Mogelijk verbod Google Analytics voorbode voor veel bredere impact

Wat zijn de gevolgen voor het gebruik van Google Analytics in Nederland?

Volgens een uitspraak van de Oostenrijkse privacytoezichthouder DSB van 13 januari 2022 overtreedt Google Analytics de GDPR wetgeving. Ook de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder, onderzoekt momenteel 2 klachten over het gebruik van Google Analytics. De impact van een dergelijke uitspraak is echter veel breder dan alleen Google Analytics. Mogelijk opent Europa de aanval op een veel grotere groep Amerikaanse techbedrijven.

Juridische context bij het verbod op Google Analytics

Op 13 januari deed de Oostenrijkse privacytoezichthouder DSB uitspraak in een zaak die is aangespannen door NOYB (None Of Your Business, een privacyorganisatie opgericht door privacyactivist Max Schrems), tegen de organisatie achter een niet nader genoemde website en Google LLC. In deze uitspraak wordt geconcludeerd dat Google Analytics inderdaad in strijd handelt met hoofdstuk V. art. 44 van de GDPR. De uitspraak kan als volgt worden uitgelegd.

Google Analytics verstuurt persoonsgegevens naar de Verenigde Staten. Hieronder vallen gegevens ten behoeve van gebruikersidentificatie, IP-adressen en browsergegevens. De Standard Contractual Clauses (SCC) die door Google gebruikt worden voor de doorgifte van persoonsgegevens bieden volgens de DSB onvoldoende privacybescherming. Dit oordeel heeft echter weinig te maken met de technische werking van Google Analytics, of de locatie waar data wordt uitgeslagen. En dat is precies de reden waarom de impact van een Europese adoptie van dit Oostenrijkse oordeel potentieel zeer impactvol is, en daarmee in veel bredere context dient te worden bezien dan uitsluitend die van Google Analytics. De uitspraak is namelijk gestoeld op 2 belangrijke conclusies:

1. Als ‘provider of electronic communication services’ valt Google onder de wetgeving 50 US Code § 1881 (b) (4). Deze wetgeving geeft Amerikaanse federale inlichtingendiensten op hun beurt de mogelijkheid om op grond van 50 US Code § 1881a (“FISA 702”) Google (en dus ook andere ‘provider(s) of electronic communication services’ te verplichten hen toegang tot data te verschaffen.

   Let op: eerdere uitspraken in bijvoorbeeld zaken van de FBI vs. Microsoft lieten al zien dat het hier niet relevant is waar de data geografisch gezien is opgeslagen.

2. De maatregelen die zijn genomen in aanvulling op de Standard Contractual Clauses (SCC) vanuit Google naar haar gebruikers zijn als niet afdoende beoordeeld, omdat deze de mogelijkheid tot monitoring van en toegang tot data door de Amerikaanse inlichtingendiensten niet uitsluit.

Verder valt in de uitspraak van DSB te lezen dat omdat er in deze casus geen andere wettelijke gronden van toepassing zijn die de doorgifte van data naar de Verenigde Staten legitimeren, er naar het oordeel van de Oostenrijkse privacytoezichthouder sprake van overtreding van de GDPR. Dit betekent dus dat:

• De door Google verwerkte data worden beschouwd als persoonsgegevens, zelfs wanneer sprake is van o.a. IP-anonimisering, en;
• De verwerking van deze data in de Verenigde Staten als gevolg van daar geldende wetgeving in strijd is met de GDPR, omdat ‘derden’ (lees: de inlichtingendiensten van de Verenigde Staten) toegang tot deze data kunnen verkrijgen zonder voorafgaande toestemming van de gebruiker.

In strijd met GDPR / AVG, ondanks inrichting conform privacyrichtlijnen

Zoals in alle EEA lidstaten het geval is, heeft de Autoriteit Persoonsgegevens in Nederland een handleiding voor het privacyvriendelijk inrichten van Google Analytics verstrekt. Men zou dus verwachten dat wanneer deze richtlijnen worden opgevolgd, waartoe ook het anonimiseren van IP-adressen behoort, de inrichting de privacy van websitebezoekers afdoende borgt. Op het moment van schrijven is dat ook nog steeds legitiem. Maar wanneer de uitspraak van de DSB wordt overgenomen door de Autoriteit Persoonsgegevens en/of andere Europese privacytoezichthouders, komt daar verandering in.

Het oordeel van de Oostenrijkse privacytoezichthouder stelt namelijk dat ook bij het treffen van de privacyvriendelijke maatregelen, waaronder IP-anonimisering, nog steeds sprake is van persoonsgegevens en niet van geanonimiseerde gegevens. Zo zou het nog steeds mogelijk zijn om de resterende gegevens te combineren tot een uniek profiel en zo te herleiden tot een natuurlijk identificeerbaar persoon. Zeker in combinatie met de gegevens die Google heeft wanneer de gebruiker tijdens het surfen is ingelogd in het Google Account. Meer weten over de uitspraak van de Oostenrijkse privacytoezichthouder DSB? Lees dan:

• De samenvatting van de uitspraak van DSB 22/12/2021, case 2021-0.586.257
• De volledige uitspraak van DSB 22/12/2021, case 2021-0.586.257 (automatisch vertaald uit het Duits naar Engels)

Wat zijn de gevolgen voor het gebruik van Google Analytics in Nederland?

