BigTech heeft wereldwijd de volle aandacht van wetgevers. Dusdanig zelfs dat er volgens sommigen sprake zou zijn van een techlash, een samentrekking van technology en backslash (terugslag). Er worden de nodige vraagtekens gezet bij de betrouwbaarheid van grote techbedrijven als Google, Meta (Facebook), Amazon, Apple en Microsoft. De Algemene verordening gegevensbescherming (AVG, in het Engels General Data Protection Regulation (GDPR)) uit 2016[1] wordt als beginpunt van de techlash gezien.
DSA, DMA en …..DSB!
Jongstleden vrijdag (21 januari 2021) stemde het Europees Parlement nog in met de Verordening Digitale Diensten, beter bekend onder de Engels naam Digital Services Act (DSA). De DSA verplicht internetbedrijven tot – onder andere – gestandaardiseerde meldingsprocedures voor illegale inhoud, transparantienormen voor advertenties en klacht- en verhaalmechanismes.
Eerder was al de Verordening Digitale Markten (Engels: Digital Markets Act (DMA)) aangenomen. De DMA probeert de concurrentie op internet te vergroten en bevat bijvoorbeeld een lijst met verplichtingen voor zogenaamde “poortwachters”, BigTech-ondernemingen die een groot deel van (de toegang tot) het internet controleren. Het zal nog enige tijd duren voordat deze twee verordeningen daadwerkelijk van kracht worden, maar dat er sprake is van een techlash lijkt wel duidelijk.
En dan werd vorige week ook nog eens een belangrijke beslissing bekend van de Oostenrijkse Autoriteit Persoonsgegevens Datenschutzbehörde (DSB)! De klacht kwam van de Oostenrijkse privacy-organisatie Noyb waarvan een zekere heer Schrems erevoorzitter is. De beslissing betreft Google Analytics en kan verstrekkende gevolgen hebben voor vrijwel alle websites in de Europese Unie (EU) en dus ook in Nederland. Maar daarvoor moet ik wel eerst terug naar 2015.
Schrems I en II
Misschien komt de naam Schrems u bekend voor? De beste man haalde enkele jaren geleden de kranten door een arrest van het Hof van Justitie van de Europese Unie (HvJEU). Schrems was namelijk van mening dat het Facebook (nu: Meta) niet was toegestaan om zijn persoonsgegevens door te geven aan (en op te slaan op) servers van Facebook in de Verenigde Staten (VS).
De afspraken tussen EU en VS over de uitwisseling van data en privacy waren toen geregeld in de “Safe Harbor-overeenkomst”. Maar volgens Schrems beschermde deze overeenkomst zijn privacy onvoldoende. Vooral de inlichtingen- en veiligheidsdiensten in de VS zouden ruime bevoegdheden hebben om zijn persoonsgegevens door te spitten. Denkt u daarbij aan de onthullingen van Edward Snowden over de onstilbare en wereldwijde datahonger van de National Security Agency (NSA).
Te ruime bevoegdheden, oordeelde het HvJEU dan ook in het arrest Schrems I. De “Safe Harbor-overeenkomst” werd daarop vervangen door de EU-VS Privacy Shield-overeenkomst. Op 16 juli 2020 heeft het HvJEU in het arrest Schrems II ook de EU-VS Privacy Shield ongeldig verklaard. Het HvJEU was – wederom – van mening dat de overeenkomst niet de bescherming bood die de AVG vereist.
Bedrijven en organisaties in de EU mogen daarom sindsdien geen persoonsgegevens meer aan de VS doorgeven op grond van Privacy Shield. Het HvJEU oordeelde ook uitermate kritisch over de zogenoemde Standard Contractual Clauses (SCC) om contractueel dan toch deze bescherming van persoonsgegevens te bieden. Dit zijn standaard contracten waarin vastgelegd wordt hoe de ontvangende partij buiten de EU moet omgaan met het verwerken van data. Het HvJEU oordeelde dat deze contractuele verplichtingen onvoldoende zijn om contractueel dan toch de vereiste bescherming van persoonsgegevens te bieden.
Feitelijk houdt dit in dat het sinds 16 juli 2020 voor ondernemingen in de EU niet raadzaam is om data naar de VS door te geven. Mailchimp, een bekende tool voor e-mailmarketing, mag daarom eigenlijk niet door bedrijven in de EU worden gebruikt. Mailchimp bewaart namelijk de benodigde data (namen en e-mailadressen) op servers in de VS. En namen en e-mailadressen vallen onder de bescherming van de AVG.
