AP kan nog niet zeggen wanneer zij Google Analytics-onderzoek openbaar maakt

De Autoriteit Persoonsgegevens kan nog steeds niet zeggen wanneer zij het onderzoek naar Google Analytics openbaar maakt. De privacytoezichthouder waarschuwt al anderhalf jaar dat dat mogelijk verboden wordt, maar een woordvoerder kan tegenover Tweakers nog geen uitsluitsel geven over de toekomst van het onderzoek.

"Het onderzoek naar Google Analytics is afgerond en zit nu in de zogeheten 'handhavingsfase'", zegt een woordvoerder van de Autoriteit Persoonsgegevens tegen Tweakers. "In die fase wordt het hele onderzoek nagelopen, beoordeeld of terecht een overtreding is geconstateerd en of die overtreding inmiddels is beëindigd. Uiteindelijk wordt bepaald of een sanctie wordt opgelegd, en zo ja, welke." Dat komt door 'onvoorziene omstandigheden'. "Die maken de zaak complexer dan verwacht. Daarnaast spelen als altijd zaken mee als de verplichte termijnen, hoor en wederhoor en andere juridische waarborgen die nu eenmaal veel tijd in beslag nemen." De privacytoezichthouder kan 'nog geen inschatting geven' wanneer zij het onderzoek openbaar maakt.

Het onderzoek naar Google Analytics loopt al zeker sinds januari 2022. Toen verscheen een opvallend bericht op de website van de AP. In een handleiding voor het privacyvriendelijk instellen van Google Analytics stond plotseling de waarschuwing dat het gebruik van Google Analytics 'mogelijk binnenkort niet is toegestaan'. Sindsdien is er veel onduidelijkheid over het gebruik van de websiteanalysetool. Websitebeheerders weten nu niet of ze die legaal kunnen gebruiken of niet. Aanvankelijk zei de Autoriteit Persoonsgegevens het onderzoek naar verwachting 'begin 2022' af te ronden. Dat is nog steeds niet gebeurd.

Verboden in Europa

Het gebruik van Google Analytics is inmiddels in meerdere Europese landen verboden.Het onderzoek kijkt naar websitebeheerders die Google Analytics inzetten om verkeer te meten. Het is dus geen verbod op de tool zelf, maar op de manier waarop beheerders die inzetten. In verschillende Europese landen, waaronder Oostenrijk, Noorwegen en Frankrijk, is het gebruik van Google Analytics al verboden door de nationale toezichthouders. Maar de reden waarom dat zo is, is inmiddels mogelijk niet meer relevant voor de Autoriteit Persoonsgegevens.

In Oostenrijk, Noorwegen en Frankrijk werd Google Analytics verboden omdat het IP-adressen en cookiegegevens niet alleen verzamelt, maar ook overdraagt aan de Verenigde Staten. Die datatransfers zijn volgens de toezichthouders in strijd met de AVG. Die datatransfers vonden plaats onder datadeelverdrag Privacy Shield, dat in 2020 illegaal werd verklaard door het Europees Hof van Justitie. Inmiddels is er echter een opvolger van Privacy Shield, het Data Privacy Framework. Dat werd vorige maand goedgekeurd door de Europese Commissie. Dat betekent in de praktijk dat gegevens die worden uitgewisseld tussen Europa en de VS volgens de Commissie wél goed beveiligd zijn.

Nieuw dataverdrag

Dat heeft mogelijk gevolgen voor het Nederlandse onderzoek naar Google Analytics, zegt de woordvoerder. "De doorgifte van persoonsgegevens naar de VS via Google Analytics zou mogelijk zijn zonder extra maatregelen te nemen, als Google gecertificeerd is onder het Data Privacy Framework en Google Analytics in die certificering is inbegrepen. De Europese Commissie heeft namelijk besloten dat het Data Privacy Framework een ‘passend niveau van bescherming’ biedt voor persoonsgegevens van Europeanen."

Het nieuwe dataverdrag tussen de EU en de VS verandert mogelijk het onderzoek.Of dat laatste het geval is, zegt de Autoriteit Persoonsgegevens niet. "Het is aan organisaties zelf om bij Google na te gaan of het product Google Analytics gecertificeerd is onder het Data Privacy Framework." De Autoriteit Persoonsgegevens geeft nooit specifiek advies over welke tools wel of niet aan de AVG voldoen, zegt de woordvoerder. "Ook al is de organisatie die die software uitgeeft, gecertificeerd onder het Data Privacy Framework, het verwerken van persoonsgegevens via software kan pas als je zeker weet dat dat gebruik voldoet aan alle eisen van de AVG, niet alleen de eisen wat doorgifte betreft. De check of de inzet van bepaalde software voldoet aan de AVG, is de verantwoordelijkheid van het bedrijf dat die software inzet."

