Dossier: GDPR compliance onder druk, wat is er aan de hand?

Dit jaar is het gebruik van Google Analytics, de meeste gebruikte oplossing voor website analytics, in de Europese Unie (EU) en Europese Economische Ruimte (EER) steeds meer onder druk komen te staan. Wat is de huidige stand van zaken?

---

Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (Europese verordening 2016/679 ofwel General Data Protection Regulation) hierna "AVG", van kracht en geldt deze voor elke organisatie die persoonsgegevens van natuurlijke personen in de Europese Unie verwerkt, ongeacht waar deze organisatie zich bevindt.

De verordening heeft als doelstelling de online privacy van Europese burgers te beschermen. Inmiddels is de AVG al ruim 4 jaar in werking en zijn er tot op de dag van vandaag nog steeds veel ontwikkelingen.

Wat is er tot dusver gebeurd?

De Oostenrijkse vereniging NOYB (None Of Your Business) heeft als privacy voorvechter, de afgelopen jaren een groot aantal processen tegen grote Amerikaanse bedrijven als Google en Facebook gestart.

In 2020 behaalde NOYB tegenover Facebook hun grootste succes met de baanbrekende Schrems-II (CJEU - C-311/18) zaak. De AVG biedt voor organisaties in de basis geen ruimte voor de doorgifte van persoonsgevens uit de EU (Europese Unie) en EER (Europees Economische Ruimte) naar een derde land (een land buiten deze zone). Dessalniettemin zijn er ook uitzonderingen mogelijk.

Zo creëerde de Europese Commisie een "adequaatsheidsbesluit", het EU-VS Privacy-Shield. Simpelweg was dit een uitzondering op het verbod van doorgifte naar organisaties voor de Verenigde Staten op de Privacy-Shield lijst.

Deze lijst wordt beheerd door het Amerikaanse ministerie van Handel en deze organisaties zouden voor Europese persoonsgegevens een adequaat niveau aan de beschermingsmaatregelen bieden. Met deze oplossing konden Europese bedrijven die binnen een activiteit Europese persoonsgegevens lieten verwerken door een Amerikaanse leverancier alsnog de AVG naleven.

Deze zaak kwam voor bij het Europees Hof van Justitie (HJEU) dat tot een nietigverklaring van het Privacy-Shield oordeelde. De reden voor het ongeldig verklaren van het Privacy-Shield, was dat het vaststelde dat Amerikaanse bedrijven door wettelijke verplichtingen van Amerikaanse inlichtingsdiensten geen adequaat beschermingsniveau voor de persoonsgegevens van Europese burgers kan garanderen.   

Nadat veel Europese bedrijven en organisaties middels de Privacy-Shield overeenkomst de AVG dachten na te leven, bleek dit plots niet meer het geval. De gevolgen van deze uitspraken waren dan ook groot.

Google Analytics in Oostenrijk 

Met dat arrest in de hand heeft NOYB een groot aantal klachten over het gebruik van Google Analytics bij Europese gegevensbeschermingsautoriteiten ingediend. Ook in Oostenrijk eerder dit jaar, bij de lokale autoriteit de Datenschutzbehorde (DSB).

Google's Google Analytics wordt gezien als de standaard voor website-analytics en vervult voor veel websitebeheerders al jaren een belangrijke rol. 

Een Oostenrijker vertegenwoordigd door NOYB nam het in deze zaak op tegen een Oostenrijkse websitebeheerder. De Oostenrijker bezocht een medische website terwijl hij met zijn persoonlijke Google-account was ingelogd. De websitebeheerder had voor het gebruik van website-analytics Google Analytics (Universal Analytics) op de website geïmplementeerd.

De aanklacht en het verweer

NOYB voerde aan dat het gebruik van Google Analytics een onrechtmatige doorgifte van persoonsgegevens naar Google is en dit in strijd is met het Schrems-II arrest.

