Een uitspraak van de Oostenrijkse gegevensbeschermingsautoriteit (GBA) bevestigt dat het doorsturen van persoonsgegevens in het kader van Google Analytics en Facebook Connect een overtreding is van de GDPR.
Het is een eerste uitspraak in een serie van 101 model-klachten tegen bedrijven in dertig Europese landen.
Concreet stelt de Oostenrijkse GBA dat de voormalige medische website Netzdoktor.at persoonsgegevens heeft doorgestuurd naar Google Analytics zonder een passend beschermingsniveau te garanderen, en dat dit in overtreding is van artikel 44 van de GDPR.
Het gebruik van standaard contractuele clausules werd uitdrukkelijk niet als een gepaste bescherming gezien, wegens de wetgeving en praktijk inzake surveillance door overheidsdiensten in de VS.
Het gevolg is dat het gebruik van Google Analytics en Facebook Connect problematisch wordt.
Schrems II
Een en ander is het gevolg van een uitspraak in juli 2020 door het Europees Hof van Justitie over het verkeer van persoonsgegevens tussen Europa en de VS. Het Hof oordeelde dat de toenmalige Privacy Shield-overeenkomst tussen Europa en de VS onvoldoende garanties bood voor de bescherming van persoonsgegevens door de wetgeving die Amerikaanse bedrijven kon verplichten die informatie vrij te geven aan de overheid.
Omdat bedrijven dit vonnis goeddeels negeerden, werden kort daarop 101 klachten ingediend in dertig landen, naar aanleiding van het doorsturen van persoonsgegevens vanuit websites naar Google Analytics en Facebook Connect. De betrokken persoon claimde – bijgestaan door de rechtenbeschermingsorganisatie NYOB – bij de GBA’s dat dit een inbreuk was op de GDPR. Dat werd nu dus in een eerste concreet geval bevestigd.
Meteen ook de eerste uitspraak in een allicht lange reeks, want de afhandeling wordt gecoördineerd door een Europese werkgroep.
Interessant is wel dat de website werd veroordeeld, maar niet Google zelf (hoewel hierrond nog een afzonderlijke zaak wordt gevoerd). Ook werd nog niet bepaald of een boete zou worden opgelegd, laat staan hoeveel die zou bedragen.
Duidelijk is wel dat het bedrijf met de rol van ‘controller’ – die beslist welke persoonsgegevens worden verzameld en wat er vervolgens mee wordt gedaan – opdraait voor de eventuele gevolgen. En dus niet b.v. een externe sitebouwer, die het gebruik van Google Analytics voorstelde en inbouwde. Kortom, het is de controller die de verantwoordelijkheid moet opnemen.
Wat te doen?
Allereerst: onderzoek of er gebruik wordt gemaakt van Google Analytics en/of Facebook Connect in websites waarin u de controle hebt over het gebruik van persoonsgegevens. Zo ja, ga na hoe het gebruik van Analytics en/of Connect werd geconfigureerd. Als persoonsgegevens zonder bescherming worden doorgegeven (dus niet geanonimiseerd of gepseudonimiseerd, of te laat aangepast) en dus zonder meer door derden kunnen worden opgevraagd en aangewend, zit u in de problemen.
Opgelet: het betreft alle data die tot de identificatie van de betrokkene kan leiden. Dus inclusief cookies, de digitale fingerprint van toestellen, enz.
Het NYOB helpt met lijsten van vragen die u kan stellen in het kader van standaard contractuele clausules, betreffende de wetgeving waaraan het VS-bedrijf onderhevig is. Ook aan bedrijven die persoonsgegevens in de Europese Unie verwerken en banden hebben met de VS.
Overweeg of u echt nood heeft aan Google Analytics en/of Facebook Connect. Bestudeer of er eventueel analysetools zijn die aan uw noden voldoen en conform de GDPR zijn. Er bestaan inderdaad ook andere analysetools dan Google Analytics.
