Oostenrijkse privacytoezichthouder: Google Analytics is in strijd met GDPR

Google Analytics is volgens de Oostenrijkse privacytoezichthouder in strijd met Europese privacywetgeving. De dienst stuurt IP-adressen en cookiegegevens van gebruikers naar de VS, wat volgens de waakhond onder de GDPR verboden is.

IP-adressen en cookiedata vallen volgens de Oostenrijkse privacywaakhond onder persoonlijke gegevens en mogen daarom volgens de privacywet niet naar de Verenigde Staten overgedragen worden, schrijft privacystichting noyb. Als verweer zei Google gebruikersgegevens voldoende versleuteld te hebben, maar volgens de Oostenrijkse waakhond zijn de getroffen maatregelen van de zoekgigant niet effectief voor het voorkomen van spionage vanuit de VS. Het is onduidelijk of er sancties genomen zullen worden, schrijft noyb; dat staat los van deze procedure.

Het is de eerste uitspraak in een van de 101 aanklachten over datatransfers naar de VS die de privacystichting in 2020 indiende bij verschillende Europese privacytoezichthouders. Ook in Nederland en België zijn er klachten ingediend; die gaan onder andere over de websites van Marktplaats, PostNL, Thuisbezorgd, Neckermann, Bpost. Het is niet bekend of die in behandeling zijn genomen door de Nederlandse en Belgische toezichthouders en wat de status daarvan is.

Volgens Max Schrems, de voorzitter van noyb, betekent deze beslissing dat bedrijven niet langer Amerikaanse clouddiensten in Europa kunnen gebruiken. ''Het is meer dan anderhalf jaar sinds het Hof van Justitie dit voor een tweede keer heeft bevestigd, dus het is goed dat er nu ook wordt gehandhaafd.''

Deze beslissing heeft volgens noyb gevolgen voor alle Europese websites. ''Dat toezichthouders nu gaandeweg diensten uit de VS illegaal verklaren, zorgt ervoor dat EU-bedrijven en VS-providers meer druk zullen voelen om veilige en legale opties te gaan gebruiken, zoals hosten buiten de VS." Schrems zegt te verwachten dat meer EU-lidstaten dergelijke beslissingen zullen nemen. "Uiteindelijk krijgen we of adequate bescherming in de VS, of afzonderlijke producten in de VS en de EU.''

Door Kevin Krikhaar

Redacteur

Feedback • 13-01-2022 17:26
50 • submitter: BigSmurf

13-01-2022 • 17:26

50

Submitter: BigSmurf

Lees meer

Een Europees verbod op Google Analytics, hoe zit dat?
Een Europees verbod op Google Analytics, hoe zit dat? Review van 19 januari 2022
Track-and-trace werkt niet bij PostNL vanwege storing - update
Track-and-trace werkt niet bij PostNL vanwege storing - update Nieuws van 25 september 2024
Privacystichting noyb dient klacht tegen OpenAI in wegens mogelijk schenden AVG
Privacystichting noyb dient klacht tegen OpenAI in wegens mogelijk schenden AVG Nieuws van 29 april 2024
AP kan nog niet zeggen wanneer zij Google Analytics-onderzoek openbaar maakt
AP kan nog niet zeggen wanneer zij Google Analytics-onderzoek openbaar maakt Nieuws van 11 augustus 2023
Europees Hof: AVG vereist geen schadedrempelwaarde voor schadevergoeding
Europees Hof: AVG vereist geen schadedrempelwaarde voor schadevergoeding Nieuws van 5 mei 2023
Oostenrijkse privacytoezichthouder verklaart Meta- en Facebook-pixel illegaal
Oostenrijkse privacytoezichthouder verklaart Meta- en Facebook-pixel illegaal Nieuws van 16 maart 2023
Google Analytics stopt met verzamelen van IP-adressen
Google Analytics stopt met verzamelen van IP-adressen Nieuws van 17 maart 2022
Ook Franse toezichthouder verbiedt gebruik van Google Analytics
Ook Franse toezichthouder verbiedt gebruik van Google Analytics Nieuws van 10 februari 2022
Noorse datawaakhond zegt dat Google Analytics mogelijk illegaal is
Noorse datawaakhond zegt dat Google Analytics mogelijk illegaal is Nieuws van 28 januari 2022
Europees Parlement overtrad privacyregels op interne website voor coronatests
Europees Parlement overtrad privacyregels op interne website voor coronatests Nieuws van 11 januari 2022
Stichting van Max Schrems dient corruptieklacht in tegen Ierse privacywaakhond
Stichting van Max Schrems dient corruptieklacht in tegen Ierse privacywaakhond Nieuws van 23 november 2021
Privacystichting Noyb dient AVG-klacht in tegen Grindr
Privacystichting Noyb dient AVG-klacht in tegen Grindr Nieuws van 11 november 2021
Schrems dient klacht in tegen Marktplaats en Thuisbezorgd over datatransfers VS
Schrems dient klacht in tegen Marktplaats en Thuisbezorgd over datatransfers VS Nieuws van 18 augustus 2020
Meer producten en artikelen
Privacy AVG Google Analytics noyb Oostenrijk

