Tele2 krijgt de twijfelachtige eer door als eerste Europese bedrijf een miljoenenboete te ontvangen voor het gebruik van Google Analytics.
De Zweedse dataprivacywaakhond (IMY) heeft vier organisaties een boete opgelegd omdat ze via Google Analytics persoonsgegevens naar de VS verstuurden, wat niet mag volgens de GDPR. Vooral de boete van Tele2, 12 miljoen Zweedse kroon (1,02 miljoen euro), springt in het oog. Eerder werd Google Analytics al op de vingers getikt door Frankrijk en Oostenrijk, maar nu worden er voor het eerst concrete boetes uitgeschreven.
Volgens de audit zou Google niet genoeg maatregelen voorzien voor Europese gebruikersdata om die te verwerken in de VS. Daarnaast bestaat er in het geval van Tele2 ook geen duidelijkheid over het anonimiseren van data: gebeurde dat nog in de EU of pas in de VS? Omdat Tele2 niet de nodige bewijzen op tafel kan leggen, ligt de boete veel hoger dan de drie andere gedupeerden (Coop en Dagens Industries kregen een waarschuwing, CDON kregen een boete van 25.000 euro boete).
Persoonlijke data linken
De IMY claimt dat de data die naar de VS wordt gestuurd persoonlijk data is die gelinkt kan worden met andere unieke data. Daarnaast zouden de technische veiligheidsmaatregelen niet voldoen om genoeg bescherming te bieden volgens de EU-wetgeving. Wie het volledige statement wil nalezen met de sappige titel ‘bedrijven moeten stoppen met Google Analytics te gebruiken’, kan hier terecht.
“Omdat de transfer van personendata gebeurde via een ‘standaardcontract’, heeft geen van de vier bedrijven genoeg actie ondernomen richting extra veiligheidsmaatregelen. Er wordt ondertussen gewerkt aan het EU-US Data Privacy Framework, waarover later deze maand een goedkeuring zou volgen TechCrunch.
lees ook
Exit Universal Analytics, op naar Google Analytics 4: hoe bereid je de overstap voor?
Schrems-arresten
Het Europees Hof van Justitie stelde al twee keer vast (in de Schrems I en Schrems II-arresten) dat de transfer van persoonsgegevens naar de VS niet kan binnen de context van de GDPR. De verregaande geïnstitutionaliseerde spionage van de VS maakt het onmogelijk voor een Amerikaanse onderneming om de bescherming van Europese gegevens te garanderen.
Pogingen om een wettelijk kader op te stellen om zo’n transfers wel mogelijk te maken, stuitten tot nu toe telkens op een juridische njet, met alle gevolgen van dien.
Statement van Google
Google heeft met de bekendmaking van de audit een Engelstalig statement gedeeld:
Mensen willen dat de websites die ze bezoeken goed ontworpen en gebruiksvriendelijk zijn en hun privacy respecteren. Google Analytics helpt uitgevers inzicht te krijgen in hoe goed hun sites en apps werken voor hun bezoekers – maar niet door individuen te identificeren of ze over het hele web te volgen. Deze organisaties, niet Google, bepalen welke gegevens met deze tools worden verzameld en hoe ze worden gebruikt. Google helpt door een reeks beveiligingen, controles en hulpmiddelen voor naleving te bieden.