Google Analytics in het vizier
Het volgende doelwit van Schrems (nu: via de Oostenrijkse privacy-organisatie Noyb) is inmiddels ook bekend: Google Analytics, een van de meest gebruikte tools voor webmasters om het websiteverkeer te monitoren. De tool geeft inzicht in hoe een website gevonden en bezocht wordt. Aan de hand van de analyse kan de website en de vindbaarheid worden verbeterd. Noyb had bij Datenschutzbehörde (DSB) een klacht ingediend tegen zowel een Oostenrijkse website die van Google Analytics gebruikmaakte als tegen Google zelf.
DSB stelt na onderzoek vast dat Google Analytics IP-adressen, ‘browserparameters’ en unieke “identifiers” verzamelt. Google en de desbetreffende website betoogden dat er hier geen sprake is van doorgifte van persoonsgegevens. De gegevens die Google Analytics verzamelt, zijn volgens Google namelijk geen persoonsgegevens in de zin van de AVG. Google voert daartoe aan dat de verzamelde data gepseudonimiseerd zijn[2] en niet gekoppeld zouden zijn aan een unieke gebruiker (dus aan een persoon).
Tussen DSB en Google is dus een geschil of de verzamelde gebruikersdata nu een persoonsgegeven zijn in de zin van de AVG of niet. De AVG definieert in artikel 4 lid 1 persoonsgegeven als:
“alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd (…)”
Volgens de Oostenrijkse DSB is het daarbij niet van belang dat data die Google Analytics verzamelt, niet zijn gekoppeld aan een unieke gebruiker. Het enkele feit dat deze data gekoppeld zouden kunnen worden aan een unieke gebruiker, betekent immers al dat de gebruiker mogelijk te identificeren is! Daarmee staat volgens DSB ook vast dat het gaat om persoonsgegevens in de zin van artikel 4 AVG lid 1. Dit standpunt is begrijpelijk omdat het surfgedrag voor iedere persoon nagenoeg uniek is en bijna lijkt op een digitale vingerafdruk.
Bij besluit van 22 december 2021 oordeelt DSB dan ook dat het gebruik van Google Analytics in strijd is met de Europese privacywetgeving. Google Analytics stuurt immers persoonsgegevens van gebruikers naar de VS, en dat is sinds Schrems II verboden! Ik kan mij in dit oordeel vinden.
Standpunt Autoriteit Persoonsgegevens
De beslissing betreft een oordeel van de Oostenrijkse toezichthouder. Er is daarom geen zekerheid dat de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens (AP), dit oordeel zal overnemen. De AP publiceert echter al enkele jaren de “Handleiding privacyvriendelijk instellen van Google Analytics”. Kennelijk staat sinds kort op de eerste pagina de waarschuwing dat het gebruik van Google Analytics mogelijk niet meer toegestaan is, juist vanwege het oordeel van de Oostenrijkse toezichthouder! “Mogelijk”, dus zekerheid hebben we nog niet.
Het ligt echter in de lijn der verwachtingen dat de autoriteiten persoonsgegevens in de EU min of meer een lijn zullen trekken. Het gaat immers om Europese regelgeving die in alle landen op dezelfde wijze moet worden uitgelegd. De AVG bevat daar zelfs een regeling voor om dit te bewerkstelligen!
Hoe dan ook, dit zou grote gevolgen kunnen hebben voor vrijwel alle websites in Nederland. Google Analytics is in Nederland veruit de meest gebruikte tool om je websiteverkeer te monitoren. Naar verwachting moeten zij gaan omkijken naar alternatieven op de markt. Dit zal niet eenvoudig zijn: meer partijen zoals Schrems en Noyb zijn bezig om te vechten voor de bescherming van de privacy. Het zou mij overigens niet verbazen als een of ander surveillancetool bij toetsen op afstand het volgende doelwit van zo’n organisatie wordt. Ik zou het zelfs toejuichen.
Houdt u daarom onze website in de gaten! Zodra de Autoriteit Persoonsgegevens haar standpunt over Google Analytics (verder) duidelijk heeft gemaakt, zal ik daar zeker over berichten!
Heeft u vragen over Google Analytics, privacy, gegevensverwerking en/of verwerkingsovereenkomsten, neemt u dan contact met mij op: 045 – 57 41 488 | 06 139 37 903 | s.blommendaal@ruttenwelling.nl