Samenvatting

In het Schrems II - arrest van 2020 verklaarde het Europese Hof van Justitie dat het “Privacy Shield”, relevant voor het doorsturen van persoonsgegevens naar de VS, niet in overeenstemming was met de AVG, Europese wetgeving inzake gegevensbescherming. Het Hof vernietigde dat mechanisme, waardoor de meeste gegevensoverdrachten naar de VS onwettig werden.

Kort daarop heeft de Europese privacy-actiegroep noyb 101 klachten ingediend tegen websites waarvan ze hebben vastgesteld dat zij nog steeds gegevens doorsturen naar de VS via Google Analytics en/of Facebook Connect. De Oostenrijkse en Franse gegevensbeschermingsautoriteit verklaarden recentelijk het gebruik van Google Analytics in strijd met het Schrems II - arrest en dus met de AVG.

De Oostenrijkse gegevensbeschermingsautoriteit oordeelde in januari 2022 dat een betrokken website via Google Analytics-dienst persoonsgegevens verzamelt en doorgeeft aan de VS. De technische maatregelen die Google naast de standaardcontractbepalingen heeft genomen (de zgn. “standard contractual clauses”), zijn niet doeltreffend omdat zij de mogelijkheid van toezicht op en toegang tot persoonsgegevens door Amerikaanse inlichtingendiensten niet uitsluiten. Verder bepaalde de gegevensbeschermingsautoriteit dat de configuratiemogelijkheden voor klanten, waaronder het afkappen van IP-adressen, onvoldoende zijn om heridentificatie, door Google of de Amerikaanse overheid, te voorkomen. De aanvullende maatregelen die Google heeft genomen, waaronder transparantieverslagen, het verwittigen van betrokkenen in het geval van vraag tot toegang door de overheid en een beleid rond de omgang met vragen over de toegang van de overheid, zijn volgens de gegevensbeschermingsautoriteit onvoldoende.

De Franse gegevensbeschermingsautoriteit (CNIL) volgde in februari 2022 met een soortgelijke conclusie. Ze concludeert dat de doorgifte van gegevens aan de Verenigde Staten momenteel niet voldoende is geregeld. Bij gebreke van een adequaatheidsbesluit betreffende de Verenigde Staten (dat zou vaststellen dat dit land een voldoende niveau van persoonsgegevensbescherming biedt), kan de doorgifte van persoonsgegevens enkel plaatsvinden indien passende garanties worden geboden voor deze doorgifte. Dat is volgens de CNIL niet het geval. Google heeft weliswaar aanvullende maatregelen genomen om de doorgifte van gegevens in het kader van de Google Analytics-functionaliteit te omkaderen, maar deze volstaan niet om de toegankelijkheid van deze gegevens voor de Amerikaanse inlichtingendiensten uit te sluiten.

De websitebeheerder moet de verwerking in overeenstemming brengen met de AVG, zo nodig door de Google Analytics-functionaliteit niet langer te gebruiken (onder de huidige voorwaarden) of door een tool te gebruiken waarbij geen doorgifte naar buiten de EU plaatsvindt. De websitebeheerder in kwestie heeft één maand de tijd om hieraan te voldoen.

De Nederlandse Autoriteit Persoonsgegevens (AP) laat weten dat ze twee klachten onderzoekt over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, zal ook de AP oordelen of Google Analytics is toegestaan of niet.