Hoe zit dat nu met Google Analytics? Mag ik het niet meer gebruiken op mijn website?
U zal hieromtrent enkele maanden terug wellicht berichtgeving zien passeren hebben. Dit is het gevolg van een beslissing eind december 2021 van de Oostenrijkse gegevensbeschermingsautoriteit (DSB). De DSB heeft nl. in het gebruik van Google Analytics door een Oostenrijkse websiteaanbieder een inbreuk op de GDPR vastgesteld door de doorgifte van persoonsgegevens aan Google LLC in de VS. Meer bepaald oordeelde de DSB dat de doorgifte gebeurde zonder passend beschermingsniveau i.d.z.v. artikel 44 e.v. GDPR aangezien Google LLC op grond van de Amerikaanse wetgeving (sectie 1881(b)(4) US Code) verplicht kan worden gegevens vrij te geven aan Amerikaanse inlichtingendiensten. De DSB oordeelde dat het gebruik van Google Analytics in strijd was met het Schrems II-arrest van het Hof van Justitie. De DSB benadrukte dat bij doorgiftes naar de VS aanvullende maatregelen moeten worden genomen (naast de modelcontractbepalingen). Die aanvullende maatregelen moeten de toegang door overheidsdiensten uitsluiten. De concrete technische maatregelen genomen door Google (zoals encryptie) waren niet voldoende.
Een aantal andere toezichthouders, zoals de Franse CNIL en de Nederlandse Autoriteit Persoonsgegevens, lijken het voorbeeld te volgen van de Oostenrijkse DSB door te stellen dat het gebruik van Google Analytics illegaal is. Er wordt geadviseerd om andere analysetools te gebruiken die anonieme gegevens verzamelen, maar die hebben vaak lang niet het gebruiksgemak en schaalvoordelen van Google Analytics. Andere tools zullen vaak ook duurder zijn.
De beslissing van de Oostenrijkse DSB lijkt te zijn afgestemd op EU-niveau met de EDPB en andere nationale toezichthoudende autoriteiten. Wellicht zullen dus nog andere toezichthoudende autoriteiten volgen, waaronder ook de onze (de Belgische GBA). De concrete impact van de beslissing is nog niet geheel duidelijk, maar die is wellicht enorm. Google Analytics vertegenwoordigt immers het grootste deel van de markt van analytische tools. De beslissing heeft in principe ook een impact op het gebruik van elke tool of cloud service waarbij er doorgiftes zijn naar de VS.
Concreet voor uw website betekent dit dat Google Analytics niet meer gebruikt mag worden. De beslissing lijkt echter ver van de economische werkelijkheid te staan. De vraag stelt zich tevens welke maatregelen Google concreet nog zal nemen om zich te schikken naar de beslissing van de DSB.
U bekijkt in ieder geval best voor alle tools die uw onderneming gebruikt om de doorgiftes buiten de EU in kaart te brengen en de GDPR compliance ervan te verifiëren (is er een verwerkersovereenkomst, wat is de grondslag voor de doorgifte, zijn er bijkomende maatregelen vereist, wat zijn de risico’s e.d.?).
Portelio staat u graag bij. Contacteer ons voor al uw vragen in dit verband.