IP-adressen in Analytics

Daar komt ook bij dat het onderzoek niet zozeer gaat over Google Analytics als geheel, maar over de manier waarop dat is ingesteld. Als gebruikers bijvoorbeeld instellen dat er geen IP-adressen worden verzameld, kan de tool mogelijk wel in overeenstemming met de AVG worden gebruikt. Dat zit eraan te komen. Google zei vorig jaar al dat Analytics 4 geen IP-adressen meer verzamelt. Het is niet duidelijk in hoeverre dat in het AP-onderzoek wordt meegenomen.

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 11-08-2023 12:02 31

11-08-2023 • 12:02

31

Lees meer

Autoriteit Persoonsgegevens krijgt volgend jaar 3,8 miljoen euro meer budget
Autoriteit Persoonsgegevens krijgt volgend jaar 3,8 miljoen euro meer budget Nieuws van 20 september 2023
Google Analytics stopt met verzamelen van IP-adressen
Google Analytics stopt met verzamelen van IP-adressen Nieuws van 17 maart 2022
Ook Franse toezichthouder verbiedt gebruik van Google Analytics
Ook Franse toezichthouder verbiedt gebruik van Google Analytics Nieuws van 10 februari 2022
Noorse datawaakhond zegt dat Google Analytics mogelijk illegaal is
Noorse datawaakhond zegt dat Google Analytics mogelijk illegaal is Nieuws van 28 januari 2022
Autoriteit Persoonsgegevens waarschuwt voor mogelijk verbod op Google Analytics
Autoriteit Persoonsgegevens waarschuwt voor mogelijk verbod op Google Analytics Nieuws van 14 januari 2022
Oostenrijkse privacytoezichthouder: Google Analytics is in strijd met GDPR
Oostenrijkse privacytoezichthouder: Google Analytics is in strijd met GDPR Nieuws van 13 januari 2022
Meer producten en artikelen
Privacy Google Analytics Autoriteit Persoonsgegevens

Reacties (31)

-Moderatie-faq
31
31
23
2
0
5
Wijzig sortering
CAPSLOCK2000
11 augustus 2023 12:43
Ik wordt een beetje misselijk van het laffe gedraai.


We hebben dus wel een hele grote bek over onze rechten en privacy maar als puntje bij paaltje komt durven we niet echt door te zetten. Steeds weer bedenken we een nieuw wetje om de hete aardappel voor ons uit te schuiven. We hebben er nu al drie gehad die neerkomen op. Wetgever: "het mag niet tenzij je extra maatregelen treft waardoor het wel mag". Toezichthouder: "Wat voor extra maatregelen? Wat je wil kan helemaal niet." Wetgever: "Eh, geen idee, dat is jouw probleem, zorg er maar voor dat het aan de wet voldoet". Alle bedrijven "Alles is toegestaan! We veranderen lekker niks." Rechter: "Ho ho ho, dat mag niet!" Alle bedrijven "Waaah! Hoger beroep!" gevolgd door "Jammer dat we het hebben verloren en dus illegaal bezig zijn. Pas de wet maar aan, ondertussen doen wij het absolute minimum zodat het lijkt of me meewerken."

En dan begint het feest van voor af aan. We hebben wel een paar stappen vooruit genomen (bij steeds meer sites kun je cookies met 1 klik weigeren) maar het zet nog niet echt zode aan de dijk. Er gaat nog steeds heel veel van onze data ongecontroleerd de hele wereld over.

De realiteit is dat als de VS echt bij onze data willen er niks is dat we kunnen doen om het tegen te houden zolang al onze software uit de VS komt. We kunnen nog zoveel afspraken maken maar als ze het echt willen kunnen ze er vroeg of laat bij. Met cryptografie kunnen we veel beveiligen maar als die crypto-software door Amerikaanse bedrijven gescheven/beheerd wordt blijft het fundamentele probleem bestaan.
In theorie kunnen ze die software saboteren of domweg het wachtwoord door laten mailen.
Niet dat iemand dat gaat doen om mijn facebook profiel te lezen maar als het om staatsgeheimen gaat (of economische belangen van het formaat ASML) moet je ook met dat soort scenario's rekening houden.
Dat is geen paranoia. Situaties als de onveiligheid van TETRA (C-2000), de Clipper chip en de documenten van Snowden laten zien dat het echte reeele bedreigingen zijn en niet zomaar een of ander Hollywood-scenario.

Helaas is ook de realiteit dat we niet zonder kunnen omdat heel veel organisaties helemaal op Amerikaanse software draaien en haast niet kunnen overstappen door vendor lock-in waardoor er concurrentie haast niet mogelijk is.

Ik zou wel willen dat morgen iedereen stopt met Windows te gebruiken maar ik weet dat het niet realistisch is, ook niet als we er miljarden in zouden pompen.


Maar....

Google Analytics daarintegen is prima te vervangen. Er zijn goede alternatieven, ook in Europa. Het is niet exact hetzelfde als Google Analytics maar dat kan ook niet als je je wél aan de wet wil houden.