Reacties (50)

-Moderatie-faq
50
50
28
6
0
19
Wijzig sortering
Wakoz 13 januari 2022 18:21
Toevallig vanmorgen een docu bekeken van Tegenlicht (VPRO) over de data honger van de tech giganten, in dit geval Google en Facebook. En wat er met al die data gebeurt en hoe ze er heel veel geld mee verdienen.

Aflevering heet 'de grote dataroof'. Ik vond het de moeite om deze aflevering te bekijken. Het bracht mij in ieder geval een andere kijk op de zaak.

Voor de geinteresseerden: https://www.npostart.nl/v.../27-10-2019/VPWON_1295417
Minoesh @Wakoz13 januari 2022 21:14
Dankjewel voor de tip. Ik ga kijken.
patesatemate @Wakoz14 januari 2022 00:04
"The Age Of Surveillance Capitalism" van Shoshana Zuboff gaat uitgebreid in op dit fenomeen. Fantastisch boek.
iAR @Wakoz14 januari 2022 07:23
Dit is inderdaad een interessante aflevering. Hij is al wat ouder maar de mevrouw heeft een boeiende kijk op dergelijke bedrijven.
En ik verbaas me er eigenlijk over dat het niet meer stof heeft doen opwaaien (of oplaaien?).
DestroBan @Wakoz14 januari 2022 11:39
Voor de mensen uit belgië die niet naar vpro kunnen kijken: het staat ook op youtube (vrij ironisch inderdaad...): https://www.youtube.com/watch?v=hIXhnWUmMvw

Juist gezien, maar zelf niets bijgeleerd en sommige dingen toch wel op het randje van conspiracy, maar dat is mijn mening :)
Darses 13 januari 2022 18:11
Zie ook de update op de website van de Autoriteit Persoonsgegevens: Hoe kan ik bij Google Analytics de privacy van mijn websitebezoekers beschermen?
Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan

De Oostenrijkse privacytoezichthouder rondde in januari 2022 een onderzoek af naar het gebruik van Google Analytics door een Oostenrijkse website. Google Analytics blijkt volgens de Oostenrijkse toezichthouder in dit onderzochte geval niet aan de AVG te voldoen.

De AP onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet.

[Reactie gewijzigd door Darses op 22 juli 2024 21:46]

Atlantis1995 13 januari 2022 17:34
Waar moet ik aan denken bij 'cookiegegevens '> Ik lees "De dienst stuurt IP-adressen en cookiegegevens van gebruikers naar de VS, wat volgens de waakhond onder de GDPR verboden is."
vliegendekat @Atlantis199513 januari 2022 17:45
Waar moet ik aan denken bij 'cookiegegevens '> Ik lees "De dienst stuurt IP-adressen en cookiegegevens van gebruikers naar de VS, wat volgens de waakhond onder de GDPR verboden is."
Wat je erbij moet denken, is precies wat er staat.

