Is Google Analytics verboden?

Sinds begin 2022 is er veel geschreven over Google Analytics. Met name over de vraag: kunnen we Google Analytics nog blijven gebruiken? Er gebeurt veel in de wereld van Google Analytics, en dat is niet alleen omdat Universal Analytics wordt vervangen door Google Analytics 4. 

Het is voornamelijk een juridisch en politiek vraagstuk, ontstaan door de invoering van de GDPR en AVG en het stopzetten van de datatransfer overeenkomst tussen de VS en Europa. Dit gebeurde halverwege 2020 door het Europese gerechtshof. De datatransfer overeenkomst tussen de VS en Europa beheerde de datastromen tussen de twee continenten. De overeenkomst is stopgezet doordat de rechten van de Europese consument niet genoeg werden geborgen en hierdoor niet aan de GDPR en de AVG voldeed. Hierna werden er door de verschillende Persoonsgegevens Autoriteiten in Europa onderzoek gedaan naar de datastromen van Google Analytics. Begin 2022 werden de eerste resultaten van het onderzoek bekend gemaakt:

05/01/2022 – The European Data Protection Supervisor (EDPS) sanctions the European Parliament for illegal data transfers between the EU and the US because of Google Analytics cookies.

12/01/2022 – Austrian DPA (DSB) states that continuous use of Google Analytics violates GDPR.

01/15/2022 – Dutch DPA (AP) updates its guidelines on Google Analytics use, suggesting it may be unlawful.

01/26/2022 – Norwegian DPA (Datatilsynet) supports the decision of Austrian DPA in this statement.

02/10/2022 – French DPA (CNIL) concludes that transfers to the United States are currently not sufficiently regulated and orders a website manager/operator to comply.

04/22/2022 – The Austrian DPA rejects the “risk-based approach” advocated by Google for transfers to third countries. It declares Google Analytics’ IP anonymization a useless safeguard for data transfers between the EU and the United States.

09/22/2022 – The decision of the Danish authority effectively prohibits the use of Google Analytics in Denmark, at least in the platform’s standard setup.

01/03/2023 – The Norwegian DPA, Datatilsynet, released a preliminary opinion stating that using Google’s platform is illegal under GDPR.

De uitspraken van de Persoonsgegevens Autoriteiten over de verschillende landen concluderen hetzelfde, namelijk:

Google Analytics voldoet niet volledig aan de eisen voor het doorsturen van persoonsgegevens naar derde landen. De manier van het doorsturen van de persoonsgegevens door Google is niet in lijn met de GDPR richtlijnen. Dit geldt voor de klassieke versie van Google Analytics (Universal Analytics) en de nieuwe versie Google Analytics 4.

Vervolgens kwam er eind december 2022 een update van de Spaanse Persoonsgegevens Autoriteiten, waarin Google Analytics niet per definitie is verboden, maar met de kanttekening dat:

• Het is de gratis versie van de tool.
• Er werden geen doelgroepen en/of signalen gebruikt om Google Analytics gebruikers te laten herkennen. Het bedrijf was al gestopt met Google Analytics te gebruiken.

De kern van het verhaal is dat het niet is toegestaan binnen de GDPR-voorwaarden om persoonsgegevens naar een land buiten de Europese Unie te versturen, zonder uitdrukkelijke goedkeuring door de consument. Dit gebeurde voorheen echter wel. 

Onder persoonsgegevens worden de volgende onderdelen verstaan:

• Link tracking in URL’s: bijvoorbeeld UTM tracking
• User Identifier: bijvoorbeeld een e-mailadres maar ook een klant ID
• IP-adres
• CRM Identifiers: vaak gebruikt voor e-mails of CDP’s
• Fingerprinting: de unieke combinatie van taal, software versie, hardware en browsers / app versies)
• Enige andere vorm van tracking

Opslaan van de gegevens in Europa

Google is het afgelopen jaar overgegaan naar het ophalen van de Google Analytics gegevens op Europese servers om zo een gedeelte van de informatie binnen Europa te houden. Naast het ophalen van de gegevens in Europa, wordt ook het anonimiseren van de IP-adressen toegepast. Dit wordt al standaard in GA4 gedaan en kan aangezet worden in GA3. Alhoewel dit voor een verbetering zorgde heeft het niet alle problemen opgelost, omdat de matching in combinatie met het gebruik van andere tools van Google toch in de Verenigde Staten gebeurt. Daarnaast geeft Google zelf aan dat de gegevens in de VS worden opgeslagen.

De uitspraak van de Franse AP (de CNIL) hierover luidt:

In response to the questionnaire sent by the CNIL, Google indicated that all the data collected through Google Analytics is hosted in the United States.

Hoe kan Google Analytics toch aan de richtlijnen voldoen?

• Via de techniek: is het mogelijk om de huidige installatie van Google Analytics zo aan te passen om toch te voldoen aan de eisen van de GDPR? 
• Via alternatieven voor Google Analytics: als de technische opties niet mogelijk zijn, zijn er nog andere (gratis) pakketten die wel voldoen aan de regelgeving?
• Via de politiek: een groot gedeelte van het bovenstaande probleem komt door de politieke regelgeving. Is hier een update voor in de maak?

Via de techniek
De Franse CNIL heeft een aantal richtlijnen opgesteld met opties om toch Google Analytics te blijven gebruiken:

• Gebruik een proxy server voordat je de informatie doorstuurt naar Google Analytics. Dit is bijvoorbeeld mogelijk in combinatie met server side tracking.
• Deze proxy server dient in de EU te zijn gehosted.
• De data die daarna wordt doorgestuurd naar Google Analytics wordt versleuteld door pseudonimisatie. Hierdoor is het niet meer mogelijk, zelfs niet voor de overheden, om de data terug toe te schrijven naar een persoon of naar persoonsgegevens.

Pseudonimisering is het proces waarbij persoonlijke gegevens worden vervangen door een pseudoniem of een code. Hierdoor wordt het moeilijker om de identiteit van een persoon te achterhalen aan de hand van de gegevens. Het doel van pseudonimisering is om de privacy van personen te beschermen terwijl de gegevens nog steeds bruikbaar blijven voor analyse en onderzoek.

Deze vorm neemt hoge technische kosten met zich mee en is niet eenvoudig toe te passen door de proxyserver die ertussen gezet moet worden.

Alternatieven Google Analytics
Er zijn alternatieven voor Google Analytics. Misschien is juist nu, met het stoppen van Google Analytics 3, wel een goed moment om over te stappen naar een van de alternatieven:

• The Piwik PRO Analytics Suite solution from Piwik PRO in version 15.2.0 and covered by this configuration guide.
• Retency's Retency Web Audience solution in its version 1.0 and covered by the Contentsquare CS Digital solution in its version 10 and covered by this configuration guide.
• The Matomo Analytics solution from Matomo in its version 4 and covered by this configuration guide.

Politieke oplossing en vervanging van het Privacy Shield
Op 25 maart 2022 is er een nieuwe overeenkomst getekend tussen Europa en de Verenigde Staten als vervanger van de overeenkomst die in 2020 werd afgekeurd.

Een nieuwsbericht daarover:

Europese Commissie-president Ursula von der Leyen liet vandaag weten dat de Europese Unie en Verenigde Staten een akkoord hebben bereikt voor legale datatransfers tussen de EU en VS. De nieuwe overeenkomst wordt in de komende maanden uitgewerkt. De overeenkomst bereikt hetzelfde doel als het Privacy Shield dat in 2020 verviel. We zijn maanden verwijderd van de eerste versie.

Op 7 oktober 2022 heeft president Joe Biden een presidentieel decreet (‘Executive Order’ (EO)) ondertekend om het Privacy Shield 2.0 ten uitvoer te leggen om de bescherming van de persoonsgegevens die tussen de VS en Europa worden gedeeld, te waarborgen.

Deze EO markeert het begin van de stappen die in de nieuwe overeenkomst zijn bepaald. Als alles goed verliep zou het nieuwe besluit in maart 2023 gepubliceerd worden en zou er een einde komen aan de lange periode van onzekerheid in de trans-Atlantische digitale economie. In begin mei 2023 is dit nog niet gedaan.

Binnen deze overeenkomst zijn er vier sleutelonderdelen:

• Bindende waarborgen voor Amerikaanse autoriteiten om toegang te beperken tot datgene wat noodzakelijk en proportioneel is voor de nationale veiligheid.
• Een tweeledig beroepsmechanisme om klachten van Europese burgers te onderzoeken en te behandelen. Onderdeel hiervan is het opzetten van een heus Data Protection Review Court in de VS.
• Sterke verplichtingen voor in Amerika gevestigde organisaties om persoonsgegevens van Europese burgers te mogen verwerken. Hierbij moet onder andere gedacht worden aan aantoonbaarheid d.m.v. zelfcertificering.
• Specifieke monitoring- en beoordelingsmechanismen om de afspraken te waarborgen.

Als dit wordt goedgekeurd door de verschillende overheden zal dit de problemen rondom Google Analytics oplossen.

Dus: is Google Analytics verboden?

• Op dit moment is Google Analytics nog niet verboden, want de Autoriteit Persoonsgegevens heeft hier nog geen eindconclusie aan verbonden. Ze hebben al wel een eerste indicatie gegeven dat Google Analytics niet voldoet aan de richtlijnen. In andere landen zijn er al uitspraken gedaan. Vooral als men actief is in landen buiten Nederland, is het verstandig goed op de hoogte te blijven van wijzigingen in de uitspraken van de betreffende landen.
• Er zijn technische oplossingen om de grootste problemen te verhelpen, maar de implementatie is gecompliceerd of de historische data ontbreekt.
• De nieuwe Privacy Shield 2.0 overeenkomst zorgt ervoor dat Google Analytics heel waarschijnlijk wel weer binnen de richtlijnen valt. De progressie van deze overeenkomst gaat niet direct heel snel, maar het lijkt erop dat de Nederlandse AP hierop zit te wachten voordat ze een uitspraak doen. Het keerpunt is dat er ng heel erg weinig bekend is over het Privacy Shield 2.0, behalve de vier kernpunten in het verdrag. Hierop zitten we dus met smart te wachten.

We geven je graag advies over het opzetten van de technische oplossingen of we kunnen je helpen het op te zetten. De politieke en juridische richtlijnen houden we in de gaten, echter zullen de details door een advocaat of een juridische expert voor je bedrijf opgezet moeten worden.