Gebruik jij net als ik en de meeste ondernemers Google Analytics? Let op: waarschijnlijk mag je dit straks niet meer gebruiken! Onlangs heeft de Oostenrijkse privacy toezichthouder namelijk gesteld dat het gebruik van Google Analytics in strijd is met de AVG. Daar is het gebruik van deze tool nu verboden. De Nederlandse toezichter, de Autoriteit Persoonsgegevens (AP) maar ook andere toezichthouders in Europa zullen deze lijn naar alle waarschijnlijkheid gaan volgen. Dit blijkt al alleen uit de waarschuwing die zij in haar handleiding Handleiding privacyvriendelijk instellen van Google Analytics heeft gezet “het gebruik van Google Analytics mogelijk binnenkort niet toegestaan”. Natuurlijk moet het onderzoek van de AP eerst worden afgerond, maar het zit er dus dik in dat je op zoek moet gaan naar een alternatief. Gelukkig zijn die er wel volop.
Maar waarom is het eigenlijk verboden verklaard door de privacytoezichthouder in Oostenrijk? Zij stellen dat dit te maken heeft met dat de persoonsgegevens (denk aan: IP-adressen, gebruikersindentificatie en browserparameters) naar de Verenigde Staten (VS) worden verstuurd. De Standard Contractual Clauses (standaard modelcontracten van de Europese Commissie) die gebruikt worden bij doorgifte van de persoonsgegevens naar de VS bieden in dit geval onvoldoende bescherming. Het grootste probleem van de Amerikaanse regelgeving is namelijk dat Amerikaanse inlichtingendiensten toegang hebben tot alle persoonsgegevens van niet-Amerikanen die verwerkt worden bij een Amerikaanse electronic communications provider. Die organisaties kunnen dus verplicht worden om die data te delen met de overheid.
Eerder werd hierdoor al het Privacy Shield (overeenkomst tussen overeenkomst tussen het Amerikaanse ministerie van Economische Zaken en de Europese Commissie) ongeldig verklaard in een uitspraak van het Europese Hof waardoor dit al geen geldige grondslag meer was voor het doorgeven van persoonsgegevens naar de VS. De toepassing van de hiervoor genoemde modelcontracten van de Europese Commissie voor de doorgifte van persoonsgegevens zijn door deze uitspraak overeind gebleven. Het Hof gaf daarbij echter ook al aan dat het beschermingsniveau van een land per geval moet worden beoordeeld en die modelcontracten dan niet per definitie voldoende zouden zijn. Nu lijkt dus een dergelijk geval zich voor te doen waarbij de modelcontracten ook niet voldoende beschermingsniveau bieden en je dus moet uitwijken naar een andere aanbieder (in Europa) voor je website statistieken.
Tip: Ga alvast op zoek naar een Europese aanbieder als alternatief voor Google Analytics of breng in elk geval alle informatiestromen inzichtelijk en wees transparant in je communicatie richting betrokkenen (diegenen waar jij persoonsgegevens van verwerkt). Met andere woorden vergeet niet je privacyverklaring/ cookieverklaring aan te passen. Mocht onze toezichthouder, de AP in de tussentijd eventueel vragen stellen, kun je in ieder geval aantonen ermee bezig te zijn. Uiteraard houd ik je op de hoogte van de recentste ontwikkelingen rondom deze privacy perikelen.
Heb je hierover vragen of een andere juridische vraag? Stuur me dan een bericht via gwenny@ge-mek.nl of via tel. 0622037358.
De