Google moet zijn diensten in de EU gaan hosten en zijn verwerking van dergelijke data in de EU gaan doen. Tevens mag de data (dus ook die van backups) niet meer de EU verlaten zolang de waarborgen niet adequaat zijn en dat zijn deze volgens de Europese toezichthouder(s) dus niet.
Daniel Willems @vliegendekat14 januari 2022 18:48
Hosten in de EU is niet voldoende.

Als gevolg van Amerikaanse wetgeving (Cloud Act, Patriot Act) zijn alle bedrijven die hieronder vallen (inclusief hun dochters) eraan gehouden desgevraagd hun gegevens beschikbaar te stellen aan VS opsporingsdiensten.

Het maakt dus geen verschil of Google (Facebook, AWS, etc.) haar gegevens opslaat in de VS of in bijvoorbeeld Ierland.
Kortom, één gaatje en de hele tent is lek.
vliegendekat @Daniel Willems17 januari 2022 10:43
In dat geval mag men Office365 ook uit alle organisaties gaan slopen.
Floort
@Atlantis199513 januari 2022 17:46
Het gaat vaak om IP adres (inherent aan TCP/IP), een (pseudonieme) identifier van de gebruiker die meestal in een cookie staat opgeslagen en verschillende meta-data zoals de referer-header die de url van de pagina waarop de gegevens zijn verzameld bevat. Afhankelijk van hoe Google Analytics is geconfigureerd kunnen er meer gegevens verzameld worden.

Wat interessant is aan deze zaak is dat Google Analytics geconfigureerd kan worden op een relatief privacyvriendelijke manier. Het grote obstakel hier is de export van gegevens zonder een passend beschermingsniveau. Ik verwacht dat heel veel online tracking/analytics/etc. niet voldoen aan deze norm.
TheDutchChief @Floort13 januari 2022 20:40
Met beschermingsniveau wordt hier gelijkwaardige privacyregels bedoelt. Of de wetgeving in de VS gelijkwaardig is aan de Europese. De Europese rechter vindt al een tijdje van niet. Dus als online tracking/analyse tooling zijn data Europees opslaat voldoet deze wel en Google niet.
Floort
@TheDutchChief13 januari 2022 22:27
Dat zit wat complexer in elkaar. Er zijn verschillende doorgifte-mechanismen mogelijk. Een DTIA (Data Transfer Impact Assessment, risico-beoordeling voor de transfer) over het algemeen behoorlijk lastig om zorgvuldig te maken. Ook gaat het niet over de geografische locatie van opslag, maar ook of een cloud provider buiten de EU bij de data kan komen. En het beschermingsniveau in de V.S. is nooit passend geweest. Er zijn twee aanvullende mechanismen gecreëerd (Safe Harbour en Privacy Shields) die voor een soort opt-in aanvullende bescherming konden zorgen. Maar die zijn beide door de rechter onderuit gehaald.
pbb @Floort18 januari 2022 16:10
IP-adressen worden niet in een cookie opgeslagen. Dat zou ook redelijk onzinnig zijn, aangezien (1) je IP-adres openbaar is voor de webserver waar je op dat moment contact mee hebt, (2) je IP-adres kan veranderen op een willekeurig moment, (3) meerdere gebruikers achter een firewall hetzelfde IP-adres hebben. Wat opgeslagen wordt in de cookie is een unieke ID die door Google Analytics aan jou computer toegekend wordt, zodat ze weten dat je dezelfde gebruiker bent als je de volgende pagina opvraagt.

