat vriendelijk is voor websitebezoekers. En waarom zouden ze? Ze verdienen miljarden aan het volgen van internetgebruikers.
Bij Simple Analytics geloven we dat je internetgebruikers niet hoeft te volgen of persoonlijke gegevens hoeft te verzamelen om de inzichten te krijgen die je nodig hebt. Wij geloven in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers. Als dit met u resoneert, probeer ons dan gerust uit.
#1 TIA's worden niet genoemd in de GDPR, maar het HvJEU stelde in de zaak Schrems II dat de voor de verwerking verantwoordelijke moet nagaan "of het recht van het derde land van bestemming een passende bescherming (...) van persoonsgegevens waarborgt" (par. 134). ^2]: Art. 9(1) GDPR. De verwerking van gevoelige gegevens is onderworpen aan strengere regels dan de algemene regels voor de verwerking van persoonsgegevens onder de GDPR. [^3]: De e-mails die zijn doorgestuurd naar overheidsdiensten zijn hier en op andere Italiaanse websites te vinden, en de rechten van de betrokkenen worden nooit genoemd. Wat betreft de verzoeken van Monitora PA aan scholen, deze zijn een vorm van burgerlijke toegang onder de Italiaanse administratieve wetgeving (Art. 5(2) d. lgs. 33/2013, later gewijzigd door Art 6(1) d. lgs. 97/2016), zoals bevestigd door de eigen website van het concern [^4]: Monitora PA is geen natuurlijke persoon en kwalificeert daarom niet als betrokkene. Zie de definities van "persoonsgegevens" en "betrokkene" onder Art.4(1) GDPR.