We hebben het al jaren over GA en de risico's daarvan. Wie het beste voor hebt met gebruikers/klanten zou daar zelf al vanaf zijn gestapt, of anders wel omdat je aan zou moeten zien komen dat het verboden wordt, net als in andere Europese landen. Ik heb dus geen enkele sympathie voor bedrijven die klagen dat ze gedwongen worden om te stoppen met GA. Die hebben dat risico doelbewust genomen.

De AP heeft jarenlang geadviseerd om geen IP-adressen te verzamelen maar dat advies wordt ook massaal genegeerd. Of het onwetendheid of onwil is doet er niet toe. Als je slim genoeg bent om te bedenken dat je statistieken wil verzamelen dan ben je ook slim genoeg om te weten dat het controversieel is. Ik ben er klaar mee.

Ik hoop dus dat de AP met een simpel en duidelijk advies komt om gewoon helemaal te stoppen met GA en niet langer mee te gaan in de traineerspelletjes van de industrie.
kodak
@CAPSLOCK200011 augustus 2023 14:34
We hebben dus wel een hele grote bek over onze rechten en privacy maar als puntje bij paaltje komt durven we niet echt door te zetten.
Het grondig onderzoek doen en dan het onderzoek controleren lijkt me eerder een kwestie van zorgvuldigheid. Google heeft veel geld en macht, dan kan je niet met onderzoek aankomen waarvan de rechter vervolgens stelt dat het niet klopt, belastinggeld en kostbare tijd over de balk zijn gegooid en er mogelijk zelfs miljoenen compensatie naar het bedrijf moeten voor door de rechter toegewezen schade.

In de tussentijd kun je ook niet verwachten dat alternatief / concurrenten dan spontaan de voorkeur gaan hebben van de grote en kleine websites, webshops of andere online dienstverleners. Een deel zal het wel prima vinden (want de klanten lopen toch niet weg), andere wachten de uitkomst rustig af (want klanten lopen toch niet weg) en een deel eist zelf strengere eisen (om anders misschien te vertrekken), een deel is van plan te vertrekken (maar geen haast) en een deel is al weg.
Steeds weer bedenken we een nieuw wetje om de hete aardappel voor ons uit te schuiven.
De wetten zijn de afgelopen jaren vooral strenger geworden. Er was eerder nauwelijks onderzoek naar dit soort praktijken. En dat kun je de wetgever natuurlijk kwalijk nemen, maar die kiezen we nog altijd zelf. Als je verandering wil is dit het moment om naar je volksvertegenwoordigers duidelijk te maken wat jou belangen zijn en waarom ze daarvoor (beter) moeten opkomen. En ondertussen kun je natuurlijk prima al die bedrijven en organisaties aanschrijven met de vraag waarom ze het prima lijken te vinden dat andermans persoonsgegevens handel zijn om er zelf en andere bedrijven vooral voordeel van te laten hebben.
Floort
@kodak11 augustus 2023 14:51
Zorgvuldigheid is belangrijk. Maar publiekelijk een schot voor de boeg geven en dat jarenlang niet hardmaken is ook niet zorgvuldig. Zowel voor de onderzochte websites als voor Google zou het ook zorgvuldig geweest zijn om het de zaak vlot af te ronden na het publiekelijk bekendmaken.

Overigens is de wetgeving niet zoveel strenger geworden in de afgelopen tijd. 11.7a TW bestaat al een tijdje en internationale doorgifte was al een ding onder de Wbp.
kodak
@Floort11 augustus 2023 16:48
Ik weet niet of het te lang is. Dat ze lange tijd geleden stelden dat het gebruik mogelijk niet toegestaan is lijkt geen formele conclussie uit het totale onderzoek. Het lijkt me hoe dan ook geen redelijke stelling als men eerst nog andere controles moeten doen. En daar lijkt ook het probleem te zitten. De toezichthouder hoort onafhankelijk en betrouwbaar te zijn. Maar ik lees geen enkele duidelijke onafhankelijkheid met die stelling als ze dat al stellen als de conclusies nog kunnen wijzigen. En ik lees ook geen moeite om transparant te zijn hoe relevant die verkondiging is, ik lees ze niet uit zichzelf duidelijkheid geven over hun planning en ik lees ze niet uit zichzelf uitleg geven wat ze zelf redelijk vinden aan de duur van dit soort onderzoek. Er is ook geen inzicht hoeveel moeite ze doen of hoeveel tijd ze besteden aan afwachten. Het lijkt op deze manier aan daadkracht te ontbreken en besef voor wie ze werken. Ik ben wel benieuws hoe dat bij andere toezichthouders zit in verantwoording. Het lijkt me namelijk niet het doel van de wet om er jaren en jaren over te doen, terwijl de kans aannemelijk is dat er zo jaren en jaren van miljoenen personen weinig meer aan onrecht recht gedaan zal worden. Want ik zie de toezichthouders niet al die bedrijven en bedrijfjes boetes laten betalen of klanten compensatie laten halen. Eerder dat de tijd die ze neme weer in het voordeel is van eventuele overtreders die ook zo lang 'moesten' wachten.
Floort
@kodak11 augustus 2023 17:13
Een toezichthouder die publiekelijk aankondigt dat een dienst van Google mogelijk niet rechtmatig is heeft gevolgen voor Google. Klanten kunnen besluiten om weg te gaan of geen klant te worden omdat ze dan misschien onrechtmatig bezig zijn. Een toezichthouder zegt zoiets natuurlijk niet totaal willekeurig. Bovendien heeft Aleid Wolfsen weldegelijk iets gezegd over de inhoud: bron
Hij wist de status niet precies, maar verwachtte dat het binnenkort zou komen en niet wezenlijk zou afwijken van andere beslissingen van DPA’s over #GoogleAnalytics
In deze context moet je de andere beslissingen van DPA's lezen als beslissingen dat het gebruik onrechtmatig is zoals ook in dit artikel onder het kopje "Verboden in Europa" te lezen is.
De AP heeft ook mededelingen gedaan over de planning: bron
De AP verwacht in de loop van 2022 te kunnen zeggen of het gebruik van Google Analytics is toegestaan of niet.
Je lijkt me te willen weerspreken door te stellen dat de AP onafhankelijk is, maar dat betwist ik niet. Ik zeg dat de publieke mededelingen over deze onderzoeken voordat er definitieve conclusies zijn misschien niet zo zorgvuldig zijn.

Het is over het algemeen niet normaal dat toezichthouders publiekelijk mededelingen doen over lopende onderzoeken. Zo blijkt ook uit de Beleidsregels openbaarmaking door de Autoriteit Persoonsgegevens:
De Autoriteit Persoonsgegevens kan indien zwaarwichtige gronden daartoe aanleiding geven via de communicatiekanalen die het daartoe geraden acht persberichten en mededelingen naar buiten brengen over toezichtbezoeken, lopende onderzoeken en andere lopende werkzaamheden.
Dat is nu in ieder geval gebeurt op de website van de AP, in woordvoering tegen journalisten en op een conferentie van de AP. Er zijn blijkbaar zwaarwichtige gronden, maar wat die zijn is mij niet duidelijk.
kodak
@Floort11 augustus 2023 18:50
Je lijkt me te willen weerspreken door te stellen dat de AP onafhankelijk is, maar dat betwist ik niet.
Onafhankelijkheid lijkt me ook dat het eigen belangen niet voorop stelt boven dat van anderen. Ik ga er niet zomaar vanuit dat als ze eerst 2022 verkondigen, dat niet halen en dan nauwelijks meer van zich laten horen het dus zomaar is omdat ze het beste met het bedrijf en de klanten op hebben. Dan gaat ook niet zomaar meer op dat het weinig tot niets stellen maar weer redelijk is, terwijl ze daar eerst wel vanaf weken. Samen met hun klacht over te kort aan personeel en aantonen onderzoek niet zo belangrijk vinden klinkt dit meer als vam twee walletjes eten voor eigen gemak. Een onafhankelijke toezichthouder is zeer belangrijk en hoort niet zomaar extra verplichtingen te krijgen, maar met dit onderzoek heb ik de indruk dat er meer transparantie nodig is. Niet om schuld te wijzen, maar om te verbeteren dat ze er niet jaren en jaren over doen omdat het kan en hunzelf of anderen goed uit komt. Er is niet zomaar een zwaarwegend belang omdat ze de tijd nemen.
Floort
@kodak11 augustus 2023 19:43
Ik zeg volgens mij niks over motivatie of onafhankelijkheid van de AP of over extra verplichtingen.
CAPSLOCK2000
@kodak11 augustus 2023 15:48
Ik snap je argument van zorgvuldigheid wel maar het speelt nu al jaren en jaren. Het is niet echt de eerste keer dat we het over Google Analytics hebben. Ik leg de schuld overigens niet echt bij de AP maar bij de politiek. De AP zal inderdaad zorgvuldig moeten opereren binnen de kaders die de politiek stelt. Als we na jaren van wikken en wegen nog niet weten of GA toegestaan is dan is de wet niet goed genoeg.

Eerlijk gezegd zijn er voor mij eigenlijk maar twee uitkomsten mogelijk, even heel kort door de bocht: 1 GA mag niet, 2 GA mag wel dus de wet voldoet niet. Het is natuurlijk een grote wapenwedloop tussen de wet en Google. Het is ook niet dat er helemaal geen vooruitgang is maar het gaat veel te langzaam en Google (en co) past zich zo snel aan dat het weinig zin lijkt te hebben. Er is een grote meerderheid die niet gevolgd wil worden door Google (en anderen) maar in praktijk kunnen ze er nog steeds eigeniljk niet onderuit.

