Oostenrijkse privacytoezichthouder: Google Analytics is in strijd met GDPR

Google Analytics is volgens de Oostenrijkse privacytoezichthouder in strijd met Europese privacywetgeving. De dienst stuurt IP-adressen en cookiegegevens van gebruikers naar de VS, wat volgens de waakhond onder de GDPR verboden is.

IP-adressen en cookiedata vallen volgens de Oostenrijkse privacywaakhond onder persoonlijke gegevens en mogen daarom volgens de privacywet niet naar de Verenigde Staten overgedragen worden, schrijft privacystichting noyb. Als verweer zei Google gebruikersgegevens voldoende versleuteld te hebben, maar volgens de Oostenrijkse waakhond zijn de getroffen maatregelen van de zoekgigant niet effectief voor het voorkomen van spionage vanuit de VS. Het is onduidelijk of er sancties genomen zullen worden, schrijft noyb; dat staat los van deze procedure.

Het is de eerste uitspraak in een van de 101 aanklachten over datatransfers naar de VS die de privacystichting in 2020 indiende bij verschillende Europese privacytoezichthouders. Ook in Nederland en België zijn er klachten ingediend; die gaan onder andere over de websites van Marktplaats, PostNL, Thuisbezorgd, Neckermann, Bpost. Het is niet bekend of die in behandeling zijn genomen door de Nederlandse en Belgische toezichthouders en wat de status daarvan is.

Volgens Max Schrems, de voorzitter van noyb, betekent deze beslissing dat bedrijven niet langer Amerikaanse clouddiensten in Europa kunnen gebruiken. ''Het is meer dan anderhalf jaar sinds het Hof van Justitie dit voor een tweede keer heeft bevestigd, dus het is goed dat er nu ook wordt gehandhaafd.''

Deze beslissing heeft volgens noyb gevolgen voor alle Europese websites. ''Dat toezichthouders nu gaandeweg diensten uit de VS illegaal verklaren, zorgt ervoor dat EU-bedrijven en VS-providers meer druk zullen voelen om veilige en legale opties te gaan gebruiken, zoals hosten buiten de VS." Schrems zegt te verwachten dat meer EU-lidstaten dergelijke beslissingen zullen nemen. "Uiteindelijk krijgen we of adequate bescherming in de VS, of afzonderlijke producten in de VS en de EU.''

Door Kevin Krikhaar

Redacteur

13-01-2022 • 17:26

50 Linkedin

Submitter: BigSmurf

Reacties (50)

50
50
28
6
0
19
Wijzig sortering
Toevallig vanmorgen een docu bekeken van Tegenlicht (VPRO) over de data honger van de tech giganten, in dit geval Google en Facebook. En wat er met al die data gebeurt en hoe ze er heel veel geld mee verdienen.

Aflevering heet 'de grote dataroof'. Ik vond het de moeite om deze aflevering te bekijken. Het bracht mij in ieder geval een andere kijk op de zaak.

Voor de geinteresseerden: https://www.npostart.nl/v.../27-10-2019/VPWON_1295417
Dankjewel voor de tip. Ik ga kijken.
"The Age Of Surveillance Capitalism" van Shoshana Zuboff gaat uitgebreid in op dit fenomeen. Fantastisch boek.
Dit is inderdaad een interessante aflevering. Hij is al wat ouder maar de mevrouw heeft een boeiende kijk op dergelijke bedrijven.
En ik verbaas me er eigenlijk over dat het niet meer stof heeft doen opwaaien (of oplaaien?).
Voor de mensen uit belgië die niet naar vpro kunnen kijken: het staat ook op youtube (vrij ironisch inderdaad...): https://www.youtube.com/watch?v=hIXhnWUmMvw

Juist gezien, maar zelf niets bijgeleerd en sommige dingen toch wel op het randje van conspiracy, maar dat is mijn mening :)
Zie ook de update op de website van de Autoriteit Persoonsgegevens: Hoe kan ik bij Google Analytics de privacy van mijn websitebezoekers beschermen?
Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan

De Oostenrijkse privacytoezichthouder rondde in januari 2022 een onderzoek af naar het gebruik van Google Analytics door een Oostenrijkse website. Google Analytics blijkt volgens de Oostenrijkse toezichthouder in dit onderzochte geval niet aan de AVG te voldoen.

De AP onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet.

[Reactie gewijzigd door Darses op 13 januari 2022 19:44]

Waar moet ik aan denken bij 'cookiegegevens '> Ik lees "De dienst stuurt IP-adressen en cookiegegevens van gebruikers naar de VS, wat volgens de waakhond onder de GDPR verboden is."
Waar moet ik aan denken bij 'cookiegegevens '> Ik lees "De dienst stuurt IP-adressen en cookiegegevens van gebruikers naar de VS, wat volgens de waakhond onder de GDPR verboden is."
Wat je erbij moet denken, is precies wat er staat.

