Een van de meestgebruikte webtools ter wereld is binnenkort verboden. Althans, dat is een reëel scenario. De Oostenrijkse privacytoezichthouder stelt dat het gebruik van Google Analytics in strijd is met de AVG. Dat kan verregaande gevolgen hebben voor een groot deel van het web, maar dat is nog geen uitgemaakte zaak.
De uitspraak werd gedaan door de Datenschutz Behörde, de privacyautoriteit in Oostenrijk. Die oordeelde vorige week dat het gebruik van Google Analytics in strijd was met de AVG. De uitspraak kan verregaande gevolgen hebben. Google Analytics is een van de populairste tools om websitebezoek te meten. Google geeft zelf geen cijfers over het gebruik, maar analyses van W3 Tech en BuiltWith schatten dat de tool op 55 tot 60 procent van alle websites draait. Die moeten dus mogelijk op zoek naar een alternatief dat niet dezelfde privacyovertredingen begaat. Gelukkig zijn die er genoeg. Tweakers-lezers gaven veel suggesties onder het aanvankelijke nieuws, zoals Plausible, Matomo en het bekende Piwik.
Schrems en datauitwisselingen
De zaak van de Datenschutz Behörde of de DSB begon na een klacht van Max Schrems. Inderdaad, die Max Schrems, die met zijn stichting noyb procedeert tegen met name grote techbedrijven. Schrems diende in augustus 2020 101 privacyklachten in bij verschillende Europese toezichthouders, waaronder bij de Nederlandse Autoriteit Persoonsgegevens. De klachten gingen hier om diensten zoals Marktplaats, Thuisbezorgd en PostNL. In de rest van Europa werden lokaal klachten ingediend over soortgelijke diensten die onterecht persoonsgegevens naar de VS zouden sturen. Het ging dan bijvoorbeeld om IP-adressen. De 101 klachten waren de eerste semi-symbolische actie die Schrems uitvoerde na een uitspraak rondom Privacy Shield door het Europees Hof van Justitie, een maand eerder. Privacy Shield was een datauitwisselingsverdrag tussen de VS en Europa waar het Europees Hof een streep door zette. Die uitspraak van het Hof sloeg in als een bom, want daardoor mogen partijen niet zomaar data meer overdragen naar de VS. Daar ligt de basis van Schrems' klacht.
Schrems en zijn stichting noyb wilden dat de lokale toezichthouders de uitspraak van het Europees Hof gebruikten om het overdragen van gebruikersdata naar de VS te verbieden. In een van de zaken ging het specifiek om een website die Google Analytics gebruikte. Van de 101 klachten die noyb indiende is deze uit thuisland Oostenrijk de eerste die is afgerond. Er lopen dus meer van zulke onderzoeken.
De zaak gaat niet specifiek om Google Analytics zelf, maar om een website die gebruikmaakt van die tool. Dat is een cruciaal verschil, want uiteindelijk concludeert de DSB dat het gebruik van Analytics in strijd is met de AVG, en niet dat Google Analytics dat van zichzelf is.
Uitspraak
In de uitspraak schaart de Datenschutz Behörde zich op de meeste vlakken achter Schrems en noyb. De DSB stelt dat Google Analytics inderdaad gebruikersdata verzamelt zoals IP-adressen, maar ook 'browserparameters' en unieke identifiers. Google wierp tegen dat het die data niet koppelde aan unieke gebruikers en dat de gegevens daarom als gepseudonimiseerd te beschouwen waren, maar daar had de DSB geen boodschap aan. Het maakt niet uit of een Analytics-beheerder of Google zelf de informatie ook daadwerkelijk herleidt tot een persoon. Alleen al het feit dat dat kan, maakt de gebruiker potentieel identificeerbaar en daarom gaat het om gebruikersgegevens. De verzamelde gegevens worden vervolgens niet opgeslagen in Europese landen, maar doorgezet naar Amerika.
Dat aspect maakt de zaak interessant, want die doorgifte van Europese data naar een ander land is waar het Schrems om te doen was. Sinds de uitspraak van het Europees Hof in 2020 mag die doorgifte alleen nog met zogenaamde 'standaard contractuele clausules', waar Google zich ook in dit geval achter verschuilt. De standaardclausules, ook wel SCC's genoemd, zijn nodig als een bedrijf uit bijvoorbeeld de Verenigde Staten opereert in Europa en de data van Europese gebruikers verwerkt in de VS. Max Schrems stelt dat veel bedrijven die SCC's gebruiken als een soort 'sluiproute' om hun producten zoals Analytics toch in Europa te kunnen gebruiken. Door een SCC op te stellen hoeven ze zich volgens hem zogenaamd niet te houden aan de AVG. De uitspraak van de Oostenrijkse toezichthouder trekt daar nu een streep door.
Dat komt door de manier waarop Google zegt dat het data in de VS beschermt. Een standaardclausule wordt geldig als een bedrijf kenbaar kan maken dat de data in het andere land goed beveiligd wordt. Dat moet met 'technische en organisatorische maatregelen'. Dat heeft Google ook geprobeerd in zijn SCC's die het voor Analytics gebruikt, maar volgens de privacywaakhond zijn zulke zogenaamde 'TOMs' bij lange na niet voldoende. De bedrijven kunnen niet garanderen dat de Amerikaanse inlichtingen- en opsporingsdiensten buiten de deur worden gehouden door die technische maatregelen. Met andere woorden: de standaardclausules waar Google op leunt voor het versturen van Europese data naar de VS, zijn niet meer toereikend in Oostenrijk.
Advies van de Autoriteit Persoonsgegevens
Opvallend aan de zaak is de reactie van de Autoriteit Persoonsgegevens, de Nederlandse tegenhanger van de DSB. Die komt niet met een officiële verklaring of een reactie op het nieuws, maar heeft wel een opvallende wijziging aangebracht in een document uit 2018 over het privacyvriendelijk gebruik van Google Analytics. Daarin staat sinds vorige week de waarschuwing dat 'Google Analytics mogelijk binnenkort niet meer is toegestaan'. De AP refereert weliswaar naar de Oostenrijkse uitspraak, maar neemt die opvallend genoeg niet meteen over. "De AP onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland", schrijft de waakhond. "Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet."
/i/2004882106.png?f=imagenormal)
Dat lijkt een flinke en opvallende slag om de arm van de privacywaakhond. De GDPR, zoals de AVG in Europees verband genoemd wordt, is immers een Europese verordening die in ieder land praktisch hetzelfde werkt. Zou de AP dan niet het oordeel van de Oostenrijkse collega's moeten volgen?
De AVG voorziet in precies die situatie. Daarvoor is er het zogenaamde 'one-stop-shopmechanisme', wat in het Nederlands ook wel het eenloketmechanisme wordt genoemd. Het mechanisme is een van de fundamenten van de wet, en tussen de regels door is het een van de belangrijke doelen van de AVG: het beteugelen van de macht van grote techbedrijven. Het eenloketmechanisme regelt wat er gebeurt als een bedrijf van buiten de EU, zoals Google, opereert in meerdere Europese landen. Het mechanisme bepaalt welke toezichthouder de leiding heeft bij het uitvoeren van onderzoeken - vaak is dat de toezichthouder in het land waar het Europese hoofdkantoor is gevestigd, wat bij veel techbedrijven Ierland is. Ook schrijft het eenloketmechanisme voor dat de toezichthouders onderling de AVG op dezelfde manier toepassen. Dat betekent tegelijkertijd dat de uitspraak van een toezichthouder in land X gelijk geldt voor alle andere Europese landen. Dat is in ieder geval zolang die uitspraak niet is gebaseerd op specifieke nationale wetgeving.
'Verschillen per land'
Het lijkt dus opvallend dat de Autoriteit Persoonsgegevens de conclusie van haar Oostenrijkse collega's niet meteen overneemt. Volgens een woordvoerder van de toezichthouder is dat echter niet gek. "Het onderzoek naar aanleiding van klachten is gedaan in Oostenrijk. Omdat de bestuurswet per Europees land verschilt, kunnen er verschillen zijn per land", zegt Quinten Snijders. "Dat wordt zorgvuldig uitgezocht, voordat we daar uitspraken over doen. Nederland moet haar eigen regels volgen in de lopende onderzoeken om fair op te kunnen treden als toezichthouder. De AVG geldt Europees, maar lokale onderzoeken hebben ook specifieke lokale regels die gevolgd moeten worden."
