Lange tijd bevonden we ons in het Wilde Westen wanneer het neerkwam op digitale gegevensoverdrachten vanuit de EER (Europese Economische Ruimte, i.e. alle EU-landen plus Noorwegen, Ijsland en Liechtenstein) naar in de VS gevestigde bedrijven en techgiganten zoals Google. Zal het besluit van de Oostenrijkse gegevensbeschermingsautoriteit, de Datenschutzbehörde (hierna “DSB”) op 22 december 2021, het begin van het einde betekenen van deze wetteloosheid?
Het begin van het einde
Een korte recap: met het Schrems II-besluit oordeelde het Europees Hof van Justitie dat elke internationale overdracht van persoonsgegevens van de EER naar in de VS gevestigde providers in strijd is met de GDPR-regels met betrekking tot internationale gegevensoverdrachten. Dit komt omdat Amerikaanse bedrijven verplicht zijn bepaalde inlichtingendiensten toegang te verlenen tot die data, wat niet strookt met de GDPR.
lees ook
Google Analytics illegaal volgens steeds meer Europese toezichthouders
In de nasleep van het Schrems II-besluit was noyb, de non-profitorganisatie onder leiding van Max Schrems, geen passieve toeschouwer. Integendeel, het diende maar liefst 101 klachten in tegen deze volgens hen illegale gegevensoverdrachten. De eerste beslissing daarover is intussen gevallen, en die is niet gunstig voor Google, Facebook en consoorten.
De beslissing gaat namelijk lijnrecht in tegen het hele Privacy Shield Framework, dat ‘veilige’ overdrachten van gegevens van de EER naar de VS mogelijk maakt. Het is het begin van een nieuw tijdperk, waarin in de EER gevestigde bedrijven niet langer gebruik kunnen maken van clouddiensten zoals Google die in de VS gevestigd zijn.
Gedaan met de andere kant opkijken
De recente beslissing van het DSB toont aan dat het Schrems II-arrest door de techgiganten niet langer genegeerd kan worden en op alle niveaus afgedwongen zal worden. Het is geen geheim dat de meeste in de EER-gevestigde websites Google Analytics gebruiken als hét instrument om het gedrag van hun websitebezoekers te analyseren. Begrijpelijk, gezien de tool gratis is (bezoekers betalen met hun gegevens) en een van de meest volledige analyses van websitegegevens op de huidige markt biedt. Dit heeft Google gesterkt in de indruk dat het probleemloos kon voortgaan met zijn datatransfers naar de VS, alsof het Schrems II-arrest niet bestond. Het DSB-besluit lijkt nu eindelijk een einde te zullen gaan maken aan de weerstand van de techgigant.
In de eerste plaats stelt de beslissing dat de provider, door gebruik te maken van Google Analytics, persoonsgegevens naar Google in de VS stuurt. Google en de provider argumenteerden dat het niet om persoonsgegevens ging, maar om geanonimiseerde informatie. Dit argument werd door het DSB verworpen, gezien Google de bezoekers gemakkelijk kan (her)identificeren aan de hand van onder meer hun IP-adressen en andere unieke identificatoren zoals cookies. Het feit dat Google haar gebruikers de mogelijkheid biedt om gepersonaliseerde advertenties te plaatsen, is hiervan bevestiging.
De eerste beslissing van velen?
Bijgevolg betekent dit dat de internationale gegevensoverdracht van de EER naar de VS onder de regels van de GDPR valt. De overdracht werd geanalyseerd en niet in overeenstemming geacht met de regels voor internationale overdracht van gegevens van artikel 44. Bovendien werden er onvoldoende (door de GDPR-opgelegde) maatregelen genomen om de bescherming van persoonsgegevens te waarborgen. De door Google ingevoerde standaardbepalingen en de technische en organisatorische basismaatregelen van artikel 32 van de GDPR bieden namelijk geen aanvullende of passende bescherming tegen indringing door inlichtingendiensten van de VS.
Deze beslissing is waarschijnlijk slechts de eerste van velen. Ze zal ernstige gevolgen hebben voor zowel de aanbieders van websites in de EER als voor Google, gezien ze het gebruik van zijn Google Analytics-tool in zijn huidige vorm de facto verbiedt. Google heeft in een verklaring op de beslissing van het DSB gereageerd met diezelfde argumenten die eerder al door de DSB van tafel werden geveegd, wat hun zaak niet vooruithelpt. Het feit dat de Chief Legal Officer van Google tegelijkertijd vraagt om een nieuw netwerk voor gegevensoverdracht tussen de EU en de VS, wijst er ook op dat ze geen adequaat beschermingsniveau kunnen garanderen voor de huidige overdracht en ze zich dus niet kunnen verdedigen tegen de besluiten van de Europese gegevensbeschermingsautoriteiten die nog moeten komen.
Domino-effect
Het besluit had een onmiddellijk domino-effect bij andere gegevensbeschermingsautoriteiten. Het Datatilsynet (de Deense gegevensbeschermingsautoriteit) bijvoorbeeld, zal de beslissing van het DSB aandachtig lezen. Anderen zullen ongetwijfeld volgen en op basis van deze beslissingen eigen richtlijnen opstellen, een trend die vermoedelijk navolging zal krijgen in zowat alle andere EER-landen die onder het toepassingsgebied van de GDPR vallen.
Nu al wordt er concrete actie ondernomen. De gegevensbeschermingsautoriteit van Guernsey heeft bijvoorbeeld Google Analytics van haar website verwijderd als blijk van steun voor en naleving van de regels van de GDPR, na het Schrems II-arrest en het besluit van het DSB.
In Nederland heeft de Autoriteit Persoonsgegevens een richtlijn gepubliceerd over hoe de instellingen van Google Analytics voor Nederlandse websiteproviders moeten worden geconfigureerd. Deze richtlijn stelt dat het goed mogelijk is dat het gebruik van Google Analytics in de nabije toekomst verboden zal worden. Een slecht voorteken voor Google. Op dit moment lopen er twee onderzoeken naar de zaak die waarschijnlijk in de komende maanden zullen worden afgerond, en beslissend zullen zijn voor het lot van Google Analytics. Noorwegen gaf al aan het Oostenrijkse voorbeeld te zullen volgen en ook Frankrijk gaf pas aan dat Google Analytics de regels schendt. Te verwachten valt dat meer gegevensbeschermingsautoriteiten die voorbeelden zullen volgen.
Auteur is Arno Moerman, Principal Privacy Consultant bij CRANIUM. Via deze link vind je meer informatie over de oplossingen van het bedrijf.