Wat het lastiger maakt is dat ieder uitstel het probleem groter wordt. Informatie die eenmaal verzameld is kun je niet meer terughalen en een verbod op het gebruik is onuitvoerbaar. Als je boot zinkt moet je eerst het gat dichten met alle middelen die je hebt want als je te lang blijft praten valt er niks meer te redden.
Van zo ongeveer iedereen die nu leeft zijn al talloze profielen gemaakt en die worden iedere dag gedetailleerder.
Timmiejj @kodak11 augustus 2023 15:55
Hoe kan ik mijn volksvertegenwoordiger dat laten weten?

Misschien ben ik te cynisch ofzo maar ik vind dit altijd zo'n dooddoener: Als je het er niet mee eens ben laat het je volksvertegenwoordiger weten!

Je kan op een andere partij stemmen dan de vorige keer, maar tenzij je een zinloze protest stem op een polar opposite uitbrengt, veranderd dat weinig. Kans is vrij groot dat als je van VVD naar D66 swapt ze beiden alsnog in de regering zitten, bereikt dus weinig.

Allicht kan ik een brief sturen met mijn feedback, maar die komt dan ergens op een stapel op het partijkantoor terecht en na gelezen te zijn door een stagair weg geflikkerd (als deze uberhaupt al gelezen word).

Allicht kan ik de partij bellen, maar dan krijg ik waarschijnlijk niet eens een vertegenwoordiger van de betreffende volksvertegenwoordiger te spreken, ik ben immers geen journalist van een publicatie van formaat, dus ik zal het waarschijnlijk moeten doen met een student die voor 12 euro per uur de telefoon aanneemt.

Misschien kan ik lid worden van een partij, word ik tijdens de algemene leden vergadering misschien wel door de partij commisie geloot om mijn vraag aan de partij prominent te stellen, die daar dan vervolgens heel passievol op in gaat over hoe hij/zij dat allemaal beter gaat maken, om dat vervolgens na de verkiezingen te grabbel te gooien ten behoeve van het vormen van een coalitie (dat vaak als een gigantisch fragiel kaartenhuis in elkaar steekt).

" En ondertussen kun je natuurlijk prima al die bedrijven en organisaties aanschrijven met de vraag waarom ze het prima lijken te vinden dat andermans persoonsgegevens handel zijn om er zelf en andere bedrijven vooral voordeel van te laten hebben."

En van hoeveel bedrijven denk jij dat je daar uberhaupt reactie op krijgt, de mensen die deze correspondentie beantwoorden zijn zeker niet de mensen die deze manier van bedrijfsvoering bedenken, die krijgen een keurig templatje van een manager met wat ze moeten antwoorden en dat zal het dan zijn. Dat is net zoiets als boos vragen aan dat 15 jarige kassameisje in de supermarkt waarom een liter pak melk 20 cent duurder is dan vorige week.
CAPSLOCK2000
@Timmiejj11 augustus 2023 17:39
Hoe kan ik mijn volksvertegenwoordiger dat laten weten?

Misschien ben ik te cynisch ofzo maar ik vind dit altijd zo'n dooddoener: Als je het er niet mee eens ben laat het je volksvertegenwoordiger weten!
Vooraf, eigenlijk vind ik het de verkeerde aanpak. Ik wil niet stemmen op een marionet die zomaar doet wat een of andere mafketel op internet zegt. Ik wil iemand die zelf nadenkt, voor- en nadelen afweegt en dan conclusies trekt. Het is leuk als ze mijn ideetje overnemen maar als ze het zelf niet snappen en willen dan wordt het toch niet.

Maar goed, niet iedereen kan alles weten, soms is het goed om mensen op het bestaan van een probleem (of oplossing) te wijzen.
Allicht kan ik een brief sturen met mijn feedback, maar

Allicht kan ik de partij bellen, maar

Misschien kan ik lid worden van een partij, word ik tijdens de algemene leden vergadering misschien wel door de partij commisie geloot om mijn vraag aan de partij prominent te stellen,
Als je het aan die prominent vraagt zul je inderdaad worden afgepoeierd worden met een vaag verhaal vol mooie woorden. Dat is dus inderdaad niet de weg. De betere aanpak is iemand aanspreken die wat lager in de rangorde staat. Want de top krijgt heel veel aandacht maar alles daar onder staat permanent in de schaduw. Die mensen* willen wel van je horen, ze snakken naar iemand om mee te praten om hun eigen ideen te testen tegen mensen met verstand van zaken. Uiteraard niet iedereen maar een hoop wel.

Je zal wel moeten nadenken over wie je benadert met welk probleem want mensen hebben nu eenmaal bepaalde specialiteiten. Beperk je vooral niet tot je "eigen" partij en benader ze allemaal. Politiek is er niet om een bepaalde partij aan de macht te helpen maar om de wereld te veranderen. Welke partij een goed voorstel doet is uiteindelijk niet belangrijk.

