Na de Nederlandse sluit nu ook de Noorse databeschermingsautoriteit zich aan bij een eerdere beslissing van Oostenrijkse collega’s. Volgens de letter van de wet zou Google Analytics niet legaal te gebruiken zijn binnen de Europese Unie.
Het lijkt er steeds meer op dat Google Analytics in zijn huidige vorm in de illegaliteit zal terechtkomen. De Noorse databeschermingsautoriteit waarschuwt daarvoor na een onderzoek van een eerder ingediende klacht. Daaruit blijkt dat de data die Google Analytics naar de VS verzendt, onder de noemer persoonsgegevens valt. Persoonsgegevens uitwisselen met de VS mag momenteel niet volgens Europees recht, waardoor legitiem gebruik van Analytics op de helling komt te staan.
De Noorse instanties hebben nog geen finale beslissing genomen, maar geven met hun waarschuwing wel aan dat ze van plan zijn om hun Oostenrijkse collega’s te volgen. Die kwamen tot dezelfde conclusie midden januari na onderzoek van een gelijkaardige klacht.
Anoniem maar uniek, dus toch persoonlijk
Google Analytics is een populaire tool die organisaties van alle formaten gebruiken om hun website in het oog te houden. Analytics toont onder andere welke pagina’s populair zijn, hoelang bezoekers blijven en hoe vaak ze terugkomen. De tool dient niet om gebruikers te traceren maar om websites te optimaliseren. Daartoe wordt het traject van bezoekers wel in kaart gebracht en dat gebeurt via geanonimiseerde ID’s voor gebruikers. Omdat die ID’s uniek zijn en gegenereerd worden op basis van individuele karakteristieken van een bezoeker, is het in theorie mogelijk om ze aan een individu te koppelen. Daarom vallen ze volgens geldende Europese regels onder persoonsgegevens. In ons eerder stuk gaan we dieper in detail over de technische en juridische achtergrond.
lees ook
Google Analytics illegaal in heel Europa volgens Oostenrijkse GDPR-interpretatie
Naast de Noorse gaf ook de Nederlandse instantie al aan van plan te zijn om de Oostenrijkse redenering te volgen. In principe zijn lokale autoriteiten van EU-lidstaten verplicht om bij beslissingen met elkaar te overleggen. Dat komt dus niet als een verrassing. Meer lidstaten zullen in de nabije toekomst volgen aangezien privacyvoorvechtersgroepering Noyb ongeveer honderd gelijkaardige klachten neerlegde verspreid over de meeste lidstaten. Noyb is de organisatie van Maximiliaan Schrems, beroemd en berucht van de Schrems I en Schrems II-arresten die de datatransfers naar de VS in de eerste plaats op de helling zetten.
Enorme gevolgen
De beslissingen van de databeschermingsautoriteiten kunnen grote gevolgen hebben voor Europese websites. De kans is groot dat zij Google Analytics in de toekomst niet meer kunnen gebruiken. De Oostenrijkse instantie legt de verantwoordelijkheid voor het privacyprobleem bovendien bij de uitgever van de websites en niet bij Google.
Voorlopig druppelt het nog, maar de storm laat zich in de verte al horen. Behoudens verrassingen moet Google ofwel aanpassen hoe Analytics met data omgaat, ofwel moeten organisaties over heel Europa op zoek naar een alternatief.