Google moet zijn diensten in de EU gaan hosten en zijn verwerking van dergelijke data in de EU gaan doen. Tevens mag de data (dus ook die van backups) niet meer de EU verlaten zolang de waarborgen niet adequaat zijn en dat zijn deze volgens de Europese toezichthouder(s) dus niet.
Hosten in de EU is niet voldoende.

Als gevolg van Amerikaanse wetgeving (Cloud Act, Patriot Act) zijn alle bedrijven die hieronder vallen (inclusief hun dochters) eraan gehouden desgevraagd hun gegevens beschikbaar te stellen aan VS opsporingsdiensten.

Het maakt dus geen verschil of Google (Facebook, AWS, etc.) haar gegevens opslaat in de VS of in bijvoorbeeld Ierland.
Kortom, één gaatje en de hele tent is lek.
In dat geval mag men Office365 ook uit alle organisaties gaan slopen.
Het gaat vaak om IP adres (inherent aan TCP/IP), een (pseudonieme) identifier van de gebruiker die meestal in een cookie staat opgeslagen en verschillende meta-data zoals de referer-header die de url van de pagina waarop de gegevens zijn verzameld bevat. Afhankelijk van hoe Google Analytics is geconfigureerd kunnen er meer gegevens verzameld worden.

Wat interessant is aan deze zaak is dat Google Analytics geconfigureerd kan worden op een relatief privacyvriendelijke manier. Het grote obstakel hier is de export van gegevens zonder een passend beschermingsniveau. Ik verwacht dat heel veel online tracking/analytics/etc. niet voldoen aan deze norm.
Met beschermingsniveau wordt hier gelijkwaardige privacyregels bedoelt. Of de wetgeving in de VS gelijkwaardig is aan de Europese. De Europese rechter vindt al een tijdje van niet. Dus als online tracking/analyse tooling zijn data Europees opslaat voldoet deze wel en Google niet.
Dat zit wat complexer in elkaar. Er zijn verschillende doorgifte-mechanismen mogelijk. Een DTIA (Data Transfer Impact Assessment, risico-beoordeling voor de transfer) over het algemeen behoorlijk lastig om zorgvuldig te maken. Ook gaat het niet over de geografische locatie van opslag, maar ook of een cloud provider buiten de EU bij de data kan komen. En het beschermingsniveau in de V.S. is nooit passend geweest. Er zijn twee aanvullende mechanismen gecreëerd (Safe Harbour en Privacy Shields) die voor een soort opt-in aanvullende bescherming konden zorgen. Maar die zijn beide door de rechter onderuit gehaald.
IP-adressen worden niet in een cookie opgeslagen. Dat zou ook redelijk onzinnig zijn, aangezien (1) je IP-adres openbaar is voor de webserver waar je op dat moment contact mee hebt, (2) je IP-adres kan veranderen op een willekeurig moment, (3) meerdere gebruikers achter een firewall hetzelfde IP-adres hebben. Wat opgeslagen wordt in de cookie is een unieke ID die door Google Analytics aan jou computer toegekend wordt, zodat ze weten dat je dezelfde gebruiker bent als je de volgende pagina opvraagt.

Wel frappant de opspraak over IP-adressen, aangezien die de technische ruggegraat vormen van het internet. Als je je IP-adres niet naar de webserver stuurt, dan kun je geen communicatie met die server hebben en dus geen pagina's opvragen...
Jij mag zelf wel je IP adres aan een webserver openbaren, zoals nodig om de website te bezoeken. De uitspraak gaat erover dat de website eigenaar, of een 3rde partij die gegevens (dat IP adres + ...) niet zomaar mag naar ergens anders doorsturen.
Google verzamelt zoveel mogelijk gegevens, zodat ze individuele gebruikers kunnen herkennen. Zelfs op andere websites.
Google weet zo precies welke pagina's jij bezoekt op Tweakers.
Mooi zo, weg ermee regel die statistieken maar op je eigen server
Mooi zo, weg ermee regel die statistieken maar op je eigen server
De lastige waarheid is dan wel dat die 'eigen server' steeds vaker een VM in de cloud is van precies dezelfde Amerikaanse bedrijven. Maar dat is toch nog beter dan Google Analytics en andere cookienetwerken.

[Reactie gewijzigd door CAPSLOCK2000 op 14 januari 2022 01:02]

Juist! Als je daar de kennis niet voor hebt en Matomo te log / uitgebreid is Plausible.io simpel alternatief (zelf hosted gratis en betaald hosted door Plausible).
No cookies and fully compliant with GDPR, CCPA and PECR. Made and hosted in the EU

[Reactie gewijzigd door RobbyTown op 13 januari 2022 18:39]

Naïf. Hoe ga je dan om met adwords en advertentie campaigns? Website optimiser en search console? Dat hangt allemaal achter de Analytics.
Nvt. Maak ik geen gebruik van voor persoonlijke website en hobbyclubs.
Komt bij mij pas na wetgeving op het lijstje.
Vreemd. Ik gebruik analytics op tientallen sites en heb al jaren ip's op anoniem staan binnen de settings. Omdat dit vanwege europese regelgeving verplicht was en we er toch niks konden. Je zou toch zeggen dat de gebruiker van de software dus verantwoordelijk is voor het anonimiseren van deze gegevens en niet google die de software ook buiten europa gebruikt.
Jij hebt het op orde, maar het probleem is dat hetzelfde GA-cookie hergebruikt wordt op andere sites met Google Analytics. Als niet alle sites het IP-adres anonimiseren dan is het verkeer wat jij naar Google Analytics stuurt ook herleidbaar. Niet voor jouw maar wel voor Google. Overigens zou Google daar in principe niets mee mogen doen voor hun eigen doel als je dit zo hebt ingesteld in Google Analytics.
Dat hoeft ook niet persé Google te zijn, maar omdat het naar US servers gaat hebben de intelligence diensten er ook toegang toe. En in dit geval heeft de rechter gezegd dat ‘encryptie’ van de data niet afdoende is. Immers de intelligence diensten kunnen gewoon de decryptie key eisen.
Nou Tweakers, werk aan de winkel dus!
Ik denk dat we deze site maar even moeten mijden totdat de IT guys van DPG/Tweakers de boel hebben opgeschoond.
Ik gebruik Matomo op een paar plekken omdat ik geen data over mijn bezoekers naar Google wil sturen en in Matomo kun je allerlei privacyniveaus kiezen. Eentje daarvan is om het laatste of de laatste twee octetten van het IP-adres weg te laten. Zo weet je grofweg wel zo'n beetje in welke stad een bezoeker zich bevindt maar niet veel preciezer dan dat.

Ik vermoed dat dit anonimiseren door Matomo op mijn eigen server gebeurt (die in mijn geval altijd in de EU staat, servers buiten de EU doe ik niet aan). Maar, zou Google Analytics niets iets aan hun client (de JavaScript die je op je site plaatst) kunnen doen zodat het anonimiseren client side gebeurt? Als de client het lokale adres opvraagt en een laatste stukje er af knipt voordat het naar de server wordt gestuurd dan ben je al een heel eind, lijkt me.
Dit is één van de redenen, waarom ik CAOS gebouwd heb (voor WordPress.)

Kan gemakkelijk cookieless (a.d.h.v. JavaScript's LocalStorage) worden gemaakt én heeft een eigen proxy die o.a. het IP adres volledig anonimiseerd alvorens het naar Google Analytics te sturen. Het enige IP adres wat dus bij GA bekend wordt is het IP adres van de server die de data stuurt.

Het is jammer dat Google Analytics de default (niet privacy vriendelijke) configuratie zo door iedereen z'n strot duwt, want het kan echt wel op een GDPR-vriendelijke manier worden ingesteld.
FYI het gaat totaal niet over cookies, daarom heb ik ook zo'n hekel aan die meldingen/balken die zeggen of je cookies wilt accepteren.
Het gaat over het volgen van bezoekers, of je een token opslaat in een cookie of localstorage maakt voor de wet niet uit.

Dat je het ip adres niet doorstuurt is netjes, hierdoor maak je het inderdaad een stuk anoniemer.
In Matomo kun je dit overigens ook op verschillende niveaus instellen.
Mwah, klein beetje wel. Door Google Analytics nu o.a. cookieless te maken, onderbreek je de tracking met data die Google nu al van je heeft. Omdat de uid of cid nu iedere sessie wisselt.

Voorbeeld:
Gebruiker surft al jaren op het web; Google heeft een IP adres verzameld, en deze gekoppeld aan een uniek uid of cid.

Opeens wordt de AVG ingevoerd, en moet Google aanpassingen doen. De anonymize IP parameter wordt ingevoerd.

Website eigenaren voeren die massaal in, dus nu wordt het IP-adres van gebruiker gemaskeert. Supertof! Maar in z'n cookies staat nog steeds z'n unieke cid of uid, die al bij Google bekend is. Nu kan Google hem dus nog steeds herkennen, en zelfs verifiëren dat hij het is a.d.h.v. z'n gedeeltelijke IP adres.

Dit staat erover in die complaint:

"UUID (Universally Unique Identifier) in the _gid cookie with the UNIX time stamp 1597223478
was set on Wednesday, August 12, 2020 at 11:11 and 18 seconds CET, that in the cid cookie with the
UNIX time stamp 1597394734 was set on Friday, August 14th August 2020 at 10:45 and 34 seconds
CET. It follows that these cookies are used before the visit to which the complaint is made and longer-term tracking has taken place. To the best of his knowledge, the complainant did not
immediately delete these cookies and the website."

Eind pagina 7, en gaat door tot eind pagina 8.
Ja ok, het gaat er om dat Google d.m.v. de opgeslagen uuid de hele geschiedenis kan achterhalen, dit doorbreek je inderdaad.
Maar wat het wordt opgeslagen, of dat een cookie is, local storage, indexeddb, ...
Dat doet er niet toe, het gaat er inderdaad om daar het geen stalk gedrag wordt.
Nice. Eindelijk eens een keertje goed nieuws op privacygebied.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee