Wat zijn de gevolgen voor het gebruik van Google Analytics in Nederland?
Volgens een uitspraak van de Oostenrijkse privacytoezichthouder DSB van 13 januari 2022 overtreedt Google Analytics de GDPR wetgeving. Ook de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder, onderzoekt momenteel 2 klachten over het gebruik van Google Analytics. De impact van een dergelijke uitspraak is echter veel breder dan alleen Google Analytics. Mogelijk opent Europa de aanval op een veel grotere groep Amerikaanse techbedrijven.
Juridische context bij het verbod op Google Analytics
Op 13 januari deed de Oostenrijkse privacytoezichthouder DSB uitspraak in een zaak die is aangespannen door NOYB (None Of Your Business, een privacyorganisatie opgericht door privacyactivist Max Schrems), tegen de organisatie achter een niet nader genoemde website en Google LLC. In deze uitspraak wordt geconcludeerd dat Google Analytics inderdaad in strijd handelt met hoofdstuk V. art. 44 van de GDPR.De uitspraak kan als volgt worden uitgelegd.
Google Analytics verstuurt persoonsgegevens naar de Verenigde Staten. Hieronder vallen gegevens ten behoeve van gebruikersidentificatie, IP-adressen en browsergegevens. De Standard Contractual Clauses (SCC) die door Google gebruikt worden voor de doorgifte van persoonsgegevens bieden volgens de DSB onvoldoende privacybescherming. Dit oordeel heeft echter weinig te maken met de technische werking van Google Analytics, of de locatie waar data wordt uitgeslagen. En dat is precies de reden waarom de impact van een Europese adoptie van dit Oostenrijkse oordeel potentieel zeer impactvol is, en daarmee in veel bredere context dient te worden bezien dan uitsluitend die van Google Analytics. De uitspraak is namelijk gestoeld op 2 belangrijke conclusies:
Als ‘provider of electronic communication services’ valt Google onder de wetgeving 50 US Code § 1881 (b) (4). Deze wetgeving geeft Amerikaanse federale inlichtingendiensten op hun beurt de mogelijkheid om op grond van 50 US Code § 1881a (“FISA 702”) Google (en dus ook andere ‘provider(s) of electronic communication services’ te verplichten hen toegang tot data te verschaffen.
Let op: eerdere uitspraken in bijvoorbeeld zaken van de FBI vs. Microsoft lieten al zien dat het hier niet relevant is waar de data geografisch gezien is opgeslagen.
Dit artikel is geschreven door Wolter Tjeenk Willink en verscheen eerder op