Update 6 april 2022:

De Franse CNIL heeft nu nog 2 Franse bedrijven aangemaand geen GA meer te gebruiken. De uitspraak is anoniem, maar met redelijke zekerheid kan ik zeggen dat het de 3 partijen op de 101 klachtenlijst van NOYB zijn: Decathlon France SA, Auchan E-commerce France en Sephora SAS.

 

Update 4/03/2022:

Zelfs de privacyautoriteit van Lichtenstein neemt nu een duidelijk standpunt in tegen GA.

 

Update 10 februari 2022:

Ook de Franse CNIL is nu duidelijk

 

Update 31 januari 2022:
Ook de Noorse privacy autoriteit zegt met een uitspraak te komen en geeft alvast de raad om naar alternatieven te gaan kijken. Zij wijzen er ook op dat er impact kan zijn voor andere tools, zoals in Duitsland er nu ook een uitspraak is gekomen over de illegaliteit van Google Fonts.


Ja het was een klein bommetje, dat gisteren in Oostenrijk werd gedropt rond Google Analytics…. 💣

Daar ik zowel bij Thomas More als UHasselt een vak heb, waarbij Google Analytics 1 van de belangrijkste onderdelen is, diende ik er dus wel even in te duiken…

 

Situatie tot nu in België en Nederland?

Sinds de Jubel case in 2019 weten we dat onze GBA vereist dat een website consent/toestemming gaat vragen van zijn bezoekers voor het inzetten van Google Analytics.

De Nederlandse AP (Autoriteit Persoonsgegevens) heeft daarentegen sinds 2018 reeds een “Handleiding privacyvriendelijk instellen van Google Analytics“,  waarmee ze aangeven dat het volgen van deze handleiding ervoor zorgt dat je geen consent dient te vragen voor GA.

Dus zowat elke website gebruikt Google Analytics voor het meten van zijn bezoekers.

Vanwaar komt de drama nu plots?

De Oostenrijkse privacycommissie (“Datenschutzbehörde” of “DSB”) is als eerste landelijke DPA nu tot een uitspraak gekomen in 1 van de 101 Europese aanklachten die privacyvereniging NOYB (van Oostenrijker Max Schrems) had gelanceerd. Deze uitspraak is tegen website netdoktor.at. Deze 101 klachten had Noyb (NOT Your Business) namelijk gelanceerd om eens duidelijke uitspraken te forceren tov. het gebruik van Google en Facebook… 

Het probleem is dat er een datatransfer gaat plaatsvinden van gegevens naar Google en deze gegevens worden verwerkt op Amerikaanse servers. Tot enkele jaren geleden was er een Amerikaans-Europees verdrag (het Privacy Schield) wat de datatransfer van gegevens naar de VS regelde. Dit werd echter ongeldig verklaard op 16 juli 2020 (het befaamde schremsII arrest genoemd naar die Max Schrems). 

In zijn uitspraak laat de DSB weten dat de methode van Google, om het wegvallen van het Privacy Shield op te vangen met zogenaamde SCC’s (Standard Contractual Clauses) niet volstaat.

Daarnaast anonimiseerde de website ook het ipadres van bezoekers niet voor Google Analytics (door een technische fout), wat natuurlijk niet in het voordeel van de website spreekt. Al had zelfs dit niet volstaan volgens de rechter.

In particular, the DSB highlighted that at least unique online identifiers, that identify both the complainant’s browser or device and the first respondent (through the first respondent’s Google Analytics account ID as website operator), the address and HTML title of the website and the subpages visited by the complainant, information on the browser, operating system, screen resolution, language selection, date and time of the website visit, and the IP address of the device used by the complainant were transferred from the website operator to Google through use of Google Analytics, and concluded that such data was sufficient to identify the data subject, and therefore to be considered as personal data under the GDPR.

Het komt er dus op neer, dat deze uitspraak stelt dat het gebruik van Google Analytics illegaal is… 😱🙈

Meer detail info (door NOYB, dus wel “wat” gekleurd natuurlijk).

PS: De website kreeg geen boete, daar deze ondertussen samengegaan is met een Duitse website en de Duitse DPA nu verantwoordelijk is voor een sanctie tegen deze website. 🤷‍♂️

Google voelde wel al iets aankomen, want kijk welke mail ik gisteren van hen kreeg…

 

Wat is de impact nu?

Dat de SchremsII-chaos dit jaar gaat voortduren is te vrezen. Overal gaan er uitspraken gebeuren (zoals in Hamburg tegen Mailchimp, in Portugal tegen Cloudflare,….).

Het is ook een feit dat de GDPR geen ééngemaakt privacy regulering is, daar elk land zijn eigen interpretatie heeft en het ene land als wat strenger is dan het ander (nietwaar Ierland, ken je dat die GDPR? 🙈🤷‍♂️). Zie mijn oude blogpost over de leeftijden waarop een kind oud genoeg is voor zijn consent te kunnen geven.

De Nederlandse AP heeft alvast actie ondernomen, door hun vorige handleiding voor GA te verwijderen en een nieuwe te plaatsen met duidelijke waarschuwing (zonder redirect natuurlijk 🙈).

De AP gaat dus binnenkort met hun uitspraken komen en dit is dus vermoedelijk voor volgende website (die op de lijst met de 101 NOYB klachten staat).

 

Ik ben ook benieuwd of onze GBA iets gaat doen met de 2 BE Noyb aanklachten (tegen logic-immo.be en flair.be)…. 🤷‍♂️  Als Belgisch bedrijf, val je namelijk onder de interpretatie van de Belgische privacycommissie.

Deze uitspraak gaat ook zeker de interne spanningen in bedrijven tussen legal en marketing zeker opdrijven. 

Als we wat dieper graven, dan kan die transfer gebeuren, maar ga je een zeer duidelijke expliciete consent moeten vragen (en dus niet zo een groene button van “klik hier ok”) voor die datatransfer.

A transfer can be made based on a number of derogations for specific situations for example, where an individual has explicitly consented to the proposed transfer after having been provided with all necessary information about the risks associated with the transfer.

 

Ik denk dat ik nog wel meer klanten nu ga zie voorbijkomen, die eens naar Matomo (of ander EU analytics alternatief) willen kijken… De collega’s bij Intracto hebben ondertussen een one-page paper online gezet met alternatieven. Enja dan zal je zien dat je zal moeten gaan betalen, want die gebruiken je gegevens niet voor advertentiedoeleinden… Ik kan alvast mijn lessenreeks voor volgend jaar nu volledig herzien.

Zelf heb ik onlangs wat gespeeld met Simple Analytics (uit NL met dataopslag in NL) , waarbij je zelfs een import functie hebt om data uit Google Analytics te gaan binnentrekken (enkel de privacyvriendelijke data natuurlijk).

 

Dat wordt een leuk werkje bij vele bedrijven, daar veel rapportages en dashboards momenteel gebouwd zijn op data uit Google Analytics. 🙈

Enja dit gaat een grote impact hebben voor nog vele andere Amerikaanse tools (Zoom, Mailchimp, FB ads, Teams,…..). Release the kraken… 🙈

 

Het antwoord van Google?

Ondertussen heeft Google ook zelf een blogpost online gegooid waar ze nergens ingaan op deze uitspraak, maar zeggen dat sommige organisaties Google Analytics en privacy niet bij elkaar zien passen:

  • Ze verwijzen naar het eigen verbod om PII informatie (zoals emailadressen of namen) in Google Analytics op te laden (correct, ik ken wel wat klanten die hiervoor waarschuwingen kregen).
  • Ze geven aan dat ze maar processor/verwerker zijn: They retain ownership of the data they collect using Google Analytics, and Google only stores and processes this data per their instructions
  • Ze zeggen dat EU Standard Contractual Clauses wel ok zijn voor de data transfer.
  • Ze geven aan dat je als gebruiker zelf de IP anonimisatie kan aanzetten en dat deze op local EU servers wordt uitgevoerd: Before data is transferred to any servers in the United States, it is collected in local servers, where users’ IP addresses are anonymized (when the feature is enabled by customers).
blank

Marketing strateeg en docent (Thomas More/UHasselt). Sinds 2002 reeds techblogger. Freelancer vanuit Dailybits rond SEO/HubSpot/Marketing strategie/GDPR/... en daarnaast ook gewoon papa thuis. Schrijf je in voor de Dailybits nieuwsbrief.

Abonneer
Abonneren op

Deze site gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.

2 Reacties
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
3 maanden geleden

Wat zou je advies zijn naar klanten toe? Bij Google Analytics blijven, of niet afwachten en toch al alternatieven gaan implementeren?

Herman
Reply to  Lendert
3 maanden geleden

Paniek is de slechtste raadgever. Met mijn UHasselt studenten ga ik voor een klant enkele alternatieven naast elkaar testen.

Die klant blijft nog GA gebruiken, maar we zijn scenario B aan het bekijken (eigenlijk scenario C, want GAv4 draait al simultaan bij die klant).

Het wordt vooral uitkijken naar de aankomende uitspraken in NL, die gaan veel in stroomversnelling kunnen gaan brengen… ‍♂️