Richt je niet alleen op de grote partijen maar ook op de kleine partijen. Zelfs partijen zonder zetels kunnen nog best veel gedaan krijgen doordat ze in de schijnwerpers van de media staan. Zodra een kleine partij een standpunt inneemt moeten alle andere partijen ook een standpunt innemen want journalisten komen er om vragen.

Partijen als De Partij voor de Dieren en de Piratenpartij hebben de afgelopen jaren veel meer invloed gehad dan je zou verwachten op grond van hun omvang. Gewoon omdat journalisten bij andere politici gaan vragen "wat vindt u van de mening van partij X en bent u voor of tegen?".

Maar reken niet op snel resultaat. Politiek telt tijd in jaren, niet in dagen. Je moet nu beginnen te zaaien als je over 10 jaar wil oogsten, zeker als er niet veel aandacht voor is in de media.


* ik spreek uiteraard in het algemeen, natuurlijk zijn er ook die totaal niet geinteresseerd zijn in jouw probleem of situatie.
jochemd 11 augustus 2023 12:17
Als gebruikers bijvoorbeeld instellen dat er geen IP-adressen worden verzameld, kan de tool mogelijk wel in overeenstemming met de AVG worden gebruikt. Dat zit eraan te komen.
In meerdere landen zijn al uitspraken van toezichthouders geweest waarbij is vastgesteld dat deze instelling niet genoeg is omdat IP adressen eerst naar de Verenigde Staten werden gesturd, om daarna pas in de Verenigde Staten geanonimiseerd te worden.
geert1 @jochemd11 augustus 2023 12:54
Volgens mij gaat die regel specifiek over het instellen van de "anonimize IP"-optie in Universal Analytics. Dan werkt het zoals je aangeeft. Maar volgens Google verzamelt de nieuwere versie, Analytics 4, helemaal geen IP's. Als dat klopt dan is dat misschien genoeg om Analytics legaal te houden, als Google ook het werk doet om verder te voldoen aan het Data Privacy Framework.

Ik heb overigens nog geen vertrouwen in dat Data Privacy Framework; er gaat nog steeds data naar de VS en regels zijn te omzeilen. Ook zal er vast veel gelobbyd zijn door Google en andere datahongerige partijen om dat framework te verzwakken. De voorganger, het Privacy Shield, was uiteindelijk ook onvoldoende dus dat geeft niet echt vertrouwen. Vaak zijn dit soort regels een compromis die leunt richting de rijkste/machtigste stakeholder in de discussie en dat is Google. Controlerende instanties zoals het AP zijn bijna 100% tandloos tegenover zulke giganten, en ook wetgevers krijgen niet genoeg voor elkaar tegenover zulke spelers. Mijn gevoel zegt dat dit ook weer een wassen neus is, en dat Google intern alsnog alles kan doen met data van iedereen.

Maar goed, het gaat hier puur om legaal/illegaal, en de kans lijkt mij aanzienlijk dat Analytics legaal blijft door het niet innemen van IP's en het voldoen aan het Data Privacy Framework. De AP zal zo lang wachten met deze uitspraak omdat die zaken nog lopen, en eerst verbieden en dan weer toestaan zou een rommeltje zijn.
debroervanhenk @geert111 augustus 2023 13:05
Dat hele Safe Harbour Privacy Principles / Privacy Shield / Data Privacy Framework-verhaal lijkt heel erg op een bewust kat-en-muisspel om de status quo in stand te houden. De praktijk is in de kern niet legaal volgens het Europese recht, dus de Commissie verzint steeds een nieuw juridisch kader om het te ‘regelen’, dat eerst weer door Scherms langs de juridische molen moet worden gehaald voordat het illegaal wordt verklaard en het spel weer opnieuw begint. Zijn we toch weer een paar jaar verder zonder dat er echt iets verandert.

Maar goed, de burger geeft toch niets om privacy.
webhalla @debroervanhenk11 augustus 2023 14:13
Wat vooral in het Data Privacy Framework geregeld is, is dat er nu een onafhankelijk “rechtssysteem” is opgetuigd van privacy specialisten waarbij de EER burger kan klagen over misbruik van zijn gegevens door geheime diensten. Ook de geheime diensten hebben een “ombudsman” gekregen die een rechtenopvraging binnen die diensten kan doen. Deze persoon heeft de presidentiële autoriteit gekregen om op te treden. Niet voldoen aan opvragingen van de ombudsman staat gelijk aan het weigeren van een presidentiële order en is strafbaar. Dus geheime diensten mogen blijven luisteren (sleepnet) maar klagen is mogelijk als je tenminste weet dat jouw gegevens gebruikt worden. Dat merk je wellicht pas als je voet aan de grond zet in de USA en richting kerker wordt getransporteerd. De ombudsman zal nooit de gegevens verstrekken die de geheime diensten bezitten maar er is wel recht op wissen indien de gegevens niet gebruikt worden voor een strafzaak.

Volgens NOYB (de non-profit stichting van Max Schrems) blijft het probleem bestaan dat in de USA alleen US-citizens mensenrechten hebben waardoor privacyrechten voor Europeanen een wassen neus zijn. Nu de eerste bedrijven zich vrijwillig aansluiten bij DPF (dat moet U dus onderzoeken voor het gebruiken van een Amerikaanse dienstverlener !!!) verwacht NOYB tegen het einde van het jaar de eerste rechtzaak bij het Hof van Justitie van de Europese Unie neer te leggen. Op naar Schrems III. https://noyb.eu/nl/europe...ransfers-third-round-cjeu


Ondertussen is commissaris Didier Reynders, Max Schrems aan het zwart maken dat die nu eindelijk eens moet ophouden terwijl de EU steeds broddelwerk blijft goedkeuren.
https://noyb.eu/nl/open-l...-accusations-against-ngos

Dus wanneer de AP de Google analytics nu goedkeurt onder DPF, kunnen ze dat misschien volgend jaar al weer terugdraaien na Schrems III
jochemd @geert111 augustus 2023 13:09
Volgens mij gaat die regel specifiek over het instellen van de "anonimize IP"-optie in Universal Analytics. Dan werkt het zoals je aangeeft. Maar volgens Google verzamelt de nieuwere versie, Analytics 4, helemaal geen IP's. Als dat klopt dan is dat misschien genoeg om Analytics legaal te houden, als Google ook het werk doet om verder te voldoen aan het Data Privacy Framework.
Je kan geen dataverkeer over TCP/IP tot stand brengen zonder het IP adres van de wederpartij te verwerken. (Dat volgt ook een beetje uit de naam TCP/IP.) De IP adressen zijn nog steeds net zo bekend op de infrastructuur van Google als ze dat altijd waren. Het enige wat Google heeft opgelost is dat het niet meer mogelijk is om per ongeluk te vergeten om het vinkje voor het anonimiseren van IP adressen aan te zetten en dat de IP adressen niet verder getransporteerd worden de systemen van Google in.
geert1 @jochemd11 augustus 2023 13:34
Ah, daarmee vergaat dat stukje hoop dan gelijk weer. Goede toevoeging. Hiermee wordt het weer meer onzeker of deze tool legaal gaat blijven. We zullen zien.
haam @jochemd11 augustus 2023 14:35
Nog los van de vraag hoeveel mensen de Google DNS hebben ingesteld. Als je het niet via de ene bron kan doen, dan misschien wel via een andere
bw_van_manen @geert111 augustus 2023 15:46
(...) volgens Google verzamelt de nieuwere versie, Analytics 4, helemaal geen IP's. (...)
Nee, maar wel een browser signature die net zo uniek is en dus net zo goed terug te herleiden is tot een persoon, zeker als die gebruiker meerdere Google diensten gebruikt...
jcbvm 11 augustus 2023 12:14
Als gebruikers bijvoorbeeld instellen dat er geen IP-adressen worden verzameld, kan de tool mogelijk wel in overeenstemming met de AVG worden gebruikt. Dat zit eraan te komen.
Was dit niet altijd al het geval volgens de AVG wetgevig?
jochemd @jcbvm11 augustus 2023 12:56
Er zijn altijd meerdere problemen geweest met het gebruik van Google Analytics:
  • gebruik van data voor direct marketing wat opt-in vereist
  • data export naar de Verenigde States waar niet genoeg bescherming tegen de verschillende geheime diensten is
Het eerste probleem kan omzelt worden door in de instellingen van GA vast te leggen dat er geen IP adressen gelogd worden en dat gegevens alleen voor het doel "analytics voor webmaster" gebruikt mogen worden en niet ook nog voor het doel "samenstellen profiel voor direct marketing" (hoewel niet duidelijk is of bedrijven dat echt doen en dat niet controleerbaar is).
Het tweede probleem is er niet altijd geweest, maar alleen vanaf het moment dat in de Schrems II uitspraak het Privacy Shield mechanisme ongeldig werd geplaatst tot het moment dat de EC besloot dat Privacy Shiel 2.0 wel afdoende bescherming bood.
bw_van_manen @jcbvm11 augustus 2023 15:41
Je kon in Google Analytics al een hele tijd je IP adressen laten anonimiseren (laatste stuk verwijderen) maar dat gebeurde bij Google. Google heeft dan dus de volledige IP adressen al voordat Google ze gaat anonimiseren. Dan heb je dus alsnog persoonsgegevens (IP adressen) naar een Amerikaanse partij gestuurd, ook als je anonimiseren inschakelt.
Dynazap 11 augustus 2023 12:24
Of dat laatste het geval is, zegt de Autoriteit Persoonsgegevens niet. "Het is aan organisaties zelf om bij Google na te gaan of het product Google Analytics gecertificeerd is onder het Data Privacy Framework." De Autoriteit Persoonsgegevens geeft nooit specifiek advies over welke tools wel of niet aan de AVG voldoen, zegt de woordvoerder.
Lekker vaag weer, zoals wat mij betreft het hele AVG gebeuren.
Vind het prima dat er onderzoeken en regelgeving is / komt. Maar maak het niet zo vaag allemaal.
barefoot @Dynazap11 augustus 2023 12:29
Is toch logisch. Als ze daar wél een uitspraak over zouden doen, dan zouden ze dat om concurrentie vervalsing door de overheid tegen te gaan ook over andere tools moeten doen. Wat zou betekenen dat ze alle tools zouden moeten onderzoeken, bij elke update weer. Dat kost een bak aan belastinggeld, ik begrijp goed dat ze andere prioriteiten hebben.
Floort
@Dynazap11 augustus 2023 14:38
De fout die is gemaakt is dat de AP toezeggingen heeft gedaan over een nog niet afgerond onderzoek en die toezeggingen op de website stilletjes heeft ingetrokken zonder duidelijk te communiceren. Het is verder vrij normaal dat onderzoeken lang kunnen duren. Daarbovenop kregen veel mensen door de woordkeuze van de AP de indruk dat Google Analytics nu nog wel is toegestaan, maar afhankelijk van het besluit van de AP misschien niet. Daarmee wordt onterecht teveel afhankelijk gemaakt van het besluit. Het besluit bepaald wat de gevolgen zijn voor de onderzochte websites. De rechtmatigheid van het gebruik van Google Analytics is niet afhankelijk van het besluit van de AP, maar blijkt wel o.a. uit verschillende besluiten van andere toezichthouders die wel al gepubliceerd zijn. Wat nu wel interessant gaat worden of de recente invoering van DPF invloed gaat hebben op het oordeel van de AP over verwerkingen die voor DPF hebben plaatsgevonden.
HansvDr 11 augustus 2023 13:54
Ik blokkeer alles van GA. Privacy-Rommel. Bezoekers bij houden doe je maar op je eigen server.
Vuurvleugelhart 11 augustus 2023 16:13
"Als gebruikers bijvoorbeeld instellen dat er geen IP-adressen worden verzameld, kan de tool mogelijk wel in overeenstemming met de AVG worden gebruikt." Dit is niet correct.
Willekeurig voorbeeld: de site visitorcontrol.com maakt ook gebruik van Google Analytics waarbij IP-adressen door Google niet gebruikt mogen worden. Echter gebruikt deze site (zoals heel veel) meerdere diensten van Google (tenslotte het is "gratis"), waarbij Google alsnog 'legitiem' jouw IP-adres (en meer) met een gerust hart kan verzamelen. En Google combineert alle data, zoals soort van duidelijk in hun voorwaarden staat vermeld.

Een beetje bedrijf die wel om de privacy van hun klanten/bezoekers zou geven, gebruikt geen diensten van Google of andere ongure derde partijen.
beerse 11 augustus 2023 12:38
Misschien het vermelden waard dat er in ieder geval voor sommige functionaliteiten een alternatief is: uitvoering: Matomo. En gezien dat opensource is en alles lokaal wordt opgeslagen lijken mij best veel problemen met Analytics weg te vallen.
HansvDr @beerse11 augustus 2023 14:01
Ja maar dat kunnen die marketing typetjes niet zelf...

Straks moeten ze ons nog inhuren.
Cowamundo 11 augustus 2023 14:14
Redacted redacted redacted zodat radacted het onderzoek redacted beter redacted redacted uit redacted uit redacted redacted de verf redacted komt.
turist 12 augustus 2023 12:00
Inmiddels is in Noorwegen net besloten dat Google Analytics weer wel is toegestaan. Technisch niets veranderd, maar er wordt verwezen naar nieuwe regels over data naar USA doorsturen. Google zal wel flink lobby werk hebben gedaan.
Bron: https://www.datatilsynet....i-google-analytics-saken/ en https://www.datatilsynet....rsonopplysninger-til-usa/
ElgerStitch 12 augustus 2023 16:52
Bij het schrijven van een achtergrondartikel over Google Analytics voor Basisbeveiliging viel me op dat de website van het AP sinds de 11e is aangepast.

Hierop is nu niet meer de genoemde waarschuwing te vinden + de handleiding (en impliciete goedkeuring) voor het privacyvriendelijk instellen van Analytics. Zie: (hier). Waarschijnlijk heeft @TijsZonderH gezorgd dat deze pagina is opgeruimd :)

We vonden dat het instellen van Analytics nu nog in 23% van de gevallen fout gaat. Dat heeft te maken met designkeuzes van het product. Standaard is deze namelijk niet privacyvriendelijk. De nieuwe versie is juridisch gezien wel privacyvriendelijker maar functioneel gezien verandert er weinig. Dat komt omdat Google van ieder IP adres de exacte locatie weet, en nu werkt met locaties in plaats van IP adressen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq