20 jan '22
De Oostenrijkse gegevensbeschermingsautoriteit (DSB) heeft op donderdag 13 januari jl. geoordeeld dat het gebruik van Google Analytics (cookies) in strijd is met de Algemene verordening gegevensbescherming (AVG). Dit hoofdzakelijk vanwege de doorgifte van persoonsgegevens naar de Verenigde Staten (VS), die niet voldoet aan de vereisten van de AVG. Opvallend is dat ook de Nederlandse Autoriteit Persoonsgegevens (AP) op haar website inmiddels een waarschuwing heeft geplaatst dat het gebruik van Google Analytics mogelijk binnenkort niet meer is toegestaan.
De beslissing van de DSB volgde naar aanleiding van één van de 101 klachten die None of Your Business (NOYB) heeft ingediend bij diverse gegevensbeschermingsautoriteiten in Europa. Deze klachten heeft NOYB ingediend in het kielzog van het Schrems II-arrest van het Europese Hof van Justitie, waarmee gegevensdoorgifte vanuit Europa naar de VS (of andere ‘derde landen’ buiten de EER) complexer is geworden. De maatregelen die Google in dat kader had getroffen, werden door de DSB onvoldoende geacht om het onder de AVG vereiste beschermingsniveau te kunnen garanderen. Dit mede vanwege de mogelijkheid voor de Amerikaanse overheid om verwerkte persoonsgegevens in te zien.
Veel bedrijven maken gebruik van Google Analytics, o.a. voor het verkrijgen van statistische gegevens over websitebezoeken. Welke gevolgen voornoemde ontwikkeling precies zal hebben is nog niet geheel duidelijk. Gezien de waarschuwing van de AP op haar website, alsmede het gegeven dat binnen Europa een taskforce is opgericht waarin deze klachten van NOYB worden besproken en onlangs een vergelijkbaar bericht vanuit de Europese privacy supervisor, ligt het in de rede te veronderstellen dat de AP op korte termijn eenzelfde visie zal publiceren. Dit zal vermoedelijk ook impact hebben op het gebruik van diensten van andere partijen uit de VS.
In de communicatie van NOYB is te lezen dat Amerikaanse dienstverleners volgens NOYB op dit moment grotendeels niet het vereiste beschermingsniveau waarborgen. Daarom zou het gebruik van deze dienstverleners volgens NOYB verboden moeten worden geacht totdat de dienstverleners (of de Amerikaanse overheid) een ingrijpende verandering hebben (of heeft) doorgevoerd op het gebied van gegevensbescherming. Europese bedrijven zouden (voorlopig) beter op zoek kunnen gaan naar Europese alternatieven voor de diensten. Wij signaleerden echter ook een aantal mitsen en maren bij het lezen van de beslissing, die maken dat het oordeel van (nu) de DSB wellicht niet onverkort in elke situatie van toepassing kan worden geacht. Zo is denkbaar dat op basis van (goed ingeregelde) toestemming en/of door Google doorgevoerde verdere beperkingen van de verwerking, het gebruik van Google Analytics en vergelijkbare diensten alsnog plaats zou kunnen vinden. Daarbij is wel relevant dat is aangegeven dat nog nader wordt bekeken of de diensten van Google aan de andere vereisten van de AVG dan die voor de internationale doorgifte voldoen (die uitkomst kan ook nog van belang zijn).
De uitkomsten van het onderzoek van de AP worden “begin 2022” verwacht. Wanneer inderdaad wordt geoordeeld dat geen gebruik meer mag worden gemaakt van dergelijke Amerikaanse diensten, moet worden nagedacht over alternatieve oplossingen. Het kan geen kwaad om alvast in kaart te brengen van welke dienstverleners, gevestigd in de VS, uw bedrijf diensten afneemt (zoals het gebruik van cookies). Daarbij kan het nuttig zijn om ook eens te bekijken of er een Europees alternatief denkbaar is dat voldoet. Wanneer de AP met een oordeel komt kan op deze manier, indien nodig, snel worden gehandeld. Kijk daarbij ook eens of u alle cookies die op uw website worden geplaatst ook daadwerkelijk gebruikt en of uw cookiebanner en privacy- en cookieverklaring nog up to date zijn. Wat staat hierin over de verwerking van persoonsgegevens buiten de EER? Verder is het verstandig om de berichtgeving vanuit de AP in de gaten te houden, want dit wordt ongetwijfeld over niet al te lang weer vervolgd.
In de Oostenrijkse beslissing is in ieder geval benadrukt dat de verwerkingsverantwoordelijke (lees: uw bedrijf) verantwoordelijk is voor de export van data en derhalve verplicht is dit overeenkomstig de AVG goed te regelen. Dat is niets nieuws, maar omdat dit complex kan zijn is het raadzaam daar – ook meer in het algemeen – juridische hulp bij in te schakelen.
Heeft u behoefte aan overleg over wat voor uw bedrijf nu de meest praktische aanpak is of heeft u andere vragen over cookies of internationale gegevensuitwisseling? Neem dan gerust contact met ons op.
01 nov 24
21 okt 24
14 okt 24
13 okt 24
09 okt 24
07 okt 24
27 sep 24
13 sep 24
13 aug 24
13 aug 24
19 jul 24
17 jul 24
Met uw inschrijving blijft u op de hoogte van de laatste juridische ontwikkelingen op dit gebied. Vul hieronder uw gegevens in om per e-mail op te hoogte te blijven.
Blijf op de hoogte van de laatste juridische ontwikkelingen in uw sector. Vul hieronder uw gegevens in om op maat gesneden juridische updates en uitnodigingen voor evenementen te ontvangen.
Volgen wat u interessant vindt
Krijg aanbevelingen op basis van uw interesses
{phrase:advantage_3}
{phrase:advantage_4}
We vragen u om uw voor- en achternaam zodat wij die kunnen gebruiken als u zich bijvoorbeeld inschrijft op een Ploum Kennisevent.
Er wordt automatisch een wachtwoord voor u aangemaakt. Zodra uw account is aangemaakt ontvangt u dit wachtwoord in een welkomstmail. U kunt er direct mee inloggen. Dit wachtwoord kunt u indien gewenst ook zelf aanpassen via de wachtwoord vergeten functie.