Kan ik nog wel gebruik maken van Google Analytics?

20 oktober 2022
De afgelopen maanden lijkt het privacyrechtelijke net te sluiten rond Google Analytics. Toezichthouders in Denemarken, Frankrijk, Italië, Noorwegen en Oostenrijk hebben aangegeven dat de veelgebruikte applicatie in strijd is met privacywetgeving zoals de AVG. Is dit ook een risico in Nederland?
In dit artikel

Google Analytics is een zeer populaire applicatie, waarmee websitebeheerders inzicht krijgen in bezoekersstromen. Zo kun je zien hoe vaak de website wordt bezocht, hoe bezoekers op de website terecht komen, welke pagina’s worden bekeken en hoe lang bezoekers op de website blijven. Een goudmijn voor iedereen die bijvoorbeeld effectieve reclamecampagnes wil inzetten. De applicatie is dan ook zeer succesvol: meer dan 28 miljoen websites gebruiken Google Analytics.

Privacy

Dit alles klinkt waardevol, maar het valt direct op dat bezoekers scherp in de gaten worden gehouden. Zo volgt Google het IP-adres van een bezoeker en spoort de applicatie de geografische locatie van een bezoeker op. De vraag is dan ook hoe privacyvriendelijk Google Analytics is.

Niet vriendelijk genoeg, is de conclusie die een aantal privacywaakhonden nu trekken. In steeds meer landen treden privacywaakhonden op tegen het gebruik van Google Analytics. Zo ook in EU-lidstaten Denemarken, Frankrijk, Italië , Noorwegen en Oostenrijk.

Dit heeft er alles mee te maken dat persoonsgegevens worden doorgegeven naar de Verenigde Staten. Informatie van Google Analytics wordt opgeslagen in Amerikaanse cloudservers, en Google is een Amerikaans bedrijf. Hierover is het Hof van Justitie van de Europese Unie helder: het doorgeven van persoonsgegevens vanuit de Europese Unie naar de VS heeft een grondslag nodig. Zie daarvoor ook de uitspraken Schrems I en Schrems II, waar mijn collega Dafne de Boer eerder over blogde.

In het geval van Google Analytics was deze grondslag er niet, volgens de toezichthouders van Denemarken, Frankrijk, Italië en Oostenrijk. Het oordeel was dan ook dat Google Analytics niet voldoet aan de eisen uit de Algemene Verordening Gegevensbescherming (AVG). Het gevolg: Google Analytics mag in deze landen niet meer gebruikt worden.

Update 22/12/2022: In december 2022 oordeelde de Spaanse toezichthouder juist dat Google Analytics wél voldoet aan de eisen uit de AVG. Dit komt de duidelijkheid omtrent dit onderwerp niet bepaald ten goede.

Update 2/3/2023: In maart 2023 oordeelde de Noorse toezichthouder ook dat Google Analytics in strijd is met de AVG.

Nederland

Hoe zit dat dan in Nederland? De Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens (AP), heeft al voorzichtig aangegeven dat het gebruik van Google Analytics ook in Nederland binnenkort mogelijk niet toegestaan is. Ze heeft aangekondigd dat ze onderzoek heeft gedaan, en dat de Afdeling Handhaven van de AP nu onderzoekt of er ook maatregelen zullen worden getroffen. De AP geeft aan dat ze verwacht “in de loop van 2022” te kunnen zeggen of het gebruik van Google Analytics is toegestaan of niet. Voor nu is dat nog niet duidelijk.

In de tussentijd is het natuurlijk verstandig om alvast in te spelen op dit mogelijke verbod. Zo kan gebruik worden gemaakt van een iets oudere handleiding van de AP voor het privacyvriendelijk instellen van Google Analytics. In deze handleiding zet de AP in 6 stappen overzichtelijk onder elkaar hoe Google Analytics het beste ingesteld kan worden:

  1. Sluit een verwerkersovereenkomst af met Google
  2. Laat Google niet het volledige IP-adres van je bezoekers verwerken
  3. Zet gegevens delen met Google uit
  4. Zet gegevens delen met Google voor advertentiedoeleinden uit
  5. Schakel de functie voor User ID’s uit
  6. Informeer bezoekers over het gebruik van Google Analytics

Google Analytics 4

Ondertussen heeft Google de nieuwe versie van de applicatie gelanceerd: Google Analytics 4 (GA4). Bij het lanceren van GA4 benadrukte Google vaak dat deze nieuwe versie een stuk privacyvriendelijker is.

In principe is dit ook niet onwaar: GA4 kent meer opties omtrent privacy en verwerkt IP-adressen korter. Dit is natuurlijk positief, maar één belangrijk probleem speelt nog steeds: de persoonsgegevens worden nog steeds doorgestuurd naar de VS. Volgens de Deense toezichthouder leidt dit ertoe dat ook GA4 niet voldoet aan de eisen van de AVG.

Al met al brengt dit veel Nederlandse websitebeheerders in een lastig parket. De kans bestaat dat de AP binnen aanzienlijke tijd het gebruik van Google Analytics niet langer zal tolereren, en velen gebruiken geen alternatief voor Google Analytics. Het is te hopen dat Google spoedig met een oplossing komt. Voor nu is het devies: volg de handleiding van de AP, zoek alvast alternatieven zoals bijvoorbeeld de applicatie Matomo, en wacht verder af.

Maakt u gebruik van Google Analytics en heeft u hier vragen over? Of wilt u graag advies over andere privacygerelateerde onderwerpen? Neem dan gerust contact op met mij of een van de andere leden van ons multidisciplinaire privacyteam.

Thijmen van Hoorn, advocaat IT- en privacyrecht

Gerelateerd

Defensie en veiligheid - monitoring

Defensie & veiligheid: Verschillende aandachtspunten rondom extra investeringen in cyberveiligheid

Europabreed is onlangs besloten om tot 5% van het BBP in defensie en aanverwante sectoren te investeren. Er komt dus, stapsgewijs, zeer veel geld vrij in de...
Defensie en veiligheid - beveiligingscamera

Defensie & Veiligheid: investeren, innoveren en beschermen

Door toenemende geopolitieke spanningen hebben de NAVO landen recentelijk ingestemd met een nieuwe NAVO norm van 5% van het BBP. De Nederlandse defensie- en...

Gevangen in een Amerikaans Ecosysteem? Leveranciersafhankelijkheid in IT

Onze digitale infrastructuur draait grotendeels op Amerikaanse motoren. Van cloudopslag en e-mail tot bedrijfsapplicaties en beveiligingsoplossingen: de...

Hoe voorkom je een mismatch tussen een IT-leverancier en een klant?

De samenwerking tussen een IT-leverancier en een klant draait vaak om het realiseren van een technische oplossing die past bij de wensen van de klant. Toch...

Hoe ga je als IT-leverancier om met steeds strengere eisen en certificeringen?

Klanten zijn steeds kritischer op hun IT en hun data en dat sijpelt door naar de eisen die aan leveranciers worden gesteld. Discussies over...
FSV Belastingdienst: waarom compensatiebeleid privacyclaims niet oplost

FSV Belastingdienst: waarom compensatiebeleid privacyclaims niet oplost

Het is bij systemen waarmee persoonsgegevens worden verwerkt altijd zaak om vooraf goed na te denken over de inrichting daarvan. Zodra een systeem eenmaal in...
No posts found