Google zou zich in de overeenkomst bij het gebruik van de dienst positioneren als electronic communication service provider. Vanuit deze postitie valt Google onder de Amerikaanse inlichtingenwetgeving. Als gevolg kan het worden bevolen inzage te geven in de gegevens van Europese burgers, waaronder deze Oostenrijker.

In het verweer voerde Google en de websitebeheerder het volgende aan: 

1. Rollen: Niet de websitebezoeker maar de websitebeheerder de rol van verwerkingsverantwoordelijke heeft (controller) en Google de rol van verwerker heeft. (processor).
2. Modelcontract/SCC: Als er sprake zou zijn van de doorgifte van persoonsgegevens naar de VS, er in de overeenkomst met contractuele afspraken tussen de afnemer (websitebeheerder) en leverancier (Google), in lijn met een modelcontract ofwel de Standard Contract Clauses (SCC), zijn gemaakt.
3. Herleidbaarheid: De verwerkte datagegevens niet herleidbaar zouden zijn en dus niet onder persoonsgegevens vallen.
4. Adequate maatregelen: Er voldoende aanvullende maatregelen waren genomen bij een mogelijke doorgifte van persoonsgegevens.
5. Risicogerichte-aanpak: Er conform SCC-afspraken een risicogerichte aanpak is gehanteerd voor het bepalen van de mogelijke privacy-impact voor websitebezoekers, waarbij er uit deze risicobeoordeling het risico dat de desbetreffende mogelijke persoonsgegevens onderzocht zouden worden door de Amerikaanse inlichtingendiensten laag is.
6. Beperkte reikwijdte AVG: De beschermingseisen voor de doorgifte van persoonsgegevens enkel voor de data exporteur (de Oostenrijkse websitebeheerder) en niet de data importeur (Google) van toepassing zijn.
7. IP-adressen niet herleidbaar: Pseudonimisering van IP-adressen binnen Google Analytics mogelijk is waardoor er bij het gebruik van deze functie geen sprake zou zijn van het verwerken van persoonsgegevens.

 

Werking Google Analytics

Wanneer de scripts van Google Analytics (Universal Analytics) aanwezig zijn op een website laadt de webbrowser een script van Google webservers en stuurt deze eigenschappen van de bezoeker terug naar Google. Ter identificatie worden er in de webbrowser cookies geplaatst om unieke online identifiers ofwel Universally Unique IDentifier (UUID), vastgelegd. 

Client ID (_ga cookie)

De Client ID is een unieke waarde die aan elke websitebezoeker op een website wordt toegewezen en waarmee statistieken over de bezoeker inzichtelijk worden. Elke bezoeker wordt uniek geïdentificeerd. Aan de hand van elke actie die de bezoeker verricht, ook wel Hits genoemd, wordt informatie verzameld.

Door te zoeken naar hits met hetzelfde Client ID kunnen verbindingen worden gelegd en wordt een bezoekersessie duidelijk. Verder kunnen er aan de hand van eerdere bezoeken verbanden worden gelegd waardoor een terugkerende bezoeker wordt herkend en kan gedrag worden gevolgd.

User ID (_gid cookie)

Dit is een unieke waarde die een bezoeker van een website toegewezen krijgt als de gebruiker tegelijkertijd in dezelfde browser ingelogd is en met een Google-account ingelogd is bij een Google dienst.

De uitspraak, scheuren door Schrems-II?