Wel frappant de opspraak over IP-adressen, aangezien die de technische ruggegraat vormen van het internet. Als je je IP-adres niet naar de webserver stuurt, dan kun je geen communicatie met die server hebben en dus geen pagina's opvragen...
GoBieN-Be @pbb19 januari 2022 12:47
Jij mag zelf wel je IP adres aan een webserver openbaren, zoals nodig om de website te bezoeken. De uitspraak gaat erover dat de website eigenaar, of een 3rde partij die gegevens (dat IP adres + ...) niet zomaar mag naar ergens anders doorsturen.
Wolfos @Atlantis199514 januari 2022 11:07
Google verzamelt zoveel mogelijk gegevens, zodat ze individuele gebruikers kunnen herkennen. Zelfs op andere websites.
Google weet zo precies welke pagina's jij bezoekt op Tweakers.
HansvDr 13 januari 2022 18:25
Mooi zo, weg ermee regel die statistieken maar op je eigen server
CAPSLOCK2000
@HansvDr14 januari 2022 01:01
Mooi zo, weg ermee regel die statistieken maar op je eigen server
De lastige waarheid is dan wel dat die 'eigen server' steeds vaker een VM in de cloud is van precies dezelfde Amerikaanse bedrijven. Maar dat is toch nog beter dan Google Analytics en andere cookienetwerken.

[Reactie gewijzigd door CAPSLOCK2000 op 22 juli 2024 21:46]

RobbyTown @HansvDr13 januari 2022 18:35
Juist! Als je daar de kennis niet voor hebt en Matomo te log / uitgebreid is Plausible.io simpel alternatief (zelf hosted gratis en betaald hosted door Plausible).
No cookies and fully compliant with GDPR, CCPA and PECR. Made and hosted in the EU

[Reactie gewijzigd door RobbyTown op 22 juli 2024 21:46]

Jochem @RobbyTown14 januari 2022 07:02
Naïf. Hoe ga je dan om met adwords en advertentie campaigns? Website optimiser en search console? Dat hangt allemaal achter de Analytics.
RobbyTown @Jochem14 januari 2022 08:13
Nvt. Maak ik geen gebruik van voor persoonlijke website en hobbyclubs.
Ed Vertijsment @Jochem14 januari 2022 10:27
Komt bij mij pas na wetgeving op het lijstje.
Anoniem: 574346 13 januari 2022 18:45
Vreemd. Ik gebruik analytics op tientallen sites en heb al jaren ip's op anoniem staan binnen de settings. Omdat dit vanwege europese regelgeving verplicht was en we er toch niks konden. Je zou toch zeggen dat de gebruiker van de software dus verantwoordelijk is voor het anonimiseren van deze gegevens en niet google die de software ook buiten europa gebruikt.
Markappelman @Anoniem: 57434613 januari 2022 19:53
Jij hebt het op orde, maar het probleem is dat hetzelfde GA-cookie hergebruikt wordt op andere sites met Google Analytics. Als niet alle sites het IP-adres anonimiseren dan is het verkeer wat jij naar Google Analytics stuurt ook herleidbaar. Niet voor jouw maar wel voor Google. Overigens zou Google daar in principe niets mee mogen doen voor hun eigen doel als je dit zo hebt ingesteld in Google Analytics.
RobbieB @Markappelman13 januari 2022 22:28
Dat hoeft ook niet persé Google te zijn, maar omdat het naar US servers gaat hebben de intelligence diensten er ook toegang toe. En in dit geval heeft de rechter gezegd dat ‘encryptie’ van de data niet afdoende is. Immers de intelligence diensten kunnen gewoon de decryptie key eisen.
Noitisnt 13 januari 2022 17:43
Nou Tweakers, werk aan de winkel dus!
Frame164 13 januari 2022 20:34
Ik denk dat we deze site maar even moeten mijden totdat de IT guys van DPG/Tweakers de boel hebben opgeschoond.
Maurits van Baerle 13 januari 2022 20:54
Ik gebruik Matomo op een paar plekken omdat ik geen data over mijn bezoekers naar Google wil sturen en in Matomo kun je allerlei privacyniveaus kiezen. Eentje daarvan is om het laatste of de laatste twee octetten van het IP-adres weg te laten. Zo weet je grofweg wel zo'n beetje in welke stad een bezoeker zich bevindt maar niet veel preciezer dan dat.