Ondanks de uitspraak wil de Autoriteit Persoonsgegevens eerst het eigen onderzoek afronden
Om welke regels het in dit geval gaat, kan Snijders niet zeggen. Ook over de rest van het onderzoek zegt de AP niets. "Wij kunnen niet vooruitlopen op het resultaat van ons onderzoek." Toch wil de AP voorafgaand aan het onderzoek websitebouwers al waarschuwen. "We willen zo transparant mogelijk zijn en mensen die gebruikmaken van de informatie op onze site wel alle informatie geven die ze nodig hebben om hun werk goed te doen en de juiste keuzes te maken. Het zou natuurlijk bijzonder lullig zijn als je als websitebeheerder nu Google Analytics wilt gaan gebruiken, onze handleiding erbij pakt, alles zo instelt zoals wij zeggen, en dan misschien over een tijdje hoort dat de AP de inzet van Google Analytics verbiedt. "
Verboden of niet?
De uitspraak van de Oostenrijkse DSB is stellig: "Naar mening van de toezichthouder kan Google Analytics niet worden gebruikt zoals voorgeschreven in Artikel 5 van de AVG." Er speelt echter een technisch obstakel mee waardoor die uitspraak niet meteen bindend wordt. De specifieke website waar de DSB onderzoek naar deed, is in de loop van dat onderzoek overgenomen door een Duits bedrijf. Dat betekent dat een van de Duitse privacywaakhonden nu een definitief oordeel moet vellen over de sanctie. Die sanctie gaat dan over bijvoorbeeld een last onder dwangsom of een boete voor de website die Analytics gebruikt.
/i/2004882108.png?f=imagegallery)
De uitspraak geldt bovendien alleen voor websites die Google Analytics gebruiken, maar niet over hoe Google Analytics op zichzelf werkt en of dat inherent in strijd is met de AVG. Daarvoor loopt bij de DSB nog een ander onderzoek. De gevolgen liggen dan ook bij websites waarop Analytics is geïmplementeerd en niet bij Google zelf. Google heeft als reactie een blogpost geschreven. Het bedrijf noemt de zaak niet specifiek, maar noemt wel verschillende manieren waarop Google Analytics kan worden geconfigureerd zodat bedrijven zelf kunnen bepalen welke data de tool verzamelt. Ook meldt Google dat de tool niet kan worden gebruikt voor het aanmaken van gebruikersprofielen.
Hoewel de uitspraak dus nog niet bindend is, is Schrems wel alvast enthousiast. Hij durft al op de zaken vooruit te lopen en te zeggen dat er feitelijk maar twee opties bestaan. "Op de lange termijn hebben we ofwel goede bescherming nodig voor data in de VS, of we krijgen verschillende producten voor de VS en de EU." Als Google de data voortaan in Europa op zou slaan, zou dat ook een oplossing zijn. Dan is er immers geen uitwisseling meer met Amerika.
Of Google Analytics in Nederland ook verboden wordt, is dus nog geen uitgemaakte zaak. Maar gezien de heldere conclusie uit Oostenrijk en wat er tussen de regels door bij de AP kan worden gelezen, zouden websitebeheerders er goed aan doen in ieder geval vast onderzoek te doen naar een alternatieve tool. Die moet dan wel data in Europa opslaan of zelfs helemaal geen IP-adressen verzamelen.
:strip_exif()/i/2004882114.jpeg?f=fpa)
/i/2004612784.png?f=fpa)
/i/2004735554.png?f=fpa)
/i/2004605670.png?f=fpa)
/i/2004779058.png?f=fpa)
/u/196864/crop5a324ef3b111d_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/97374/crop5de67e3f09be9_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/119419/candc-60px.gif?f=community){kind=small}
/u/518735/crop590c368ed64a4_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/151160/crop5e2eb57f6d8fb_cropped.jpeg?f=community){kind=small}
:strip_exif()/u/22829/tafel.gif?f=community){kind=small}
:strip_exif()/u/1820/GoTicon.gif?f=community){kind=small}