Het lijkt aannemelijk dat andere Europese toezichthouders één lijn trekken en de uitspraak van de DSB overnemen. Zo ver is het echter nog niet. De Autoriteit Persoonsgegevens onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland, welke eveneens zijn ingediend door NOYB van Max Schrems. Na afronding van dat onderzoek kan de Autoriteit Persoonsgegevens zeggen of Google Analytics in de huidige vorm wordt verboden of toegestaan. De uitspraak wordt begin 2022 verwacht. Gelet op het feit dat de klachten waarop de casus in Oostenrijk gebaseerd is al medio 2020 zijn ingediend en het belang dat ook de Autoriteit Persoonsgegevens aan de eerdere uitspraak hecht, verwachten wij (Traffic Builders) deze uitspraak mogelijk al binnen enkele dagen tot weken.

Bekrachtiging van het verbod heeft mogelijk veel bredere impact

Niet eerder werd het gebruik van Google Analytics zo scherp veroordeeld in de context van de GDPR als in de voornoemde uitspraak door de Oostenrijkse privacytoezichthouder. Dit is zeker reden tot oplettendheid. Maar wat tot meer zorgen zou moeten baren, is het feit dat het fundament onder de uitspraak mogelijk gevolgen heeft die veel verder reiken dan Google Analytics alleen. Immers; het is niet de technische werking van Google Analytics of een gebrek aan privacymaatregelen van Google zelf die tot dit oordeel leiden, maar het feit dat Google LCC wordt beschouwd als een ‘provider of electronic communication services’ en als zodanig onderhevig is aan de voornoemde wetgeving. Wetgeving die de Amerikaans inlichtingendiensten een vrijbrief geeft om de data van alle partijen die onder dezelfde wetgeving vallen in te zien. Dan hebben we het dus niet alleen over Google, maar ook Adobe, Hubspot, Salesforce, etc. De impact is dus vele malen verstrekkender dan (Google) Analytics alleen als je je bedenkt welke services Amerikaanse ‘providers of electronic communication services’ aan Europese bedrijven bieden.

In hoeverre moeten we ons hier druk om maken?

Maar in hoeverre zouden we ons hier nu écht druk om moeten maken? Natuurlijk, iedereen heeft het recht om zelf te bepalen met wie privacygevoelige informatie wordt gedeeld. Dat daar inperking van de mogelijkheden van techreuzen als Google en Facebook bij hoort is ook evident, en naar de mening van de auteur een goede zaak. Maar is het niet naïef om te denken dat de (Amerikaanse) inlichtingendiensten daar een wet voor nodig hebben? Als de NSA of FBI wil weten wie ik ben, zouden ze daar dan niet allang goedschiks of kwaadschiks wegen voor hebben gevonden? Natuurlijk wel. Recent nog werd bekend dat het hoofd van de Deense inlichtingendienst in de cel is gegooid omdat er blijkbaar afspraken zijn gemaakt met de Verenigde Staten om data uit te lezen van de kabels die tussen Denemarken en de Verenigde Staten lopen. Rechtmatig of correct? Nee zeker niet. Maar het toont wel aan dat wetgeving in de werkelijke bescherming van jouw en mijn privacy slechts een beperkte rol speelt.

Het is goed dat er zo over onze privacy wordt gewaakt en zelfs de kruistocht van privacyvoorvechters als NYOB verdient bewondering. Maar er komt een moment waarop principes en de letterlijke lezing van de wet dienen te worden afgezet tegen de economische impact. Met deze uitspraak, die bijna hetze-achtige vormen aanneemt, komt dit moment wel steeds dichterbij. Want was de GDPR er niet in eerste instantie vooral op gericht om (commercieel) misbruik van privacygevoelige data te voorkomen?

Wat kunnen we verwachten?

Het lijkt een kwestie van tijd voordat ook andere toezichthouders, waaronder de Autoriteit Persoonsgegevens, tot een vergelijkbaar oordeel als dat van de DSB komen. Toch kan het in theorie ook met een sisser aflopen.

Zo kunnen er tussen de EEA en de Verenigde Staten afspraken worden gemaakt die de reikwijdte van de 50 US Code § 1881a (“FISA 702”) met betrekking tot Europese ingezetenen beperkt of tenminste in lijn brengt met de GDPR wetgeving. Dergelijke afspraken zijn eerder van toepassing geweest in o.a. de EU-VS Safe Harbor en EU-VS Privacy Shield afspraken.

Ook het opnemen van expliciete waarschuwingen voor de mogelijkheid van Amerikaanse inlichtingendiensten om privacygevoelige in te zien in het privacy statement op de website, behoort wellicht tot de mogelijkheden. Immers, in dat geval zou een bezoeker wiens data mogelijk wordt gedeeld hiervoor expliciete toestemming hebben verleend, uitgaande van een correcte implementatie en verwijzing naar het privacy statement.

Hoe dan ook; er staat veel op het spel en het eindspel is nog niet duidelijk. Een uitspraak als deze kan dan ook zeker worden gebruikt als een pressiemiddel in de onderhandelingen tussen de Verenigde Staten en de Europese Unie, met als inzet de Europese klandizie van Amerikaanse techbedrijven. Wordt vervolgd.

Aanbevolen vervolgstappen

Mijn advies vanuit TrafficBuilders luidt vooralsnog om in ieder geval zorg te dragen voor de configuratie van Google Analytics in lijn met de eerder uitgegeven richtlijnen zoals vermeld in de handleiding voor het privacyvriendelijk inrichten van Google Analytics van de Autoriteit Persoonsgegevens. Daarnaast wordt aanbevolen om te inventariseren van welke van origine Amerikaanse software gebruik wordt gemaakt waarbij sprake is van verwerking van persoonsgegevens en daar juridisch advies over in te winnen. En tot slot: zorg er uiteraard voor dat je de ontwikkelingen in deze kwestie nauwgezet volgt. Dat doen wij vanzelfsprekend ook.