De Franse privacytoezichthouder CNIL heeft zijn documentatie geüpdatet over het legaal gebruiken van Google Analytics. Eerder dit jaar oordeelden de CNIL en collegatoezichthouders uit Noorwegen, Duitsland en Oostenrijk al dat Google Analytics met de standaardinstellingen de Europese privacywet schendt omdat er te veel persoonsgegevens naar de Verenigde Staten gestuurd kunnen worden. Websites die de volgsoftware niet op de juiste manier gebruiken, lopen daarom risico op een boete. Of Nederlandse websites zich ook zorgen moeten maken, blijft vooralsnog onduidelijk.
De Nederlandse privacytoezichthouder – de Autoriteit Persoonsgegevens (AP) – heeft na medio januari niet meer inhoudelijk van zich laten horen. Destijds deelde de AP een waarschuwing aan websites dat Google Analytics mogelijk ‘binnenkort’ verboden wordt. De waarschuwing, die tot onrust leidde bij veel Nederlandse websites die gebruikmaken van Google’s software om klanten te volgen, volgde na de eerste conclusies van de CNIL. De bevindingen en handhaving van andere privacytoezichthouders zijn relevant omdat EU-landen grotendeels dezelfde privacywetgeving hanteren.
CNIL: pas Google Analytics aan
Deze week heeft de CNIL zijn technische documentatie geüpdatet met informatie voor websites die leunen op Google Analytics. De belangrijkste boodschap is dat dergelijke websites óf moeten stoppen met Google Analytics óf de software moeten aanpassen om aan de Europese privacywetgeving te voldoen.
Eén van de punten waar de CNIL over valt, is dat Google Analytics standaard de ip-adressen van gebruikers verzamelt en doorstuurt naar de Verenigde Staten. Websites kunnen er zelf voor kiezen om de verkregen ip-adressen te anonimiseren, maar deze functie staat standaard uit. De CNIL raadt websites daarom aan om zelf aanvullende maatregelen te nemen om de data-export naar de VS tegen te gaan. Encryptiesleutels in eigen beheer en het gebruiken van een proxy zijn twee oplossingen van de toezichthouder.
De CNIL bevestigde deze week ook dat het contact gezocht heeft met websites die de volgsoftware niet op de juiste manier gebruiken. Websites die een waarschuwing van de CNIL ontvangen, hebben één maand de tijd om hun Google Analytics-instellingen te veranderen om aan de wet te voldoen. Het is mogelijk om één maand uitstel te krijgen. ‘Ik vind het als niet-techneut lastig om te beoordelen of een maand een gebruikelijke termijn is’, zegt Menno Weij, partner Tech & Privacy Law bij BDO Legal Nederland. ‘Wel ga ik ervan uit dat het CNIL de termijn bepaald heeft op basis dat al langer bekend is dat Google Analytics niet aan de wet voldoet en dat websites in die termijn kunnen overstappen op alternatieve software.’
Google stopt met verzamelen van ip-adressen
Google heeft de afgelopen periode meermaals duidelijk gemaakt dat het websites allerlei handvaten biedt om Analytics volgens de EU-wetgeving te gebruiken. Die handvaten lijken de CNIL en mogelijk ook andere privacytoezichthouders niet ver genoeg te gaan. In maart kondigde Google dan ook een noemenswaardige verandering aan, naar eigen zeggen vanwege het ‘huidige dataprivacylandschap’. De nieuwste versie van Google Analytics (versie vier) slaat helemaal geen ip-adressen van internetgebruikers meer op. Websites die oudere Analytics-versies gebruiken, moeten in 2023 overstappen naar Analytics 4 om het gedrag van hun bezoekers te blijven meten. De oudere Analytics-versies gaan dan met pensioen.
Autoriteit Persoonsgegevens heeft meer tijd nodig
De AP heeft nog niet gereageerd op de nieuwe berichtgeving van zijn Franse collegatoezichthouder. Eind mei maakte de AP bekend klaar te zijn met zijn onderzoek naar of het gebruik van Google Analytics in Nederland toegestaan is. Het antwoord op die vraag laat nog op zich wachten. Pas ‘later dit jaar’ deelt de toezichthouder zijn conclusie, meldde een woordvoerder onlangs aan Nu.nl. Het onderzoek is deels gebaseerd op twee niet bij naam genoemde Nederlandse websites. De handhavingsafdeling van de AP controleert het onderzoek momenteel, waarna de twee onderzochte websites en Google de kans krijgen om te reageren. Pas daarna beslist de handhavingsafdeling over eventuele sancties – een besluit dat toegelicht zal worden.
‘Wat de beslissing wordt durf ik niet te zeggen’, zegt Weij. ‘Wat ik wel durf te zeggen is dat als toezichthouders uit zeker vier Europese landen van mening zijn dat Google Analytics bijna niet legaal te gebruiken is, het vreemd zou zijn als de AP daar een andere kijk op heeft. Zeker omdat de AP een conservatieve en dus strenge privacytoezichthouder is, denk ik dat de uitkomst zich bijna wel laat raden.’
Of het rapport van de AP op kortere termijn publiekelijk beschikbaar komt, is volgens Wij allerminst zeker. ‘Ik denk dat Google het op inhoudelijke gronden niet eens is met het rapport en verwacht dat het bedrijf naar de kort geding-rechter zal stappen en het maximale zal doen om de publicatie van het rapport tegen te houden. De rechter kan dat onder omstandigheden besluiten, bijvoorbeeld omdat de publicatie achteraf niet meer terug te draaien is. Als er een rechtszaak volgt, kan het dus zijn dat het rapport die periode niet gepubliceerd mag worden. Of dit echt gaat gebeuren, moet later dit jaar blijken.’