Italiaanse websites die Google Analytics gebruiken om het gedrag van bezoekers in kaart te brengen, overtreden daarmee de Europese privacywetgeving. Ze versturen gegevens van gebruikers door de VS, een land dat op dit moment geen passend niveau van gegevensbescherming biedt. Bedrijven krijgen 90 dagen de tijd om de doorgifte van persoonsgegevens aan te passen aan de Europese standaard. Dat laat de Garante per la Protezione dei Dati Personali (GPDP) via een persbericht weten.
De Italiaanse toezichthouder zegt dat websitebeheerders die Google Analytics gebruiken via cookies informatie verzamelen over het gedrag van en interactie met bezoekers. Ze weten onder meer welke pagina’s ze bezoeken, hoeveel tijd ze daar doorbrengen en welke zoekopdrachten ze uitvoeren. Tevens kunnen ze met het statistiekprogramma van Google IP-adressen, informatie over het apparaat waarmee ze surfen, de webbrowser en het besturingssysteem dat ze gebruiken, de schermresolutie, taalinstellingen, datum en tijdstip verzamelen.
Al deze data worden doorgestuurd naar servers in de VS. De verwerking van deze gegevens is onrechtmatig, zo oordeelt de GPDP. De Algemene Verordening Gegevensbescherming (AVG) beschouwt IP-adressen als persoonsgegevens, die te herleiden zijn naar individuele personen. Om het erger te maken worden IP-adressen standaard niet geanonimiseerd. Zelfs als dat wel zou gebeuren, ook dan kan Google deze gegevens verrijken met aanvullende informatie waar het techbedrijf over beschikt.
Dat Amerikaanse overheids- en inlichtingendiensten toegang hebben tot de persoonsgegevens die via Google Analytics zijn doorgespeeld, was eveneens een doorn in het oog van de Italiaanse toezichthouder. Daarmee biedt het land “geen passend niveau van bescherming” van persoonsgegevens.
Om de bovenstaande redenen wordt een Italiaanse website-eigenaar op de vingers getikt door de toezichthouder. Het betreffende bedrijf krijgt 90 dagen de tijd om de verwerking van persoonsgegevens in overeenstemming te brengen met de Europese privacywetgeving. Mocht het bedrijf daar niet in slagen, dan moet het alle gegevensstromen die voortvloeien uit het gebruik van Google Analytics worden opgeschort. Het enige alternatief dat dan rest, is een AVG-vriendelijk statistiek- en analyseprogramma te gebruiken.
De uitspraak geldt niet alleen voor het bedrijf waar de toezichthouder een klacht over binnenkreeg. Alle publieke en particuliere website-eigenaren in Italië die Google Analytics gebruiken, moeten uiteindelijk stoppen met het statistiekpakket van Google. “De Italiaanse toezichthouder roept alle voor de verwerking verantwoordelijken op om na te gaan of het gebruik van cookies en andere trackinginstrumenten op hun websites in overeenstemming is met de wetgeving inzake gegevensbescherming”, zo staat er in de persverklaring.
Na het verstrijken van de periode van 90 dagen gaat de GPDP willekeurige inspecties uitvoeren om te controleren of de gegevensverzameling en -overdracht in overeenstemming is met de AVG. Daarvoor gaat de toezichthouder ad-hocinspecties uitvoeren.
Steeds meer privacywaakhonden in Europa komen tot dezelfde conclusie als de GPDP. De Datenschutzbehörde (DSB) riep als eerste dat het gebruik van Google Analytics in strijd is met de Europese privacywetgeving. De Oostenrijkse toezichthouder oordeelde dat de analysesoftware van Google voortdurend IP-adressen en cookiegegevens van internetgebruikers verzamelt en opslaat op servers in de VS.
De Noorse toezichthouder EDPS trok niet veel later een vergelijkbare conclusie. De privacywaakhond wees erop dat Google Analytics IP-adressen verzamelt die te herleiden zijn naar individuele gebruikers. Het is mogelijk om IP-adressen te maskeren, maar dat lost het probleem volgens de toezichthouder niet op. Dat komt omdat Google Analytics ook cookiegegevens verzamelt. Daarmee is het mogelijk om gebruikersdata te koppelen aan gebruikers als zij zijn ingelogd op hun Google account. Dat is in strijd met de Europese privacywetgeving, en dus illegaal.
Ook de Commission Nationale de l’ Informatique et des Libertés (CNIL) heeft moeite met de wijze waarop data van websitebezoekers naar de VS worden gestuurd en verwerkt. “Hoewel Google verschillende maatregelen heeft opgesteld om dataverzending naar andere landen te reguleren, zijn deze niet voldoende om de toegang door Amerikaanse inlichtingendiensten te beschermen”, aldus de Franse toezichthouder.
Eind mei rondde de Autoriteit Persoonsgegevens zijn onderzoek naar Google Analytics af. De bevindingen liggen momenteel bij de afdeling Handhaving, die bepaalt of Google daadwerkelijk een boete aan haar broek krijgt. In de loop van het jaar presenteert de toezichthouder zijn conclusies.
