De Oostenrijkse tegenhanger van de Autoriteit Persoonsgegevens (AP) oordeelt dat Google Analytics in veel gevallen niet voldoet aan Europese privacyregels. De kans is aanwezig dat het webanalyseprogramma binnenkort ook hier in Nederland niet meer wordt toegestaan.
Volgens de Datenschutzbehörde (DSB) in Wenen is Google Analytics in strijd met de Algemene Verordening Gegevensbescherming (AVG). Het betreft vooral om de manier waarop het programma persoonlijke gegevens van websitebezoekers doorstuurt naar Google-datacenters in de Verenigde Staten. Het gaat daarbij om gegevens die een bezoeker uniek maken, zoals een gebruikersidenticatienummer, het ip-adres en informatie over de gebruikte browser.
Ook in Nederland niet meer toegestaan?
Op basis van het DSB-oordeel waarschuwt de Autoriteit Persoonsgegevens dat het gebruik van Google Analytics binnenkort mogelijk ook in Nederland niet meer is toegestaan. De Nederlandse toezichthouder onderzoekt momenteel twee klachten over het gebruik van de webanalysetoepassing in Nederland. Na afronding daarvan kan de AP zeggen of de tool wel of niet is toegestaan, schrijft de waakhond deze week in een nieuw kader bovenaan een oudere handleiding voor privacy-instellingen van Google Analytics (pdf).
De voorwaarden waaronder Google de gegevens van websitebezoekers verwerkt, zouden onvoldoende bescherming bieden tegen de praktijken van Amerikaanse inlichtingendiensten. Het bedrijf uit Mountain View heeft zich altijd verweerd door te stellen dat er voldoende technische en organisatorische maatregelen worden genomen om de geldende regels voor databescherming te kunnen volgen, zoals versleuteling en medewerking aan regulier onderzoek vanuit de overheid. De Oostenrijkse toezichthouder ziet dat anders.
Schrems
Het oordeel van DSB (pdf) volgt op klachten van jurist en privacy-activist Max Schrems, vooral bekend van zijn strijd tegen trans-Atlantische data-uitwisselingsakkoorden. Schrems’ privacy-organisatie Noyb (‘None of your business’) trok in augustus 2020 ten strijde tegen het gebruik van Google Analytics door een Oostenrijks bedrijf. Eigenlijk wilde hij ook een zaak tegen Google zelf aanspannen, maar dat wees de toezichthouder af.
In de zomer van 2020 zette het Europese Hof van Justitie een streep door de Privacy Shield-afspraken voor dataoverdracht tussen de Europese Unie en de VS. Deze zaak was aangespannen door Schrems, die na het oordeel besloot zijn pijlen onder meer te richten op de praktijk van Google.
Privacy Shield vormde het fundament waarop bedrijven klantgegevens over en weer konden uitwisselen. Het afsprakenraamwerk verving de Safe Harbor-verdragen die in 2015 door het Hof ongeldig waren verklaard na Schrems eerste rechtszaak.
