Sinds begin 2022 is er veel geschreven over Google Analytics. Met name over de vraag: kunnen we Google Analytics nog blijven gebruiken? Er gebeurt veel in de wereld van Google Analytics, en dat is niet alleen omdat Universal Analytics wordt vervangen door Google Analytics 4.
Het is voornamelijk een juridisch en politiek vraagstuk, ontstaan door de invoering van de GDPR en AVG en het stopzetten van de datatransfer overeenkomst tussen de VS en Europa. Dit gebeurde halverwege 2020 door het Europese gerechtshof. De datatransfer overeenkomst tussen de VS en Europa beheerde de datastromen tussen de twee continenten. De overeenkomst is stopgezet doordat de rechten van de Europese consument niet genoeg werden geborgen en hierdoor niet aan de GDPR en de AVG voldeed. Hierna werden er door de verschillende Persoonsgegevens Autoriteiten in Europa onderzoek gedaan naar de datastromen van Google Analytics. Begin 2022 werden de eerste resultaten van het onderzoek bekend gemaakt:
12/01/2022 – Austrian DPA (DSB) states that continuous use of Google Analytics violates GDPR.
01/15/2022 – Dutch DPA (AP) updates its guidelines on Google Analytics use, suggesting it may be unlawful.
01/26/2022 – Norwegian DPA (Datatilsynet) supports the decision of Austrian DPA in this statement.
De uitspraken van de Persoonsgegevens Autoriteiten over de verschillende landen concluderen hetzelfde, namelijk:
Google Analytics voldoet niet volledig aan de eisen voor het doorsturen van persoonsgegevens naar derde landen. De manier van het doorsturen van de persoonsgegevens door Google is niet in lijn met de GDPR richtlijnen. Dit geldt voor de klassieke versie van Google Analytics (Universal Analytics) en de nieuwe versie Google Analytics 4.
Vervolgens kwam er eind december 2022 een update van de Spaanse Persoonsgegevens Autoriteiten, waarin Google Analytics niet per definitie is verboden, maar met de kanttekening dat:
De kern van het verhaal is dat het niet is toegestaan binnen de GDPR-voorwaarden om persoonsgegevens naar een land buiten de Europese Unie te versturen, zonder uitdrukkelijke goedkeuring door de consument. Dit gebeurde voorheen echter wel.
Onder persoonsgegevens worden de volgende onderdelen verstaan:
Google is het afgelopen jaar overgegaan naar het ophalen van de Google Analytics gegevens op Europese servers om zo een gedeelte van de informatie binnen Europa te houden. Naast het ophalen van de gegevens in Europa, wordt ook het anonimiseren van de IP-adressen toegepast. Dit wordt al standaard in GA4 gedaan en kan aangezet worden in GA3. Alhoewel dit voor een verbetering zorgde heeft het niet alle problemen opgelost, omdat de matching in combinatie met het gebruik van andere tools van Google toch in de Verenigde Staten gebeurt. Daarnaast geeft Google zelf aan dat de gegevens in de VS worden opgeslagen.
De uitspraak van de Franse AP (de CNIL) hierover luidt:
In response to the questionnaire sent by the CNIL, Google indicated that all the data collected through Google Analytics is hosted in the United States.
Hoe kan Google Analytics toch aan de richtlijnen voldoen?
Via de techniek
De Franse CNIL heeft een aantal richtlijnen opgesteld met opties om toch Google Analytics te blijven gebruiken:
Pseudonimisering is het proces waarbij persoonlijke gegevens worden vervangen door een pseudoniem of een code. Hierdoor wordt het moeilijker om de identiteit van een persoon te achterhalen aan de hand van de gegevens. Het doel van pseudonimisering is om de privacy van personen te beschermen terwijl de gegevens nog steeds bruikbaar blijven voor analyse en onderzoek.
Deze vorm neemt hoge technische kosten met zich mee en is niet eenvoudig toe te passen door de proxyserver die ertussen gezet moet worden.
Alternatieven Google Analytics
Er zijn alternatieven voor Google Analytics. Misschien is juist nu, met het stoppen van Google Analytics 3, wel een goed moment om over te stappen naar een van de alternatieven:
Politieke oplossing en vervanging van het Privacy Shield
Op 25 maart 2022 is er een nieuwe overeenkomst getekend tussen Europa en de Verenigde Staten als vervanger van de overeenkomst die in 2020 werd afgekeurd.
Een nieuwsbericht daarover:
Europese Commissie-president Ursula von der Leyen liet vandaag weten dat de Europese Unie en Verenigde Staten een akkoord hebben bereikt voor legale datatransfers tussen de EU en VS. De nieuwe overeenkomst wordt in de komende maanden uitgewerkt. De overeenkomst bereikt hetzelfde doel als het Privacy Shield dat in 2020 verviel. We zijn maanden verwijderd van de eerste versie.
Op 7 oktober 2022 heeft president Joe Biden een presidentieel decreet (‘Executive Order’ (EO)) ondertekend om het Privacy Shield 2.0 ten uitvoer te leggen om de bescherming van de persoonsgegevens die tussen de VS en Europa worden gedeeld, te waarborgen.
Deze EO markeert het begin van de stappen die in de nieuwe overeenkomst zijn bepaald. Als alles goed verliep zou het nieuwe besluit in maart 2023 gepubliceerd worden en zou er een einde komen aan de lange periode van onzekerheid in de trans-Atlantische digitale economie. In begin mei 2023 is dit nog niet gedaan.
Binnen deze overeenkomst zijn er vier sleutelonderdelen:
Als dit wordt goedgekeurd door de verschillende overheden zal dit de problemen rondom Google Analytics oplossen.
We geven je graag advies over het opzetten van de technische oplossingen of we kunnen je helpen het op te zetten. De politieke en juridische richtlijnen houden we in de gaten, echter zullen de details door een advocaat of een juridische expert voor je bedrijf opgezet moeten worden.
Envoker
Schuverweg 2
4462 HK
Goes
+31 113405700
info@envoker.com