Update Juli 2023:
Let op. Deze uitspraken handelen over Universal Analytics, wat op 1 juli 2023 uitgefaseerd is door Google. Over GA4 zijn er nog geen uitspraken;
Ja het was een klein bommetje, dat rond maart 2022 in Oostenrijk werd gedropt rond Google Analytics…. 💣
Daar ik zowel bij Thomas More als UHasselt een vak heb, waarbij Google Analytics 1 van de belangrijkste onderdelen is, diende ik er dus wel even in te duiken…
Google Analytics uitspraken in Europa (update 03/07/23)?
Door de 101 klachten van privacyvereniging NOYB in alle Europese landen tegen websites die o.a. Google Analytics gebruiken is er nu een stroom van uitspraken van toezichthouders bezig.
Tot hiertoe zag ik nog geen GDPR boete voorbijkomen, maar zijn het dwingende uitspraken om er binnen de x dagen mee te stoppen.
Datum | Land | Beslissing | Links? |
---|---|---|---|
13/01/2022 | Oostenrijk | Algemene waarschuwing tegen gebruik van GA | Link |
26/01/2022 | Noorwegen | telenor.no moet stoppen met GA na NOYB klacht | Link |
10/02/2022 | Frankrijk | websites moeten stoppen met GA (mijn gok: Decathlon France SA, Auchan E-commerce France en Sephora SAS) | Link |
03/03/2022 | Lichtenstein | Algemene waarschuwing tegen gebruik van GA | Link |
23/06/2022 | Italië | caffeinamagazine.it moet stoppen met GA na NOYB klacht | Link |
07/07/2022 | Italië | ilmeteo.be moet stoppen met GA na NOYB klacht | Link |
21/07/2022 | Italië | fastweb.be moet stoppen met GA na NOYB klacht | Link |
21/09/2022 | Denemarken | Algemene waarschuwing en verwijzing naar de reverse proxy-oplossing van de Franse CNIL | Link |
12/08/2022 | Hongarije | meteo website op de vingers getikt na klacht door NOYB. | Link |
12/01/2023 | Frankrijk | Uitspraak in de rechtbank van Grenoble, waar het gebruik van GA door een webdeveloper (foutief advies) wordt gebruikt voor de nietig verklaring van een maintenance contract. Zie NL samenvatting. | Link |
17/01/2023 | Finland | 4 steden zijn op de vingers getikt voor het gebruik van GA en Google Tag Manager op hun bibliotheek website. | Link |
23/03/2023 | Duitsland (Keulen) | Telekom.de dient te stoppen met versturen van gegevens naar GA (uitspraak door regionale rechtbank van Cologne). In de uitspraak wordt het gebruik van een cookiebanner als niet voldoende getoond voor deze internationale datatransfer legaal te maken. | Link |
03/07/2023 | Zweden | 4 bedrijven (vanop de 101 NOYB lijst) diene te stoppen met GA te gebruiken (CDON, Coop, Dagens Industri and Tele2). Tele2 krijgt hierbij 1 miljoen EUR boete en CDON 25.000EUR. De 2 andere bedrijven krijgen geen boete, daar ze reeds GA4 en SST op Google Cloud Platform gebruikten als extra technische maatregelen. | Link |
Situatie tot nu in België en Nederland?
Sinds de Jubel case in 2019 weten we dat onze GBA vereist dat een website consent/toestemming gaat vragen van zijn bezoekers voor het inzetten van Google Analytics.
De Nederlandse AP (Autoriteit Persoonsgegevens) heeft daarentegen sinds 2018 reeds een “Handleiding privacyvriendelijk instellen van Google Analytics“, waarmee ze aangeven dat het volgen van deze handleiding ervoor zorgt dat je geen consent dient te vragen voor GA.
Dus zowat elke website gebruikt Google Analytics voor het meten van zijn bezoekers.
Vanwaar komt de drama nu plots?
De Oostenrijkse privacycommissie (“Datenschutzbehörde” of “DSB”) is als eerste landelijke DPA nu tot een uitspraak gekomen in 1 van de 101 Europese aanklachten die privacyvereniging NOYB (van Oostenrijker Max Schrems) had gelanceerd. Deze uitspraak is tegen website netdoktor.at. Deze 101 klachten had Noyb (NOT Your Business) namelijk gelanceerd om eens duidelijke uitspraken te forceren tov. het gebruik van Google en Facebook…
Het probleem is dat er een datatransfer gaat plaatsvinden van gegevens naar Google en deze gegevens worden verwerkt op Amerikaanse servers. Tot enkele jaren geleden was er een Amerikaans-Europees verdrag (het Privacy Schield) wat de datatransfer van gegevens naar de VS regelde. Dit werd echter ongeldig verklaard op 16 juli 2020 (het befaamde schremsII arrest genoemd naar die Max Schrems).
In zijn uitspraak laat de DSB weten dat de methode van Google, om het wegvallen van het Privacy Shield op te vangen met zogenaamde SCC’s (Standard Contractual Clauses) niet volstaat.
Daarnaast anonimiseerde de website ook het ipadres van bezoekers niet voor Google Analytics (door een technische fout), wat natuurlijk niet in het voordeel van de website spreekt. Al had zelfs dit niet volstaan volgens de rechter.
In particular, the DSB highlighted that at least unique online identifiers, that identify both the complainant’s browser or device and the first respondent (through the first respondent’s Google Analytics account ID as website operator), the address and HTML title of the website and the subpages visited by the complainant, information on the browser, operating system, screen resolution, language selection, date and time of the website visit, and the IP address of the device used by the complainant were transferred from the website operator to Google through use of Google Analytics, and concluded that such data was sufficient to identify the data subject, and therefore to be considered as personal data under the GDPR.
Het komt er dus op neer, dat deze uitspraak stelt dat het gebruik van Google Analytics illegaal is… 😱🙈
Meer detail info (door NOYB, dus wel “wat” gekleurd natuurlijk).
PS: De website kreeg geen boete, daar deze ondertussen samengegaan is met een Duitse website en de Duitse DPA nu verantwoordelijk is voor een sanctie tegen deze website. 🤷♂️
Google voelde wel al iets aankomen, want kijk welke mail ik gisteren van hen kreeg…
Wat is de impact nu?
Dat de SchremsII-chaos dit jaar gaat voortduren is te vrezen. Overal gaan er uitspraken gebeuren (zoals in Hamburg tegen Mailchimp, in Portugal tegen Cloudflare,….).
Het is ook een feit dat de GDPR geen ééngemaakt privacy regulering is, daar elk land zijn eigen interpretatie heeft en het ene land als wat strenger is dan het ander (nietwaar Ierland, ken je dat die GDPR? 🙈🤷♂️). Zie mijn oude blogpost over de leeftijden waarop een kind oud genoeg is voor zijn consent te kunnen geven.
De Nederlandse AP heeft alvast actie ondernomen, door hun vorige handleiding voor GA te verwijderen en een nieuwe te plaatsen met duidelijke waarschuwing (zonder redirect natuurlijk 🙈).
De AP gaat dus binnenkort met hun uitspraken komen en dit is dus vermoedelijk voor volgende website (die op de lijst met de 101 NOYB klachten staat).
Ik ben ook benieuwd of onze GBA iets gaat doen met de 2 BE Noyb aanklachten (tegen logic-immo.be en flair.be)…. 🤷♂️ Als Belgisch bedrijf, val je namelijk onder de interpretatie van de Belgische privacycommissie.
Deze uitspraak gaat ook zeker de interne spanningen in bedrijven tussen legal en marketing zeker opdrijven.
Als we wat dieper graven, dan kan die transfer gebeuren, maar ga je een zeer duidelijke expliciete consent moeten vragen (en dus niet zo een groene button van “klik hier ok”) voor die datatransfer.
A transfer can be made based on a number of derogations for specific situations for example, where an individual has explicitly consented to the proposed transfer after having been provided with all necessary information about the risks associated with the transfer.
Zelf ben ik dit jaar overgestapt naar Simple Analytics (uit NL met dataopslag in NL) , waarbij je zelfs een import functie hebt om data uit Google Analytics te gaan binnentrekken (enkel de privacyvriendelijke data natuurlijk).
Dat wordt een leuk werkje bij vele bedrijven, daar veel rapportages en dashboards momenteel gebouwd zijn op data uit Google Analytics. 🙈
Enja dit gaat een grote impact hebben voor nog vele andere Amerikaanse tools (Zoom, Mailchimp, FB ads, Teams,…..). Release the kraken… 🙈
Het antwoord van Google?
Ondertussen heeft Google ook zelf een blogpost online gegooid waar ze nergens ingaan op deze uitspraak, maar zeggen dat sommige organisaties Google Analytics en privacy niet bij elkaar zien passen:
- Ze verwijzen naar het eigen verbod om PII informatie (zoals emailadressen of namen) in Google Analytics op te laden (correct, ik ken wel wat klanten die hiervoor waarschuwingen kregen).
- Ze geven aan dat ze maar processor/verwerker zijn: They retain ownership of the data they collect using Google Analytics, and Google only stores and processes this data per their instructions
- Ze zeggen dat EU Standard Contractual Clauses wel ok zijn voor de data transfer.
- Ze geven aan dat je als gebruiker zelf de IP anonimisatie kan aanzetten en dat deze op local EU servers wordt uitgevoerd: Before data is transferred to any servers in the United States, it is collected in local servers, where users’ IP addresses are anonymized (when the feature is enabled by customers).
Het verder antwoord is: We krijgen Universal analytics (Google Analytics V3) niet meer opgelost, dus faseren Universal Analytics uit op 1/7/2023 (toegang tot alle historische data vervalt ook op 1/1/2024) en raden iedereen aan NU over te stappen op GA4.
Wat moet ik als bedrijf nu doen?
De GDPR uitspraken hebben bij Google de versnelde uitfasering van Universal Analytics getriggered. Elke dag dat je nu als bedrijf wacht met ofwel een overstap naar GA4 ofwel het opzetten van een alternatief (Piwik, Simple analytics,…), zorgt ervoor dat je met minder data zal zitten na 1 juli 2023.
Wacht er dus best niet te lang mee en maak je beslissing liefst zo snel mogelijk. Enja ik kan je hierbij helpen. 😉
Wat zou je advies zijn naar klanten toe? Bij Google Analytics blijven, of niet afwachten en toch al alternatieven gaan implementeren?
Paniek is de slechtste raadgever. Met mijn UHasselt studenten ga ik voor een klant enkele alternatieven naast elkaar testen.
Die klant blijft nog GA gebruiken, maar we zijn scenario B aan het bekijken (eigenlijk scenario C, want GAv4 draait al simultaan bij die klant).
Het wordt vooral uitkijken naar de aankomende uitspraken in NL, die gaan veel in stroomversnelling kunnen gaan brengen… ♂️
Thx voor de privacy blog posts trouwens 🙂
Ook dan maar wat actie ondernomen.
Voorlopig nog wel geen alternatief voor … gevonden
Ik wacht vnl een uitspraak van BE/NL autoriteit af voor de big switch.