Op grond van artikel 44 van de AVG oordeelde de rechter dat het gebruik van Google Analytics in overtreding is met de AVG. De rechter kwam samengevat tot het volgende oordeel:

1. Individuen zijn herleidbaar: De gehanteerde online identifiers te herleiden zijn naar een individu, hiermee personal identifiable information (PII) zijn en onder de definitie persoonsgegevens vallen.
2. Geen adequaatbeschermingsniveau: Er sprake is van de export van gegevens voor een internationale verwerking in een “derde land”, zonder een adequaat beschermingsniveau en evenmin garanties om de privacy van persoonsgegevens waarborgen.
3. SCC irrelevant: SCC afspraken niet relevant of geldig in deze kwestie, omdat deze slechts een contractuele afspraak tussen deze twee partijen vormen en ondergeschikt is aan wettelijke verplichtingen in derde landen.
4. Lokale autoriteiten: Deze verwerking vanuit Amerikaanse wetgeving onder toezicht van de inlichtingendiensten valt.
5. Geen basis voor doorgifte: Er geen geldige basis voor de doorgifte van deze data is.

 

Google Analytics verder onder vuur

De Franse toezichthouder Commission Nationale Informatique & Libertés (CNIL) voerde op basis van meldingen, van onder andere NOYB, een analyse uit over de legaliteit van het gebruik van Google Analytics. De CNIL kwam net als de DSB tot de conclusie dat er niet afdoende beschermingsmaatregelen en waarborgen zijn. Het gebruik van Google Analytics in Frankrijk werd verboden.

Snel kwam ook, door een Italiaanse zaak van NOYB in juni 2022 Italiaanse toezichthouder Garante Per La Protezione Dei Dati Personali (GPDP) tot dezelfde conclusie. De desbetreffende Italiaanse websitehouder kreeg 90 dagen de tijd om aanpassingen door te voeren.

Daarnaast volgde er een aankondiging waarin Italiaanse websitebeheerders werd verzocht binnen 90 dagen eventuele verwerkingen naar derde landen zonder passende bescherming, te stoppen. Na het aflopen van deze periode zal de autoriteit actief controleren op de naleving.

En Nederland dan?

Hoewel de Autoriteit Persoonsgegevens, (hierna AP) formeel nog geen eigen oordeel heeft gepubliceerd, geeft zij op de website inmiddels wel aan dat Google Analytics mogelijk binnenkort verboden kan worden. Sterker nog, EU-wetgeving dient binnen alle landen in de EER op dezelfde manier geïnterpreteerd te worden. Naar alle waarschijnlijkheid is dit niet een kwestie van of, maar wanneer.

Wat kan Google doen?

Juridisch gezien zou Google in elk Europees land tegen een verbod in kunnen gaan en de nationale rechter vervolgens kunnen verzoeken prejudiciële vragen te stellen aan het Europese Hof van Justitie. Het Hof doet uitspraken over de interpretatie van de AVG-normen. De Europese rechter legt dus uit hoe de AVG geïnterpreteerd dient te worden, ongeacht hoe dit in het nationale recht is verwerkt. Het antwoord geeft dus voor alle Europese landen inzicht in de toepassing van de AVG.

Nationale rechters moeten de nationale wetgeving waarin de AVG is opgenomen uitleggen aan de hand van de antwoorden van het Hof. Dat geldt dus ook voor Nederland. Google Analytics zou dus door een uitspraak van het Hof in de EU verboden kunnen worden, maar wellicht verbiedt de AP de service al in Nederland voor die tijd.

Oplossingen?

Zolang er ten aanzien van de doorgifte van persoonsgegevens naar de VS geen passende beschermingsmaatregelen worden erkend, blijft het probleem met Google Analytics, door de doorgifte van data naar de VS, bestaan. Google kondigde aan dat de nieuwe versie van de website-analytics dienst, Google Analytics 4, de eerdere problemen zou oplossen. Zo stelt Google dat het geen IP-adressen meer zou opslaan. Vooralsnog lijkt er nu (september 2022) nog geen duidelijkheid in of deze nieuwe variant alle bezwaren wegneemt. 

Privacyfuncties waarbij IP-adressen worden “geanonimiseerd” zijn niet voldoende omdat Google bij het leveren van de dienst nog altijd beschikt over het IP en een deel van het IP-adres zichtbaar blijft.

Theoretisch zou het individu in alle technische schakels van Google Analytics niet te identificeren moeten zijn. Vooralsnog lijkt het erop dat enkel dan Google Analytics kunnen worden gebruikt. In de praktijk betekent dit dat een IP-adres of gegenereerde hashwaarde ter identificatie, aangepast dient te worden voordat Google toegang heeft.

Om dit te realiseren zou er een laag tussen het Google Analytics script en de website-bezoeker in moeten komen. Deze laag kan worden gerealiseerd middels een proxy. Deze proxy kan de gegevens die vanuit Google Analytics worden opgevraagd manipuleren. Het IP-adres kan afgeschermd worden en online identifiers vervangen.

Onder andere Cloudflare biedt een oplossing om dit redelijk eenvoudig te realiseren. Interessant, maar dit roept echter de vraag op of Cloudflare wel kan? Conform de lijn van de rechtspraak lijkt het antwoord op die vraag nee, want:

Cloudflare is een Amerikaans bedrijf.

Cloudflare moet logischerwijs als CDN directe onversleutelde inzage in het netwerkverkeer van de website hebben. Dit is heel veel data waaronder de IP-adressen van alle websitebezoekers dan slechts een druppel in de zee aan data zijn.

Een fundamentaal probleem door Schrems-II

De contractuele afspraken tussen Europese organisaties en bedrijven bij de afname van een dienst of product Amerikaanse bedrijf, waarmee de privacy van Europeanen beschermd zou moeten worden, worden overruled door de Amerikaanse wetgeving.

Of Amerikaanse partijen nou willen of niet, hieraan moet invulling worden gegeven. De kern van het probleem is dat het eigenlijk niet per se om Google Analytics of dienst X gaat, maar dat uiteindelijk draait om de doorgifte van persoonsgegevens naar de VS an sich. Ongeacht of de servers van deze Amerikaanse rechtspersoon in de Verenigde Staten en de Europese Unie gestationeerd zijn. Dit maakt de impact van het arrest dan ook immens.

Hoewel er in enkele situaties uitzonderingen te maken zijn, is het vanuit de basis enkel met aanvullende maatregelen, in de vorm van zero knowledge voor de desbetreffende Amerikaanse leverancier, mogelijk zijn om  de doorgifte van persoonsgegevens mogelijk te maken. Hoeveel organisaties zijn er dan nog 100% compliant, ondanks de grote inspanningen van kleine en grote organisaties? 

Braafste jongetje van de klas

Sinds het gebruik van Google Analytics verboden is door de Franse autoriteit, hebben de EU en VS een nieuwe overeenkomst aangekondigd. Daarbij moet wel gezegd worden dat de Europese Commissie de afgelopen jaren, met het Safe Harbour en het Privacy-Shield, verschillende pogingen heeft gedaan om dit probleem op te lossen maar dat deze oplossingen uiteindelijk door het Hof illegaal en nietig zijn verklaard.

Dit roept de vraag op of er binnen afzienbare tijd een doorbraak gaat komen en er niet weer een pleister maar een duurzame oplossing zal worden gevonden.

Hoe wordt deze patstelling doorbroken en waarmee wordt dit juridisch gelijmd?

Als de oplossing er komt, hoe lang houdt deze dan stand?

Op deze belangrijke vragen zijn er helaas nog geen antwoorden. Gelet op de grote onduidelijkheid en belangen die voor veel bedrijven meespelen is het, wat de uitkomst ook zal worden, van belang om de ontwikkelingen af te wachten. Wacht af wat de lokale toezichthouder, de Autoriteit Persoonsgegevens, zal communiceren en volg die lijn. Het valt te betwisten in hoeverre het braafste jongetje van de klas spelen in deze onduidelijke situatie de juiste keuze is.

Wees uiteraard wel voorbereid door in uw organisatie een volwassen privacyproces te onderhouden, waarin er een actueel beeld van verwerking, leveranciers en de eventuele internationale doorgifte van data naar derde landen duidelijk en actueel is.