Ook Franse toezichthouder verbiedt gebruik van Google Analytics

De Franse privacytoezichthouder zegt dat het gebruik van Google Analytics niet is toegestaan. De CNIL onderzocht een website na een klacht van privacyactivist Max Schrems en concludeert dat de analysetool in strijd is met de AVG.

De Commission Nationale de l'Informatique et des Libertés heeft zich uitgesproken tegen het gebruik van Google Analytics. De Franse toezichthouder schaart zich daarmee achter eerdere uitspraken van de Oostenrijkse en Noorse toezichthouders. Die concludeerden eerder al in onderzoeken dat het gebruik van de analysetool in strijd is met de AVG. Het gaat niet om de tool zelf, maar om hoe die wordt gebruikt.

Het bezwaar van de CNIL ligt in de manier waarop data van websitebezoekers naar de VS wordt gestuurd. Sinds een uitspraak van het Hof van Justitie van de Europese Unie in 2020 mag data van Europeanen alleen naar de VS worden verstuurd met 'standaard contractuele clausules'. Die moeten garanderen dat data in de VS beschermd wordt, zodat bijvoorbeeld geheime diensten er niet bij kunnen. De Franse privacywaakhond concludeert nu dat dat niet het geval is. "Hoewel Google verschillende maatregelen heeft opgesteld om dataverzending naar andere landen te reguleren, zijn deze niet voldoende om de toegang door Amerikaanse inlichtingendiensten te beschermen", schrijft de toezichthouder.

Omdat de dataoverdracht onvoldoende beschermd is in de contracten, overtreden websites die Google Analytics gebruiken Artikel 44 van de AVG. De CNIL geeft de onderzochte websites een maand de tijd om aan de AVG te voldoen. Ze krijgen nu geen boete. Door de manier waarop Google Analytics werkt, is het niet mogelijk om de analysetool te gebruiken en tegelijkertijd aan de AVG te voldoen. Daarom heeft de websitebeheerder geen andere keus dan te stoppen met het gebruik van Analytics.

De uitspraak is in de eerste plaats van toepassing op de niet nader genoemde website die de CNIL onderzocht. Dat gebeurde naar aanleiding van een klacht van privacyactivist Max Schrems. Die diende in 2020 in heel Europa 101 klachten in bij nationale toezichthouders over het gebruik van Google Analytics. In Nederland heeft Schrems de Autoriteit Persoonsgegevens gevraagd om naar onder andere Marktplaats en Thuisbezorgd te kijken. De AP heeft nog geen officieel onderzoek afgerond naar de klacht, maar waarschuwt dat het gebruik van Analytics 'mogelijk binnenkort niet meer is toegestaan'. "Omdat de bestuurswet per Europees land verschilt, kunnen er verschillen zijn per land", zei een woordvoerder van de AP eerder tegen Tweakers. "Dat wordt zorgvuldig uitgezocht, voordat we daar uitspraken over doen. Nederland moet zijn regels volgen in de lopende onderzoeken om fair op te kunnen treden als toezichthouder. De AVG geldt Europees, maar lokale onderzoeken hebben ook specifieke lokale regels die gevolgd moeten worden."

De CNIL benadrukt dat de uitspraak alleen van toepassing is op Franse websites. Toch heeft de uitspraak waarschijnlijk grote gevolgen voor Nederlandse gebruikers, schreef Tweakers eerder al in een achtergrondartikel over het verbod.

IT-banen

Reacties (116)

André

Google Analytics

10 februari 2022 15:05

De discussie is breder dan de tool die in het artikel genoemd wordt, heel veel tools slaan een anoniem ID in een cookie op en verwerken dat ergens in de US. Het is goed dat hier aandacht voor komt, maar we moeten nu ook niet krijgen dat er geen enkele Amerikaanse tool meer gebruikt mag worden.

In het geval van Google kan Google regelen waar de data opgeslagen moet worden, voor Google Cloud is dit bijvoorbeeld al mogelijk. Maar wat als Engeland het dan ook weer apart wil. Moet al deze anonieme data dan per gebruiker in zijn eigen land opgeslagen worden? In theorie zou het kunnen, maar dat brengt ook wel weer flinke uitdagingen met zich mee voor kleinere spelers.

De mogelijke oplossing ligt dan wat mij betreft meer bij de clouds die het opslaan van data in het land van de gebruiker beter moeten gaan faciliteren. Vervolgens kunnen de tools die (anonieme) data dan per land gebruiken en verwerken.

[Reactie gewijzigd door André op 24 juli 2024 09:47]

Timoo.vanEsch @André • 10 februari 2022 18:30

De data wordt al "lokaal" opgeslagen.
Dus Europese data staat op Europese servers. Echter; de Amerikaanse overheid heeft een wet ingevoerd die het mogelijk maakt om die data op te eisen, als het om een Amerikaans bedrijf gaat. Dus dat vlaggetje gaat niet -meer- op.

david-v

@Timoo.vanEsch • 10 februari 2022 19:45

Maar mogen ze de data eisen van willekeurige personen of alleen van ingezetenen van de US?

Edit: even wat opgezocht:

Wanneer een verzoek is ingediend bij een Amerikaanse provider, kan deze een motie indienen ter vernietiging of wijziging van het verzoek. Deze motie kan worden ingediend, indien de provider van mening is dat de persoon waarover het verzoek gaat niet een onderdaan is van de Verenigde Staten of zich bevindt in de Verenigde Staten.

Bron

[Reactie gewijzigd door david-v op 24 juli 2024 09:47]

Timoo.vanEsch @david-v • 10 februari 2022 21:25

Wat dus betekent dat als je naar de VS reist, jouw data mag worden ingezien vanaf het moment dat je daar voet aan de grond zet?

david-v

@Timoo.vanEsch • 10 februari 2022 21:35

Volgens mij niet, je moet er echt wonen, andersom zou wel een probleem kunnen zijn, maar ook dat mag niet zomaar. Een Amerikaans bedrijf kan het verzoek weigeren indien:

 The person/entity is not a U.S.
citizen and does not reside in the U.S.
 The required disclosure would create a material risk that the provider
would violate the laws of a qualifying foreign government

So, we will still have a possible conflict if a U.S. citizen, resident in the EU, subject of a CLOUD Act warrant

Edit: verklaring toegevoegd

[Reactie gewijzigd door david-v op 24 juli 2024 09:47]

mambo5 @david-v • 11 februari 2022 02:04

Nee, er mag niet worden gekeken naar data van Amerikaanse staatsburgers of van ingezetenen. Dat is streng wettelijk beperkt, Amerikanen willen dit soort overheids-gedrag niet. De focus is alleen gericht op buitenlanders (vanuit de Amerikaanse beeldvorming). En de wet gaat over Google. Een oplossing is eenvoudig: een Europese stichting die formeel de data in beheer heeft en verwerkingen uitvoert. Deze huurt dan Google in voor alle mogelijke diensten behalve deze twee diensten. Simpel! De Amerikaanse overheid kent geen zeggenschap over een Europese stichting en Google is juridisch geen verwerker of eigenaar (houder) van data.

[Reactie gewijzigd door mambo5 op 24 juli 2024 09:47]

david-v

@mambo5 • 11 februari 2022 07:38

De cloud act gaat juist over Amerikaanse burgers en ingezetenen en specifiek niet over buitenlanders, precies het omgekeerde van wat jij zegt. Wat hier fout gaat is dat Google de verwerking in de VS doet een daar niet de juiste garanties/contracten voor heeft. De oplossing die jij aangeeft "eenvoudig" en "simpel" noemen is alles behalve dat denk ik.

Honytawk @André • 10 februari 2022 15:14

Bij Engeland alleen kan Google er van overwegen om niet meer actief te zijn in dat land.
Maar bij de hele EU zou dat een gigantisch deel van hun omzet zijn, dus zie ik ze dat niet meteen doen.