Ik vermoed dat dit anonimiseren door Matomo op mijn eigen server gebeurt (die in mijn geval altijd in de EU staat, servers buiten de EU doe ik niet aan). Maar, zou Google Analytics niets iets aan hun client (de JavaScript die je op je site plaatst) kunnen doen zodat het anonimiseren client side gebeurt? Als de client het lokale adres opvraagt en een laatste stukje er af knipt voordat het naar de server wordt gestuurd dan ben je al een heel eind, lijkt me.
Dan0sz
13 januari 2022 21:27
Dit is één van de redenen, waarom ik CAOS gebouwd heb (voor WordPress.)

Kan gemakkelijk cookieless (a.d.h.v. JavaScript's LocalStorage) worden gemaakt én heeft een eigen proxy die o.a. het IP adres volledig anonimiseerd alvorens het naar Google Analytics te sturen. Het enige IP adres wat dus bij GA bekend wordt is het IP adres van de server die de data stuurt.

Het is jammer dat Google Analytics de default (niet privacy vriendelijke) configuratie zo door iedereen z'n strot duwt, want het kan echt wel op een GDPR-vriendelijke manier worden ingesteld.
w3news @Dan0sz17 januari 2022 12:26
FYI het gaat totaal niet over cookies, daarom heb ik ook zo'n hekel aan die meldingen/balken die zeggen of je cookies wilt accepteren.
Het gaat over het volgen van bezoekers, of je een token opslaat in een cookie of localstorage maakt voor de wet niet uit.

Dat je het ip adres niet doorstuurt is netjes, hierdoor maak je het inderdaad een stuk anoniemer.
In Matomo kun je dit overigens ook op verschillende niveaus instellen.
Dan0sz
@w3news18 januari 2022 19:41
Mwah, klein beetje wel. Door Google Analytics nu o.a. cookieless te maken, onderbreek je de tracking met data die Google nu al van je heeft. Omdat de uid of cid nu iedere sessie wisselt.

Voorbeeld:
Gebruiker surft al jaren op het web; Google heeft een IP adres verzameld, en deze gekoppeld aan een uniek uid of cid.

Opeens wordt de AVG ingevoerd, en moet Google aanpassingen doen. De anonymize IP parameter wordt ingevoerd.

Website eigenaren voeren die massaal in, dus nu wordt het IP-adres van gebruiker gemaskeert. Supertof! Maar in z'n cookies staat nog steeds z'n unieke cid of uid, die al bij Google bekend is. Nu kan Google hem dus nog steeds herkennen, en zelfs verifiëren dat hij het is a.d.h.v. z'n gedeeltelijke IP adres.

Dit staat erover in die complaint:

"UUID (Universally Unique Identifier) in the _gid cookie with the UNIX time stamp 1597223478
was set on Wednesday, August 12, 2020 at 11:11 and 18 seconds CET, that in the cid cookie with the
UNIX time stamp 1597394734 was set on Friday, August 14th August 2020 at 10:45 and 34 seconds
CET. It follows that these cookies are used before the visit to which the complaint is made and longer-term tracking has taken place. To the best of his knowledge, the complainant did not
immediately delete these cookies and the website."

Eind pagina 7, en gaat door tot eind pagina 8.
w3news @Dan0sz18 januari 2022 19:56
Ja ok, het gaat er om dat Google d.m.v. de opgeslagen uuid de hele geschiedenis kan achterhalen, dit doorbreek je inderdaad.
Maar wat het wordt opgeslagen, of dat een cookie is, local storage, indexeddb, ...
Dat doet er niet toe, het gaat er inderdaad om daar het geen stalk gedrag wordt.
Dan0sz
@w3news18 januari 2022 20:27
Ja, klopt helemaal!
GekkePrutser 14 januari 2022 01:21
Nice. Eindelijk eens een keertje goed nieuws op privacygebied.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq