Veel websites maken gebruik van Google Analytics (cookies), om het gebruik van de website te analyseren aan de hand van statistische gegevens. (Hoe lang) mag dat nog? Dat is nu de vraag. In het besluit van de Oostenrijkse gegevensbeschermingsautoriteit, dat op 13 januari 2022 naar buiten kwam, wordt namelijk vastgesteld dat Google Analytics niet voldoet aan de vereisten van de Algemene Verordening Persoonsgegevens (AVG). Vermoedelijk zullen vergelijkbare besluiten van gegevensbeschermingsautoriteiten uit andere lidstaten snel volgen.
De Oostenrijkse “Datenschutzbehörde” stelde in haar besluit vast dat bij de doorgifte van persoonsgegevens vanuit Oostenrijk aan Google in de VS sprake was van een gebrek aan legitimering als vereist op grond van de AVG. Niet alleen werden de technische maatregelen die Google heeft getroffen (zoals het gebruik HTTPS en encryptie) als onvoldoende bestempeld, ook de organisatorische maatregelen waren onvoldoende. Zo was onder meer de privacyverklaring niet op orde en was de berichtgeving aan bezoekers onvoldoende duidelijk.
Op grond van de AVG zou in dit kader aan Google een boete kunnen worden opgelegd tot 20 miljoen euro of 4% van de wereldwijde jaarlijkse omzet. Of er een boete is opgelegd of nog zal worden opgelegd is echter nog onduidelijk, mede omdat het hier gaat om een publieke handhavingsprocedure. Ook zal nog moeten blijken of ook de betrokken Europese partij die de gegevens doorgaf aan de VS beboet zal worden. Dit ligt wel in lijn der verwachting.
Bij het gebruik van Google Analytics worden analytische cookies geplaatst en daarmee persoonsgegevens van websitebezoekers verwerkt. Op het plaatsen van cookies is naast de AVG ook de Telecommunicatiewet (Tw) van toepassing. Op grond van de Tw geldt als hoofdregel dat men de websitebezoeker, voorafgaand aan het plaatsen van de cookies, om toestemming moet vragen. Voor analytische cookies geldt hierop een uitzondering, indien de cookies geen of slechts minimale gevolgen hebben voor de privacy van de bezoekers. In dat geval is geen toestemming vereist – ook niet op grond van de AVG.
Desondanks moeten websitebezoekers op grond van zowel de AVG als Tw worden geïnformeerd over het plaatsen van cookies, bijvoorbeeld via een cookieverklaring. Daarin moet onder meer informatie over de getroffen beveiligingsmaatregelen en internationale doorgifte worden weergegeven.
Dit besluit is het eerste in een reeks van talloze klachten over de doorgifte van persoonsgegevens naar de Verenigde Staten, die privacy stichting Noyb heeft ingediend na de belangrijke Schrems II uitspraak op 16 juli 2020. Met die uitspraak kwam de doorgifte van persoonsgegevens van de EU naar de VS op losse schroeven te staan.
Na het recente besluit van de Oostenrijkse autoriteit kunnen we meer boetebesluiten van dezelfde strekking verwachten in andere Europese lidstaten. De nationale gegevensbeschermingsautoriteiten van de lidstaten hebben in deze zaken namelijk samengewerkt in de European Data Protection Board.
Het gebruik van de Google Analytics software wordt binnenkort mogelijk verboden, zo geeft de AP aan. Op dit moment doet de AP onderzoek naar twee klachten rondom Google Analytics vanuit Nederland. De toezichthouder geeft aan dat dit onderzoek begin 2022 zal worden afgerond. Komt de AP daarin net als de Datenschutzbehörde tot de conclusie dat Google Analytics persoonsgegevens doorgeeft aan de VS op een wijze die in strijd is met de AVG, dan zal men op zoek moeten naar een alternatieve analyse software. In dat scenario zullen Nederlandse websites bij het blijven gebruiken van Google Analytics boetes riskeren.
De AP heeft al langere tijd een handleiding voor het privacy vriendelijk instellen van Google Analytics op haar website. Deze is naar aanleiding van bovenvermelde ontwikkeling op 13 januari 2022 geüpdatet. De handleiding vindt u hier.