Verder is het geen probleem om buitenlandse tools te gebruiken, ze zouden hun vergaarde data gewoon niet buiten de EU mogen opslaan.
Dat de meeste Amerikaanse tools daar onder vallen zegt nogal veel over hoe de Amerikaanse ethiek omgaat met buitenlandse data.

[Reactie gewijzigd door Honytawk op 24 juli 2024 09:47]

Blizz @Honytawk • 10 februari 2022 16:32

Een Britse burger is relatief juist meer waard voor Google. Ik kan me nu de bron niet herinneren om ernaar te linken, maar volgens mij kwam ik de link eens hier in de reacties tegen.

Honytawk @Blizz • 10 februari 2022 16:44

Relatief mss wel, aangezien de Britse privacy minder sterk is.
Maar 70 miljoen is wel een pak minder dan 450 miljoen inwoners.

Blizz @Honytawk • 12 februari 2022 00:30

Ja, maar daarom ligt het er ook aan hoeveel waardevoller. Ik herinnerde me iets als 3x zo waardevol, maar dat had ik weer verwijderd omdat ik de bron niet kon terugvinden en dat niet bepaald een klein verschil is.

Dasprive @André • 10 februari 2022 15:26

Twee belangrijke punten om toch even te corrigeren:

1) Er bestaan geen anonieme identifiers, daarom heten het identifiers. Het zijn dus gegevens die identificeren en daarom binnen de scope van de GDPR.

2) Data opslaan in het land van de gebruiker lost hier niets op: de wetgeving is het probleem, niet de fysieke locatie van de data. Dus of die data nu in de VS, Ierland of Nederland staat: probleem blijft voor Amerikaanse bedrijven. En dus zijn we best hard op weg naar een situatie waar Amerikaanse tools waar onze gegevens inzitten, inderdaad niet gebruikt mogen worden.

david-v

@Dasprive • 10 februari 2022 19:51

Je punt twee klopt volgens mij niet. Ik heb het in een bericht hieronder al gemeld. Een Amerikaans bedrijf kan het verzoek weigeren indien het om data gaat van een niet onderdaan of ingezetene in de VS.

mambo5 @david-v • 11 februari 2022 02:10

De wetgeving is niet van toepassing op Amerikaanse ingezetenen of staatsburgers. Hun data is op legale wijze beschermd van de data-speurende autoriteiten.

david-v

@mambo5 • 11 februari 2022 07:39

Hebben we het hier over cloud act? Want dat gaat namelijk over Amerikaanse staatsburgers en ingezetenen waarvan de data elders staat dan op de VS. Dus hoezo is de wet niet van toepassing voor hun? En ja, ze kunnen met cloud act niet zomaar data opeisen, daar zijn allerlei regels voor.

Edit: typo

[Reactie gewijzigd door david-v op 24 juli 2024 09:47]

J2S @André • 10 februari 2022 15:19

Het is goed dat hier aandacht voor komt, maar we moeten nu ook niet krijgen dat er geen enkele Amerikaanse tool meer gebruikt mag worden.

Juist door dit te doen kan Amerika een schop voor de kont krijgen waardoor ze betere tools gaan ontwikkelen. Als we op de huidige manier doorgaan zijn op een gegeven moment wel alle tools uit de VS verboden omdat ze allen niet voldoen.

Het kan mij persoonlijk weinig schelen of er tools uit de VS zijn die hier legaal zijn, garanderen dat niet alle Amerikaanse tools gebanned worden kan geen doel voor ons zijn.

controvi @J2S • 11 februari 2022 00:17

Het is niet echt Amerika die de tools maakt natuurlijk.
Het wordt echter wel steeds moeilijker voor bedrijven in Amerika om van de grond te komen als ze wereldwijd diensten willen leveren.
Want wat nou als Pietje ene tool wilt maken waarbij gebruikers gegevens worden opgeslagen op servers die in de US staan?
Je krijgt straks een situatie dat veel online ondernemers gewoon niet eens meer beginnen aan europ en het gewoon overslaan.

De manier waarop de groep dinos bezig is in europa is eerder killing voor het internet in de EU dan dat het helpt.
Ik bedoel niet te zeggen dat het niet goed is dat ze onze data proberen te beschermen, maar ik de manier waarop gekeken wordt naar technologie door brussel is wel echt verschrikkelijk paniekerig

Anoniem: 696166 10 februari 2022 14:56

Het gaat niet om de tool zelf, maar om hoe die wordt gebruikt
...
Door de manier waarop Google Analytics werkt, is het niet mogelijk om de analysetool te gebruiken en tegelijkertijd aan de AVG te voldoen

dat is toch compleet tegenstrijdig?

Iblies @Anoniem: 696166 • 10 februari 2022 15:35

Dit is meer politiek dan begrijpen.

De cloudact is in 2018 ingegaan nadat er klachten waren dat oa microsoft gegevens naar de VS stuurde en dat daar verschillende diensten bij konden.

https://en.wikipedia.org/...t_v._United_States_(2016)
Microsoft zegt tegen de overheid, nee kan niet ivm contractbreuk,
vervolgens komt er een nieuwe wet die de VS, indien nodig, de macht geeft om bij alle data van VS bedrijven te komen.
https://en.wikipedia.org/wiki/CLOUD_Act

Met name “indien nodig” wordt ten zeerste in twijfel getrokken en als niet-VS’ser ben je tot een bepaalde hoogte vogelvrij.

De boodschap van de EU is anno 2020, er gaat geen data meer naar de VS. Oa Google, Facebook, Microsoft mogen het het zelf uitzoeken hoe ze het gaat oplossen. Uiteindelijk is dat een win-win-win scenario in de ogen van verschillende politici.

Er komen meer EU-bedrijven en het is makkelijk zelf daar een kijkje te nemen indien nodig. Met corona zijn veel landen ook meer gaan beseffen dat dergelijke bedrijven en extreem veel macht hebben en dat het geen normale gesprekspartners zijn die meedenken en willen begrijpen wat de boodschap is. En daar maken alle 5 zich schuldig aan.

Ook politici zelf in de VS zijn terughouden in kritiek. Het gevolg is dat deze bedrijven kwa omzet een heel stuk kleiner gaan worden,
maar het is politieke zelfmoord om in deze tijd op te komen voor deze partijen die aan de ene kant extreem veel bagger over zich heen krijgen, maar waar aan de andere kant iedereen nog gebruik van maakt.

Timoo.vanEsch @Iblies • 10 februari 2022 18:22

...
Ook politici zelf in de VS zijn terughouden in kritiek. Het gevolg is dat deze bedrijven kwa omzet een heel stuk kleiner gaan worden,
maar het is politieke zelfmoord om in deze tijd op te komen voor deze partijen die aan de ene kant extreem veel bagger over zich heen krijgen, maar waar aan de andere kant iedereen nog gebruik van maakt.

Dat laatste hoeft zeker niet het geval te zijn.
Het enige wat al die bedrijven volgens mij wèl moeten doen, is ervoor zorgen dat al die data in Europese datacenters blijft, welke niet toegankelijk zijn voor USA. En dat werkt door onafhankelijke entiteiten te creëren in Europa, die niet rapporteren aan het hoofdkantoor in de USA.

Dus; Een Alphabet-zuster in Ierland, een Amazon-zuster in Luxemburg, een Meta-zuster in -weet-ik-veel waar FB zit in Europa. Wat volwaardige spin-offs zijn die onafhankelijk opereren van de kantoren in de USA. En waarin de Amerikaanse entiteiten geen zeggenschap hebben, of in een minderheidsbelang als dat de CLOUD-Act omzeilt.

Vervolgens kan men overleg-organen creëren waarin die verschillende zuster-bedrijven hun activiteiten coördineren, bijvoorbeeld. Een soort van praatgroepen, zoals nu ook het geval is tussen al die grote productie-multinationals. Unilever die met Shell en Nestlé aan tafel zit om te bepalen wat "sustainability" betekent, bijvoorbeeld.

Dat dat nogal wat voeten in de aarde heeft, moge duidelijk zijn. Maar moeilijk is het niet, data- en accounting-gewijs.

3 voordelen, voor Europa: Europese omzet moet in Europa worden gedeclareerd en de Amerikaanse geheime diensten hebben het nakijken. Die zullen moeten aankloppen bij de Europese geheime diensten voor die data... Met als gevolg dat er leverage ontstaat: "Geef ons data van Amerikanen, in ruil voor data van Europeanen."

[Reactie gewijzigd door Timoo.vanEsch op 24 juli 2024 09:47]

blehz @Timoo.vanEsch • 10 februari 2022 19:48

Omzet in Europa gedeclareerd? Ik betwijfel het. Al die multinationals maken hier zogezegd verlies. Dat is al lang zo en heeft niets te maken met waar data zich bevind of dat je al dan niet een vestiging hebt in een land.

Edit: wel dat heb je er mooi weer uit geedit

[Reactie gewijzigd door blehz op 24 juli 2024 09:47]

Timoo.vanEsch @blehz • 10 februari 2022 21:26

Nee, toch?
Staat er nog steeds, volgens mij. Onderaan, laatste alinea.

blehz @Timoo.vanEsch • 11 februari 2022 07:53

Inderdaad

jochemd @Timoo.vanEsch • 10 februari 2022 21:10

3 voordelen, voor Europa: Europese omzet moet in Europa worden gedeclareerd en de Amerikaanse geheime diensten hebben het nakijken. Die zullen moeten aankloppen bij de Europese geheime diensten voor die data... Met als gevolg dat er leverage ontstaat: "Geef ons data van Amerikanen, in ruil voor data van Europeanen."

Europese diensten zijn helemaal niet geinteresseerd in data van Amerikanen. Europese diensten zijn geinteresseerd in data van Europeanen. Die ze voor de Cloud Act niet konden krijgen omdat ze die data bij een Amerikaans bedrijf moesten opvragen, dat bedrijf nee zei en de Europese diensten toen geen machtsmiddelen hadden. Dus moesten ze een rechtshulpverzoek indienen wat gemiddeld 10 maanden duurt.

Nu met de Cloud Act is het zo dat landen op de samenwerkingslijst rechtstreeks data mogen opvragen en Amerikaanse bedrijven moeten doen alsof het verzoek afkomstig is van een Amerikaanse dienst. In ruil daarvoor mogen Amerikaanse diensten data opvragen bij bedrijven in de landen waar mee samengewerkt wordt. Hiermee vragen de Amerikanen nu straks (edit: alleen de UK staat momentel op die lijst volgens mij) data op bij bedrijven als Microsoft SARL en Amazon SARL. Wat ze natuurlijk gestroomlijnd hebben door het aan de lokale Amerikaanse vertegenwoordiging van die bedrijven te vragen.

Lawfare heeft wel een aantal interessante artikelen hierover.

[Reactie gewijzigd door jochemd op 24 juli 2024 09:47]

controvi @Timoo.vanEsch • 11 februari 2022 00:24

Vergeet niet dat uit eindelijk er alsnog communitcatie MOET zijn tussen alle servers.
Dat is ook waarin ik me altijd afvraag in hoeverre ze bedoelen dat jouw data binnen de EU moet blijven.

Als ik chat met iemand uit de US, waar staat die data dan?
Als ik een mail stuur naar iemand in Texas, waar staat die mail dan?
Hoe zit het met gedeelde bestanden in google drive? En wat als ik een link deel met iemand en hij doet wijzigingen in een document? Staat dat document dan in europa ? staat die in de US.
En waar wordt bijgehouden wie aan dat bestand heeft gewerkt?
Waar zit de communicatie tussen dit alles?

Het lijkt wellicht heel simpel maar denk dat je snel terug komt op allemaal onafhankelijke Branch kantoren en daarbij, in het geval complete scheiding, je niet meer kunt samenwerken met de US.

Het is zeer ingewikkeld en denk dat het meer schade doet dan goed.
Helemaal als partijen als facebook en google plots zeggen "hier kunnen we niks meer mee, tot ziens"
Dat gaat denk ik economisch in de EU ook nog HEEL VEEL Schade doen aan het bedrijfsleven.

Timoo.vanEsch @controvi • 17 februari 2022 20:11

Daar heb je volledig gelijk in.
Echter; GPRS (AVG) gaat volgens mij vooral over privacy-gevoelige data, niet zozeer of chatlogs.
Email wordt idd al gevoelig; als ik gevoelige informatie deel met een kennis in de USA, is die dan beschikbaar voor de CIA?

Pluto_P @Anoniem: 696166 • 10 februari 2022 15:05

Lijkt me een beetje onduidelijk opgeschreven.

Ik gok dat er wordt bedoelt:
Google analytics zelf is niet illegaal.
Google analytics gebruiken voor het verwerken van data van Europese burgers is wel illegaal.

(Dat data verwerken zo'n beetje het enige is wat je met zo'n tool doet maakt het onderscheid natuurlijk wat minder relevant)

hoeksmarp @Pluto_P • 10 februari 2022 16:49

Ik denk zelfs dat er bedoeld wordt (mijn interpretatie) dat met de tool data van Europese burgers verwerken niet inzichzelf illegaal is (bijvoorbeeld als Google een Europees bedrijf was geweest wat zich aan de Europese wet houdt met Europese servers), maar dat doordat die verwerking inherent door een Amerikaans bedrijf gebeurt het niet op een legale manier kan plaatsvinden.

Fireshade @hoeksmarp • 10 februari 2022 19:37

doordat die verwerking inherent door een Amerikaans bedrijf gebeurt het niet op een legale manier kan plaatsvinden.

Notitie daarbij: het is illegaal omdat de Amerikaanse bedrijven onder Amerikaanse wetten vallen, die het mogelijk maken dat de Amerikaanse overheid en inlichtingendienst toch bij de data kan komen. Was die wet er niet, dan was er waarschijnlijk geen probleem geweest.

In navolging van deze uitspraken van het Hof e.d.: als je "Europese" (?) websites hebt draaien bij Amerikaanse hosters, moet je dan ook de webstats uitschakelen of zo?

Superstoned @Fireshade • 10 februari 2022 21:50

.. en hetzelfde gaat dus op voor Google Workspace en Microsoft 365.

controvi @Superstoned • 11 februari 2022 00:28

Het zelfde gaat gelden voor zon beetje elke grote online dienst.
Wat gebeurd er dan straks als Windows as a Service doorgezet wordt.

Stel je voor dat Microsoft zegt tegen de EU "jow gasten, sorry maar dit is onmogelijk voor ons om te implementeren dus ga maar lekker op linux verder"

ik denk dat er een berg echte professionals die lui in brussel ff moete helpen tot rust te komen.
Het voelt op dit moment echt als een soort paniek voetbal in brussel.
Als het woord "internet" valt duiken ze volgens mij allemaal onder de tafels van angs.

maevian @controvi • 11 februari 2022 01:09

Dat zou geweldig zijn voor Linux, maar wees gerust dat Microsoft het niet kan veroorloven om heel de EU markt links te laten liggen.

Ratpack @controvi • 11 februari 2022 11:58

Ik denk eerder dat de aandeelhouders van Microsoft even aan de mouw va de CEO gaan trekken om te zorgen dat het boeltje wel volgens EU recht gaat gebeuren. Volgens mij onderschat je het belang van de Europese markt nogal.
Geen enkel groot bedrijf gaat de Europese markt de rug toe draaien, zie Meta jongstleden. Proberen te dreigen, maar is dan meer naar hun eigen regering toe om te zorgen dat Europa wat geruster is.
We geraken er spijtig genoeg nog niet te snel vanaf.

Superstoned @controvi • 11 februari 2022 01:05

Nou ik ben er wel voor, we mogen wel eens wat doen aan het monopolistische gedrag van Microsoft Google etc. En Europese alternatieven gaan gebruiken ipv de dure data centers van de Amerikaans bedrijven met goedkope groene stroom en belasting kortingen te steunen…

hoeksmarp @Fireshade • 11 februari 2022 11:43

In navolging van deze uitspraken van het Hof e.d.: als je "Europese" (?) websites hebt draaien bij Amerikaanse hosters, moet je dan ook de webstats uitschakelen of zo?

Alleen als je persoonsgegevens verwerkt op de servers van die hoster?

Timoo.vanEsch @hoeksmarp • 10 februari 2022 18:26

Yep, simple as that.
Tenminste, zo begrijp ik het ook.

Dan0sz

Google Analytics

@Anoniem: 696166 • 10 februari 2022 18:49

Het klopt niet, zoals het er staat, maar het verdient wat meer nuance.

Aangezien Google in de VS is gesitueerd, en de overheid met vrij weinig moeite data los mag peuteren bij bedrijven, kúnnen zij de regels die de AVG oplegt niet naleven.

Zover klopt het.

Het klopt ook dat het niet om de tool gaat, maar om hoe je die gebruikt. Maar het is zeker niet zo dat je Google Analytics alleen kunt gebruiken, zonder de AVG na te leven.

Je kunt (met een beetje programmeerkennis) het verkeer van Google Analytics proxy-en via je eigen server, en de data volledig anonimiseren alvoren het naar Google Analytics te sturen.

Tuurlijk hoor ik je zeggen: "Ja, maar programmeerkennis." Klopt, maar gelukkig komen er steeds meer mensen met standaardoplossingen:

- CAOS Pro (voor WordPress)
- IP Proxy (NodeJS)
- Jentis (SAAS)

Voor de technische details omtrent deze oplossing, verwijs ik naar mijn vorige comment op het verhaal in Noorwegen.

[Reactie gewijzigd door Dan0sz op 24 juli 2024 09:47]

controvi @Dan0sz • 11 februari 2022 00:34

Even voor de goede order.
Die tools zijn niet voor niets, niet heel populair.
Tuurlijk zal onder de wat meer diepere techies daar meer mee gewerkt worden maar 90% van alle bedrijven zullen gewoon Analytics gebruiken en geen tijd/geld beschikbaar hebben om hun complete marketing afdeling (als ze die al hebben) om te gooien naar een kompleet ander systeem.

Daarnaast heb ik ook vaak gehoord dat Analytics alternatieven vaak al niet volledig genoeg zijn om echt je bedrijf op te draaien.
In ieder geval niet zonder iemand met veel ervaring er neer te zetten.

Als de EU het voor elkaar krijgt alle grote tech giganten te weren van Europees grond gebied, dan denk ik dat de EU economisch een flinke knal gaat krijgen.
Handhaven van die regels gaat of niet of fors gebeuren.

Als het niet gebeurd was al deze hektiek voor nop.
als het wel gebeurd dan gaan bedrijven plots mega veel inkomsten mislopen door geen advertenties meer te kunnen doen, niet te kunnen meten waar dingen fout gaan, waar mensen afhaken, welke producten populair zijn.
En de manier waarop mensen je website vinden is dan ook weg. Dus optimaliseren voor trends is ook weg.

Wordt een heel naar verhaal en het internet in de EU kan dan wel eens een flink stap achteruit moeten doen.

Dan0sz

Google Analytics

@controvi • 11 februari 2022 00:37

Is dit een reactie op mijn comment? Want de tools die ik noem gebruiken ook Google Analytics. Ze gebruiken Google Analytics alleen op een manier die de AVG respecteert.

controvi @Dan0sz • 11 februari 2022 00:44

Ja het was wel een reactie op jouw comment.
Maar wellicht ook een beetje verkeerd verwoord.
Doelde eigenlijk voornamelijk op de alternatieven.
Want volgens mij is bijv. Jentis ook los van Analytics te gebruiken.
Maar corrigeer me als ik dit verkeerd heb

_BjornW @Dan0sz • 17 februari 2022 15:59

@Dan0sz
Waarom zou je de investering doen om deze wetgeving heen te werken met bijv een proxy tov de investering in een andere tool die direct voldoet? Wat maakt GA zou aantrekkelijk dat je dit zou doen?

[Reactie gewijzigd door _BjornW op 24 juli 2024 09:47]

Dan0sz

Google Analytics

@_BjornW • 17 februari 2022 16:08

Een reden kan zijn dat je al jaren data in Google Analytics hebt zitten, welke je niet wilt (riskeren) kwijt (te) raken na een migratie. Of uberhaupt, de leercurve, om weer met een andere interface om te gaan. Ik kan me voorstellen dat voor marketeers dat een belangrijk argument kan zijn. Het zal veel tijd/geld kosten, voordat je weer net zo'n expert bent in een andere tool als dat je dat was in een Google Analytics.

Maar goed, dat gezegd hebbende, ik ben al meerdere discussies verder en heb inmiddels geleerd dat de AVG/GDPR/DSVGO nog wel wat gecompliceerder is dan ik tot dusver had begrepen.

De huidige situatie is eigenlijk dat je alleen Google Analytics kunt gebruiken (in compliance met de AVG) als je eigenlijk alle data, welke GA nuttig maakt, opoffert. Deze thread op Reddit (die ik begonnen ben) geeft daar wel wat duidelijkheid over.

Dan kun je inderdaad beter (opnieuw) investeren in een tool/bedrijf die in de EU z'n data opslaat (en ook blijft), waardoor er wat meer vrijheid is, waardoor je wel wat meer nuttige data kunt verzamelen. Ik ben inmiddels in gesprek geweest met Trackboxx en Plausible en ben nog de mogelijkheden aan het bekijken.

_BjornW @Dan0sz • 17 februari 2022 17:20

Dankjewel voor je reactie. Zover als mijn begrip van AVG/GDPR gaat denk ik ook dat GA inderdaad niet meer haalbaar is. Persoonlijk vind ik dit een goede uitkomst, want eindelijk wordt er gehandhaafd. Dat geeft ruimte aan meer privacy verantwoorde initiatieven om tot bloei te kunnen komen in EU. Dat gezegd hebbende het is wel even een lastig iets voor veel organisaties.

Dit soort moment zijn wel een perfect moment om even 'pas op de plaats' te maken en als organisatie goed na te denken over wat je nodig hebt en welke tools dit mogelijk maken. Zover als mijn kennis gaat, denk ik namelijk dat Google Analytics slechts de start is van heel veel diensten in de VS die niet voldoen aan de Europese wet en regelgeving. Ik zou als organisatie dan ook breder naar mijn software/diensten portfolio kijken.

masterfragger 10 februari 2022 14:52

Cool! tijd voor een eurpees alternatief. maar welk?

rvt1 @masterfragger • 10 februari 2022 15:02

Alternatief zou kunnen zijn dat google analytics aan de GDPR richtlijn houdt? Dan is de kortste klap...

gorgi_19 @rvt1 • 10 februari 2022 16:40

Dat gaat nog een leuke uitdaging dan worden:

quote: https://techcrunch.com/20...gle-analytics-gdpr-breach
[A]lthough Google has adopted additional measures to regulate data transfers in the context of the Google Analytics functionality, these are not sufficient to exclude the accessibility of this data for US intelligence services

Oftewel: Geheime diensten van de VS zijn een probleem, niet eens wat Google zelf met die data wil gaan doen. Hoe hou je die goed buiten de deur?

[Reactie gewijzigd door gorgi_19 op 24 juli 2024 09:47]

The Zep Man

Privacy
Google

@gorgi_19 • 10 februari 2022 17:16

Oftewel: Geheime diensten van de VS zijn een probleem, niet eens wat Google zelf met die data wil gaan doen. Hoe hou je die goed buiten de deur?

Het Europese deel en het Amerikaanse deel in het geheel opsplitsen. In samenwerking kunnen die hun producten wel verder ontwikkelen, maar hosten van klantdata gebeurt onafhankelijk van elkaar. De Amerikaanse regering heeft niets te zeggen over de data van het Europese deel, omdat het Europese deel geen Amerikaans bedrijf is.

Nog steeds houdt je daarmee geheime diensten niet volledig buiten de deur, maar wel juridisch (waar het om gaat).

[Reactie gewijzigd door The Zep Man op 24 juli 2024 09:47]

controvi @The Zep Man • 11 februari 2022 00:37

in zijn geheel opsplitsen betekend geen communicatie meer met de US en dus is er geen mogelijkheid meer voor bedrijven en mensen om te communiceren met bedrijven en mensen in de US.

Dat gaat geen enkel bedrijf ooit doen.
Ieder bedrijf zit alleen in een moeilijk pakket omdat je natuurlijk nooit kan garanderen dat je data niet ergens kan komen.
Dus google doet zijn best en kan ook niet echt meer doen zonder de wet in de US te overtreden.

Opslitsenis dus een leuk idee maar naar mijn gevoel onhaalbaar

rvt1 @controvi • 11 februari 2022 09:39

Opslitsenis dus een leuk idee maar naar mijn gevoel onhaalbaar

Gezoen de hoeveelheid geld dat Google heeft lijkt het me prima haalbaar, alleen wilt Google dat natuurlijk eerst even zoetjes afwachten wat de ret van Europa doet…

pagani @masterfragger • 10 februari 2022 15:03

De vraag is waarom je een alternatief zou moeten hebben. Géén persoonsgebonden analytics daargelaten dan.

Anoniem: 1322 @pagani • 10 februari 2022 15:35

Precies, analytics is in de meeste gevallen ook helemaal niet nodig. En het beetje dat wordt gebruikt (waar komen mijn bezoekers vandaan?) kan prima met een IP GEO database lokaal afgehandeld kunnen worden.

Het hele analytics verhaal is volgens mij toch alleen interessant voor die hele grote sites en webshops die alles willen weten van bezoekers. Maar die zouden dat ook wel op andere manieren kunnen doen zonder de privacy van hun eigen bezoekers te schenden.

controvi @Anoniem: 1322 • 11 februari 2022 00:41

Volgens mij heb je een heel beperkt idee dan van wat Analytics allemaal doet.
Het meet niet alleen hoeveel traffic er komt.
Ook welke zoek opdrachten gebruikt zijn om op jouw website te komen.
Welke kern woorden je website goed op gevonden worden.
Welke pagina's mensen doorlopen.
Hoeveel conversie (oftewel, hoeveel mensen daadwerkelijk iets kopen als ze een product bekijken) je site heeft.
Je kunt meten wanneer mensen je site verlaten, welke pagina's het goed doen, welke knoppen vaker worden geklikt dan andere.
A/B Testen om te zien welke tekst kleuren beter werken.

Je kunt zo nog wel ff doorgaan.

Analytics is echt gegantisch nuttig voor bedrijven en waar ik werk wordt het ook volledige uitgemolken in wat er mogelijk is.
Alles om de website zo aantrekkelijk mogelijk te maken en te zorgen dat de UI en UX zo goed mogelijk zorgen voor conversies.

Anoniem: 1322 @controvi • 11 februari 2022 09:26

Ik weet wat er allemaal mogelijk is maar ik weet ook dat er ook wel andere manieren zijn om zulke specifieke dingen te meten. Trefwoorden zou je bij de zoekmachines zelf kunnen halen en die ‘diepe’ analyse hoeft helemaal niet. Waarom moet een website weten wat de leeftijd, sex, opleiding en al die zaken is van zijn bezoekers? Ik twijfel er niet over dat het handig is om te weten zodat mensen nog meer ‘overtuigt’ kunnen worden om te blijven hangen op een site maar is dat niet gewoon manipulatie? Wat gaat het de site in vredesnaam aan welke ‘exit’ site ik bezoek?

Het is allemaal heel grijs gebied. Ik zie het liever zonder.

KingKoning @pagani • 10 februari 2022 15:32

Omdat het heel waardevo is voor je site en shop om bepaalde zaken te meten:

Wordt mijn banner wel gebruikt? welke banner presenteert het beste? Wordt functie x of y die ik heb gebouwd wel gebruikt? Waar zoeken mensen op dat niet leidt tot resultaten? Via welke route komen bezoekers bij mijn producten? Hoe komen ze op mijn site? Etc etc.

Analyse op je site/shop is cruciaal, het wordt alleen veel misbruikt voor verzamelen van gegevens op persoonsniveau.

The Zep Man

Privacy
Google

@masterfragger • 10 februari 2022 15:01

Cool! tijd voor een eurpees alternatief. maar welk?

Het hoeft niet per se van Europese bodem te komen. Verder is er zat keuze, die ongetwijfeld deels door Europeanen ontwikkeld wordt.

[Reactie gewijzigd door The Zep Man op 24 juli 2024 09:47]

gorgi_19 @The Zep Man • 10 februari 2022 16:33

De gehele lijst die je noemt is self-hosted. Dat was een van de mooie zaken van Google Analytics: cloud-based, zonder de noodzaak tot onderhoud en configuratie van servers. Alleen een stukje code op je website plaatsen en klaar.

The Zep Man

Privacy
Google

@gorgi_19 • 10 februari 2022 16:52

De gehele lijst die je noemt is self-hosted.

De discussie ging over alternatieven. Dit zijn alternatieven, die je uiteraard ook als dienst af zou kunnen nemen.

jeffreytigch @masterfragger • 10 februari 2022 15:09

Op het vorige bericht over de Oostenrijkse beslissing waren er een aantal genoemd, zagen er vrij plug and play uit.

Triblade_8472 @masterfragger • 10 februari 2022 16:01

Tijd voor de grote bedrijven een EU-only serverpark op te zetten.

Desnoods via losse bedrijven met aandelen, zustermaatschappijen oid. Zij snappen dat vast beter dan ik

Timoo.vanEsch @Triblade_8472 • 10 februari 2022 18:33

Die zijn er al lang.
Heel Nederland wordt er op dit moment mee volgebouwd.
Het gaat om de entiteit-structuren.

Zolang de Europese afdeling rapporteert aan Alphabet, heeft de CIA het recht die data op te eisen.
Dus moeten de banden worden doorgeknipt met het Amerikaanse moederbedrijf en daar wringt het schoentje (waarschijnlijk).

dmantione @masterfragger • 10 februari 2022 16:12

Er zijn genoeg tootljes die de logs van je webserver kunnen analyseren. Ik heb nooit begrepen waarom Google daar voor nodig is.

EEstar @masterfragger • 10 februari 2022 16:24

https://usefathom.com/

MarnickS @masterfragger • 10 februari 2022 22:00

Matomo komt qua functionaliteiten het meeste in de buurt.

Honytawk 10 februari 2022 14:57

Ben blij dat de EU zo'n zware slagen uithaalt naar de grote Tech bedrijven die denken te groot te zijn om te falen. Zowel Google als Facebook worden hardhandig aangepakt.

Nu alleen nog hopen dat ze raken.

Bekers

@Honytawk • 10 februari 2022 15:00

Laat ze flink in de buidel tasten. Zie het als achterstallige belasting

want dat betalen ze meestal toch niet en kunnen we hier weer goed investeren in nuttige projecten.

Bux666 @Bekers • 10 februari 2022 15:25

Met een boete raak je ze niet. FB of Google betalen zonder met hun ogen te knipperen een paar miljard als het moet. Dat geld is er.
Beter bestraf je ze met een afsluiting in een land of de hele EU. Daarmee valt een groot deel van de markt weg. Dát raakt ze pas.

Bekers

@Bux666 • 10 februari 2022 15:32

Ja, dat zou nog beter zijn, maar als je ze afsluit dan zitten hier ook veel mensen zonder werk... Al zal het denk ik weinig indruk maken als online marketing bureaus gaan staken

dimdek @Bekers • 10 februari 2022 19:36

Als je bedenkt hoeveel mensen hun werk zijn kwijtgeraakt door de opkomst van de grote techbedrijven, dan denk ik dat het per saldo alleen maar werk oplevert.

STK @Bux666 • 10 februari 2022 15:33

Het nadeel is dat je daarmee ook gelijk een hele hoop Europese/nationale bedrijven raakt die van Google/Facebook afhankelijk zijn (marketing, games, inloggen, etc)

ONiel @STK • 10 februari 2022 17:11

Een tijdje zullen veel Europese bedrijven inderdaad niet meer via die kanalen hun marketing kunnen doen. Maar het wordt eens hoog tijd dat wij als Europeanen zelf wat creatiever worden en zelf zulke platformen ontwikkelen.

SilverRST @STK • 10 februari 2022 18:25

Waarom inloggen? Bepaalde webstores, ook eBay geven mij de mogelijkheid om in te loggen met FB maar ik kies liever voor registreren zonder FB. Als Europese/nationale bedrijven afhankelijk zijn van FB/Google, dan moeten ze er wat anders op bedenken. Als ze van die twee afhankelijk zijn, dan waarom krijgen we erg veel reclames door onze strot geduwd bij het tv kijken of Samsung die advertenties in hun peperdure tv's van 4000 euro stopt.

gooos @Bux666 • 10 februari 2022 16:47

En dat raakt zowel Europese eindgebruikers als de vele bedrijven die dienstverlening aanbieden met de producten van de big tech bedrijven. Het is eigenlijk wel een behoorlijke spagaat waar we met z'n allen in hebben gemanoeuvreerd.

Elidibus @Honytawk • 10 februari 2022 15:19

Ik hoop nog altijd op een soort GDPR 2.0, waarbij ze dataverzameling volledig aan banden leggen. Die cookie muren kunnen ze niet handhaven, dat is overduidelijk. Laten we nu gewoon de juiste stap nemen en elke vorm van tracking (in het bijzonder data verzameling) verbieden. Pas dan hebben we onze privacy weer voor een groot deel terug, en zijn we ook van die cookie muren af. Dit zou dan moeten gelden voor elke vorm, dus niet alleen cookies.

"En wat dan met de gepersonaliseerde advertenties"? Dat is alleen voor de bedrijven vervelend, de consument heeft hier geen "last" van. Want de gepersonaliseerde advertenties werken in de praktijk toch niet.

Honytawk @Elidibus • 10 februari 2022 16:30

Dit is natuurlijk het beste.
Lang genoeg hebben bedrijven bestaan zonder dat gepersonaliseerde advertenties konden.
Tijd om daar naar terug te gaan naar mijn mening.

Voor mij kunnen ze zelfs het hele marketing gebeuren afschaffen.
Het enige waar dat voor dient is om ons onnodige dingen aan te smeren, wat de grootste reden is voor onze de consumer culture.
Bedrijven moeten zelfs geen goed product meer maken, gewoon genoeg in de marketing pompen.

HansvDr @Elidibus • 10 februari 2022 16:58

Gewoon Google, Facebook en Twitter aanpakken i.p.v. al die losse sites. Dan heb je 90% van de tracking al te pakken.

Z80 @HansvDr • 10 februari 2022 18:51

Daar vergis je je in.
Even snel met Disconnect.me gekeken bij ad.nl 8 reclame boeren en 1 analyse.
rtlnieuws 36 reclame boeren. NRC heeft dan weer 4 analyse connecties.
Tweakers praat dan weer graag met google.

Op het moment dat je gaat kijken waar een pagina allemaal naar toe gaat om data te halen en te brengen gaat het pas opvallen hoeveel de digitale wereld van je wil weten.

tomvld @Elidibus • 10 februari 2022 20:17

GDPR 2.0:
Bedrijven moeten kiezen of ze een "data processor" zijn of een "data storage provider". Ze mogen nooit beide zijn.

Een gebruiker zal dus een data processor een sleutel geven waarmee die kan verbinden met haar profiel in de data storage. Data verwerken en daarna zelf koppelen met een profiel mag dus niet meer.

Daarmee kan de gebruiker op ieder moment de sleutel intrekken. Zijn heeft dus volledig eigendomsrechten op haar gegevens. Ook als die in de loop der tijd steeds "rijker" worden.

Dit was dus mijn two cents

Broud @Elidibus • 10 februari 2022 23:49

Edit: foutje, sorry.

[Reactie gewijzigd door Broud op 24 juli 2024 09:47]

Broud @Elidibus • 10 februari 2022 23:50

Misschien niet helemaal wat je voor ogen hebt, maar er komen wel enkele veranderingen aan m.b.t. cookies: https://en.m.wikipedia.org/wiki/EPrivacy_Regulation

zx9r_mario @Honytawk • 10 februari 2022 15:01

In dit geval wordt de website zelf aangepakt omdat deze GA gebruikt.

Lisadr @Honytawk • 10 februari 2022 15:01

Ze denken vaak te groot te zijn om zich te hoeven houden aan regels. En als ze een regel overtreden zijn de boetes een stuk lage dan de winst die ze halen door regels te overtreden. Ook is niemand persoonlijke aansprakelijk.

david-v

10 februari 2022 15:31

Ik vraag me af of alternatieven zoals bijvoorbeeld Application Insights in Azure, waar je dus de locatie van de service (en de verzamelde data?) kan bepalen, wel of niet hier aan voldoen. Heeft iemand zich hierin verdiept?

Dasprive @david-v • 10 februari 2022 15:36

Azure is in hetzelfde bedje ziek want Amerikaans bedrijf. Dus nee, kan hier niet aan voldoen. Niet de fysieke locatie is het probleem, wel de Amerikaanse wetgeving.

david-v

@Dasprive • 10 februari 2022 16:10

Het gaat er niet om dat het een Amerikaans bedrijf is, maar dat de data in de VS wordt opgeslagen bij Google Analytics. Het staat ook letterlijk in het artikel:

Het bezwaar van de CNIL ligt in de manier waarop data van websitebezoekers naar de VS wordt gestuurd. Sinds een uitspraak van het Hof van Justitie van de Europese Unie in 2020 mag data van Europeanen alleen naar de VS worden verstuurd met 'standaard contractuele clausules

De vraag blijft dan ook staan. Is dat bij een service als app insights waar je de locatie kan opgeven (bijvoorbeeld west Europa wat Nederland is) wel goed geregeld of niet?

Darses

@david-v • 10 februari 2022 20:05

Het antwoord op je vraag is nee. Het probleem is niet op te lossen door als locatie West Europa op te geven. Helaas lijken veel mensen in de IT wereld te denken dat dit het probleem oplost, terwijl dat niet zo is. Ongetwijfeld is dat ook de reden dat niemand zich hier zo'n zorgen om maakt.

Dat komt omdat er sprake is van een 'doorgifte van persoonsgegevens' op het moment dat je die opstuurt of beschikbaar stelt aan een organisatie gevestigd buiten de EU/EER. Het gaat dus niet om de locatie van de servers die persoonsgegevens verwerken, maar om de geografische vestigingsplaats van de organisatie die de gegevens ontvangt. En door Microsoft Azure te gebruiken ga je er, voor zover ik weet, mee akkoord dat je gegevens 'opstuurt' naar Microsoft in de VS. Ongeacht of je VM's in het West Europa datacentrum draaien.

Als aanvulling op mijn uitleg: de vereniging van toezichthouders, de European Data Protection Board (EDPB), heeft recent een draft document gepubliceerd over wat zij zien als 'doorgifte van persoonsgegevens naar een derde land':

The EDPB has identified the three following cumulative criteria that qualify a processing as a transfer:
1) A controller or a processor is subject to the GDPR for the given processing.
2) This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”).
3) The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3.

david-v

@Darses • 10 februari 2022 20:37

Dat komt omdat er sprake is van een 'doorgifte van persoonsgegevens' op het moment dat je die opstuurt of beschikbaar stelt aan een organisatie gevestigd buiten de EU/EER

Ik denk dat je het verkeerd interpreteert. Ik stuur of stel helemaal niks beschikbaar aan Microsoft. Ik maak gebruik van een "service" waar ik de beschikking heb over de data. Microsoft doet helemaal niks met die data (inhoudelijk), behalve beschikbaar stellen aan mij. Net zoals ik data door Amerikaanse routers laat gaan, of in databases opsla die van Amerikaanse makelij zijn.

Ik denk dat het antwoord op mijn vraag niet is: nee want Microsoft is Amerikaans. Dat is te kort door de bocht en klopt volgens mij ook niet.

Pas als ik data naar Azure zou sturen en deze laat verwerken én gebruiken door Microsoft, zou je een punt kunnen hebben, maar dat is niet het geval.

En nogmaals, dit gaat over de avg en het doorsturen van data van EU burgers naar de VS. Wat als de data dus niet naar de VS gaat maar hier blijft? Is het probleem dan opgelost? Dat lijkt me wel want er wordt enorm veel data van EU burgers opgeslagen in datacenters die van Amerikaanse bedrijven zijn. En nee, daar is geen verbod op.

Edit:typo

[Reactie gewijzigd door david-v op 24 juli 2024 09:47]

Darses

@david-v • 10 februari 2022 20:50

Ben je dan ook van mening dat organisaties die gebruik maken van Microsoft Azure, geen verwerkersovereenkomst hoeven af te sluiten met Microsoft?

Als het antwoord daarop ja is, dan geef je aan dat er toch wel sprake is van een verwerking van persoonsgegevens door Microsoft. Als het antwoord nee is, dan is het duidelijk dat we de wet verschillend lezen. En dan kunnen we alleen maar hopen dat de AP binnenkort meer duidelijkheid geeft over welke lezing juist is.

Leestip: Microsoft Product and Services Data Protection Addendum (WW) pagina 10 onder "Gegevensoverdracht en locatie". Merk op het duidelijke onderscheid tussen "Gegevensoverdracht" en "Locatie van Klantgegevens at-rest". En kijk ook even in Appendix 2 op pagina 25 met welke organisatie een doorgifte overeenkomst wordt afgesloten.

[Reactie gewijzigd door Darses op 24 juli 2024 09:47]

david-v

@Darses • 10 februari 2022 21:23

Ja er is een overeenkomst, en die voldoet voor zover ik kan lezen aan de avg.

Wat ik begrijp uit dit artikel hier bij Tweakers is dat je bij Google Analytics de data naar de VS stuurt en dat daar niet de nodige garanties/contracten zijn afgegeven voor de verwerking ervan.

We verwerken enorm veel data van gebruikers in datacenters in Europa die eigendom zijn van Amerikaanse bedrijven. IBM, Oracle, Amazon, Microsoft enz. Zijn die allemaal niet avg compliant omdat het Amerikaanse bedrijven zijn? Ik denk dat ze dat wel zijn.

Laat ik mijn vraag anders stellen, wat zou Google moeten doen om het gebruik van Google Analytics compliant te moeten maken voor de avg?

Darses

@david-v • 10 februari 2022 21:51

Ja er is een overeenkomst, en die voldoet voor zover ik kan lezen aan de avg.

Dat klopt. De standaardcontractbepalingen mogen gebruikt worden, tenzij uit onderzoek blijkt dat deze onvoldoende bescherming bieden. De Oostenrijkse en Franse toezichthouders hebben onderzocht of de overeenkomst van Google (Analytics) voldoende bescherming bied, en geconcludeerd dat dat niet zo is. Daarmee geldt deze beslissing alleen voor de overeenkomst van Google. Het onderliggende principe waarom de overeenkomst onvoldoende bescherming bied gaat echter ook op voor Facebook, Microsoft en Amazon. Zolang er niet specifiek naar die overeenkomsten is gekeken, zou je dus kunnen stellen dat ze voldoen. Maar daarmee negeer je het onderliggende probleem waarom de overeenkomst van Google onvoldoende is.

We verwerken enorm veel data van gebruikers in datacenters in Europa die eigendom zijn van Amerikaanse bedrijven. IBM, Oracle, Amazon, Microsoft enz. Zijn die allemaal niet avg compliant omdat het Amerikaanse bedrijven zijn? Ik denk dat ze dat wel zijn.

Nitpick: de verwerkingsverantwoordelijke (lees: jullie bedrijf) is verantwoordelijk om aan de AVG te voldoen, in ieder geval wat betreft de doorgifte van persoonsgegevens. Niet jullie leveranciers, zoals IBM, Orcacle, etc.

Of je nog op een AVG compliant manier gebruik mag maken van de diensten van deze Amerikaanse organisaties zou uitgezocht moeten worden. De grote vragen daarbij zijn: vallen deze bedrijven onder Amerikaanse surveillance wetgeving? Kan je gebruik maken van een van de uitzonderingen uit Artikel 49 AVG? Kan je aanvullende waarborgen nemen om toegang van Amerikaanse inlichtingendiensten te voorkomen (door backups versleutelen bijvoorbeeld)? Zo nee, pas dan zou er sprake kunnen zijn van een situatie dat je moet stoppen met het doorgeven van persoonsgegevens.

Laat ik mijn vraag anders stellen, wat zou Google moeten doen om het gebruik van Google Analytics compliant te moeten maken voor de avg?

Daar zijn verschillende opties voor:
- Google kan persoonsgegevens aggregeren/anonimiseren zodat er geen sprake meer is van persoonsgegevens. Technisch zal dit lastig zijn omdat op dit moment de tracking vanuit de webbrowser van een bezoeker werkt. Daarbij ontkom je niet aan een verwerking van IP-adressen, wat al persoonsgegevens (kunnen) zijn.
- Google kan een aparte 'EU cloud' opzetten met volledig losstaande juridische structuur. Als klanten alleen een overeenkomst hebben met 'Google EU', zonder dat die vervolgens alle gegevens aan 'Google VS' doorgeeft, dan ben je er ook al. Maar dat is een stuk makkelijker gezegd dan gedaan, je kan bijvoorbeeld geen gebruik maken van support engineers in de VS.
- Google gaat heel hard hopen (of lobbyen) dat er op korte termijn een nieuwe deal tussen de EU en VS gesloten wordt, waarmee de bezwaren over de Amerikaanse surveillance wetgeving worden weggenomen.

[Reactie gewijzigd door Darses op 24 juli 2024 09:47]

david-v

@Darses • 10 februari 2022 21:55

Bedankt voor dit uitgebreide antwoord, het is precies wat ik wilde weten. Het maakt echt een hoop duidelijk voor mij. Ik kan je helaas geen +3 geven, dus dan maar zo

+++

Darses

@david-v • 10 februari 2022 22:14

Bedankt. Ik snap de reactie ook wel hoor. De implicaties zijn namelijk gigantisch, dat is moeilijk voor te stellen.
Zelf zie ik de uitspraak van het Europeese hof in lijn met bijvoorbeeld de stikstofuitspraak uit 2019. Van de een op de andere dag vielen ongeveer 18.000 vergunningsaanvragen stil. En nog steeds is de maximale snelheid 100 km/u. Of vergelijk het met de vermogensbelasting uitspraak van december. De kosten worden geschat in de miljarden. En nog geen oplossing in zicht hoe de belasting er dan uit moet gaan zien.

Dasprive @david-v • 10 februari 2022 17:50

Zo staat het in het artikel, niet in de uitspraak van het Europees Hof zelf.
Dus nee, je data in de Europese regio van een Amerikaans bedrijf zetten is niet de oplossing want data hoeft niet naar de VS te gaan om toegankelijk te zijn voor de Amerikanen. Dat is letterlijk het doel van Cloud Act: toegang krijgen tot data buiten Amerika.
Dat GA dat nu met die data wel deed maakt het extra duidelijk.

[Reactie gewijzigd door Dasprive op 24 juli 2024 09:47]

david-v

@Dasprive • 10 februari 2022 17:59

Volgens mij halen we hier twee dingen door elkaar. Iets is waar hier besproken wordt over avg en wat Google Analytics doet. Daar gaat dit over. Waar jij het over hebt is een ander verhaal. Want het opslaan van data op omgevingen in Europa die eigendom zijn van Amerikaanse bedrijven is niet verboden oid en daar refereer jij naar.

Mij gaat het specifiek over dit onderwerp, avg, Google Analytics en application insights waar vergelijkbare functionaliteit mogelijk is, waarbij je bij de laatste dus de locatie kan opgeven.

Edit:typo

[Reactie gewijzigd door david-v op 24 juli 2024 09:47]

Timoo.vanEsch @david-v • 10 februari 2022 18:40

Daar heb je zeker een punt.

Echter:

"Het bezwaar van de CNIL ligt in de manier waarop data van websitebezoekers naar de VS wordt gestuurd. Sinds een uitspraak van het Hof van Justitie van de Europese Unie in 2020 mag data van Europeanen alleen naar de VS worden verstuurd met 'standaard contractuele clausules'. Die moeten garanderen dat data in de VS beschermd wordt, zodat bijvoorbeeld geheime diensten er niet bij kunnen."

versus:

The Clarifying Lawful Overseas Use of Data Act or CLOUD Act (H.R. 4943) is a United States federal law enacted in 2018 by the passing of the Consolidated Appropriations Act, 2018, PL 115-141, Division V. The CLOUD Act primarily amends the Stored Communications Act (SCA) of 1986 to allow federal law enforcement to compel U.S.-based technology companies via warrant or subpoena to provide requested data stored on servers regardless of whether the data are stored in the U.S. or on foreign soil.

CLOUD Act

Zorgt ervoor dat die 2 zaken per direct intertwined zijn.

Ook Europese servers van Amerikaanse bedrijven zijn niet veilig voor Amerikaanse geheime diensten. En dat is precies waarom die AVG wet uit 2020 zo belangrijk is en er zoveel heibel over die data is...

david-v

@Timoo.vanEsch • 10 februari 2022 19:43

Ik interpreteer de cloud act anders. Misschien doe ik dat wel verkeerd. Met de cloud act gaat het om data van Amerikanen die door Amerikaanse bedrijven buiten de VS worden opgeslagen. Het begon allemaal met de problemen die de fbi had om de emails van een US citizen op te eisen die door Microsoft in Ierland waren opgeslagen.

Dus data van Amerikanen willen ze kunnen opeisen, onafhankelijk van waar het opgeslagen is, versus data van Europeanen opslaan in de VS en avg. Ik zie dat nog steeds als twee verschillende onderdelen, al zullen ze zeker wel raakvlakken hebben.

Hoe dan ook, het blijft complexe materie waar je als ontwikkelaar ook te weinig van weet, terwijl je tijdens je werk wel degelijk hier rekening mee moet houden. Vandaar ook mijn vraag of een app insights die in west Europa zijn data opslaat wel ok is voor de avg.

Timoo.vanEsch @david-v • 10 februari 2022 21:24

Goed punt. Ik dacht dat het ook ging om dat van Europeanen (die bv naar USA reizen, ofzo).

Polderviking

10 februari 2022 14:58

Beter laat dan nooit zullen we maar zeggen maar ik vind het bijzonder dat er nu pas op analytics ingezoomd wordt.
Niet bepaald een dienst van gister.

grrfield @Polderviking • 10 februari 2022 15:01

De gemiddelde facebooker, instagrammer, tiktokker, Brawlstarrer, youtube-kijker heeft er zelfs nog nooit van gehoord, volgens mij.

Polderviking

@grrfield • 10 februari 2022 15:27

Nee, maar die weten ook niet wat een cookie is als je vervolgens niet daadwerkelijk een pak Digestives uit je zak trekt en daar is desondanks toch al enige tijd erg veel om te doen.

HaikoW

10 februari 2022 16:47

Als je Google Ads gebruikt, staat Google Analytics dan automatisch aan of moet je Analytics echt specifiek aanzetten?

Ralfefernandes1 @HaikoW • 10 februari 2022 18:08

Dit moet je inderdaad apart activeren

MazDaMan1970 10 februari 2022 15:29

Zal een flinke klap teweeg brengen bij zeer veel websites, aangezien Google Analytics zeer veel gebruikt wordt. Niet eens zozeer om bezoekers actief te volgen, maar meer om hun surfgedrag op de desbetreffende site te volgen, inclusief benodigde technische gegevens. Op zich is Google Analytics een prima tool, maar kan het in verkeerde handen wel de nodige privacy-issues opleveren.

WPNL 10 februari 2022 15:04

Zijn we weer een stapje dichterbij het verdwijnen van die bloedirritante cookiebalken?
... ik hoop het!

HansvDr 10 februari 2022 15:10

Mooi! En heel veel van die zogenaamde SEO kenners die opeens niets meer te doen hebben. Prachtig. Weg met die externe rommel.

_eLMo_

@HansvDr • 10 februari 2022 15:28

SEO = Search Engine Optimisation, aka, hoger in de zoekresultaten komen. Gerelateerd aan analytics, maar niet per se hetzelfde, haha.

HansvDr @_eLMo_ • 10 februari 2022 16:26

Ga maar eens kijken bij die bureautjes. 9 van de 10 is G.A. Ik heb er met genoeg te maken gehad. haha

vickypollard @HansvDr • 11 februari 2022 16:09

Wat je zegt is op geen enkele manier logisch.

HansvDr @vickypollard • 11 februari 2022 16:19

Hoeft ook niet. Toch heb ik het heel veel gezien. Klanten van ons die zogenaamde SEO gespecialiseerde bedrijfjes inhuren. Het enige wat die bedrijfjes deden was met 4 personen de hele dag bezig met Google Analytics. Ik ben er zelf geweest, bij 4 verschillende bedrijven. Zonder G.A. krijgen ze het moeilijk in elk geval :-)

vickypollard @HansvDr • 11 februari 2022 16:20

GA is een nuttige tool voor SEO-optimalisatie, maar ook niet meer dan dat. Door de hele dag rond te neuzen in Analytics verandert er in ieder geval weinig aan je SEO. Ik heb het zelf nog niet meegemaakt zoals jij het beschrijft in ieder geval

Tools als ahrefs, semrush, etc. zijn gebruikelijker.

HansvDr @vickypollard • 11 februari 2022 16:28

Daarom hoop ik dat door een verbod op GA dat die bedrijven geen werk meer hebben.

vickypollard @HansvDr • 11 februari 2022 16:39

Dat is dan valse hoop, omdat GA dus niet essentieel is voor het werk.

HansvDr @vickypollard • 12 februari 2022 07:31

Voor jou niet, voor die bedrijfjes wel.

Op dit item kan niet meer gereageerd worden.

Ook Franse toezichthouder verbiedt gebruik van Google Analytics

Lees meer

Alternatieven voor Google Analytics

IT-banen

Reacties (116)

Sorteer op:

Weergave: