Kan ik nog wel gebruik maken van Google Analytics?

20 oktober 2022, laatst geüpdatet 11 september 2024
De afgelopen maanden lijkt het privacyrechtelijke net te sluiten rond Google Analytics. Toezichthouders in Denemarken, Frankrijk, Italië, Noorwegen en Oostenrijk hebben aangegeven dat de veelgebruikte applicatie in strijd is met privacywetgeving zoals de AVG. Is dit ook een risico in Nederland?
In dit artikel

Google Analytics is een zeer populaire applicatie, waarmee websitebeheerders inzicht krijgen in bezoekersstromen. Zo kun je zien hoe vaak de website wordt bezocht, hoe bezoekers op de website terecht komen, welke pagina’s worden bekeken en hoe lang bezoekers op de website blijven. Een goudmijn voor iedereen die bijvoorbeeld effectieve reclamecampagnes wil inzetten. De applicatie is dan ook zeer succesvol: meer dan 28 miljoen websites gebruiken Google Analytics.

Privacy

Dit alles klinkt waardevol, maar het valt direct op dat bezoekers scherp in de gaten worden gehouden. Zo volgt Google het IP-adres van een bezoeker en spoort de applicatie de geografische locatie van een bezoeker op. De vraag is dan ook hoe privacyvriendelijk Google Analytics is.

Niet vriendelijk genoeg, is de conclusie die een aantal privacywaakhonden nu trekken. In steeds meer landen treden privacywaakhonden op tegen het gebruik van Google Analytics. Zo ook in EU-lidstaten Denemarken, Frankrijk, Italië , Noorwegen en Oostenrijk.

Dit heeft er alles mee te maken dat persoonsgegevens worden doorgegeven naar de Verenigde Staten. Informatie van Google Analytics wordt opgeslagen in Amerikaanse cloudservers, en Google is een Amerikaans bedrijf. Hierover is het Hof van Justitie van de Europese Unie helder: het doorgeven van persoonsgegevens vanuit de Europese Unie naar de VS heeft een grondslag nodig. Zie daarvoor ook de uitspraken Schrems I en Schrems II, waar mijn collega Dafne de Boer eerder over blogde.

In het geval van Google Analytics was deze grondslag er niet, volgens de toezichthouders van Denemarken, Frankrijk, Italië en Oostenrijk. Het oordeel was dan ook dat Google Analytics niet voldoet aan de eisen uit de Algemene Verordening Gegevensbescherming (AVG). Het gevolg: Google Analytics mag in deze landen niet meer gebruikt worden.

Update 22/12/2022: In december 2022 oordeelde de Spaanse toezichthouder juist dat Google Analytics wél voldoet aan de eisen uit de AVG. Dit komt de duidelijkheid omtrent dit onderwerp niet bepaald ten goede.

Update 2/3/2023: In maart 2023 oordeelde de Noorse toezichthouder ook dat Google Analytics in strijd is met de AVG.

Nederland

Hoe zit dat dan in Nederland? De Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens (AP), heeft al voorzichtig aangegeven dat het gebruik van Google Analytics ook in Nederland binnenkort mogelijk niet toegestaan is. Ze heeft aangekondigd dat ze onderzoek heeft gedaan, en dat de Afdeling Handhaven van de AP nu onderzoekt of er ook maatregelen zullen worden getroffen. De AP geeft aan dat ze verwacht “in de loop van 2022” te kunnen zeggen of het gebruik van Google Analytics is toegestaan of niet. Voor nu is dat nog niet duidelijk.

In de tussentijd is het natuurlijk verstandig om alvast in te spelen op dit mogelijke verbod. Zo kan gebruik worden gemaakt van een iets oudere handleiding van de AP voor het privacyvriendelijk instellen van Google Analytics. In deze handleiding zet de AP in 6 stappen overzichtelijk onder elkaar hoe Google Analytics het beste ingesteld kan worden:

  1. Sluit een verwerkersovereenkomst af met Google
  2. Laat Google niet het volledige IP-adres van je bezoekers verwerken
  3. Zet gegevens delen met Google uit
  4. Zet gegevens delen met Google voor advertentiedoeleinden uit
  5. Schakel de functie voor User ID’s uit
  6. Informeer bezoekers over het gebruik van Google Analytics

Google Analytics 4

Ondertussen heeft Google de nieuwe versie van de applicatie gelanceerd: Google Analytics 4 (GA4). Bij het lanceren van GA4 benadrukte Google vaak dat deze nieuwe versie een stuk privacyvriendelijker is.

In principe is dit ook niet onwaar: GA4 kent meer opties omtrent privacy en verwerkt IP-adressen korter. Dit is natuurlijk positief, maar één belangrijk probleem speelt nog steeds: de persoonsgegevens worden nog steeds doorgestuurd naar de VS. Volgens de Deense toezichthouder leidt dit ertoe dat ook GA4 niet voldoet aan de eisen van de AVG.

Al met al brengt dit veel Nederlandse websitebeheerders in een lastig parket. De kans bestaat dat de AP binnen aanzienlijke tijd het gebruik van Google Analytics niet langer zal tolereren, en velen gebruiken geen alternatief voor Google Analytics. Het is te hopen dat Google spoedig met een oplossing komt. Voor nu is het devies: volg de handleiding van de AP, zoek alvast alternatieven zoals bijvoorbeeld de applicatie Matomo, en wacht verder af.

Maakt u gebruik van Google Analytics en heeft u hier vragen over? Of wilt u graag advies over andere privacygerelateerde onderwerpen? Neem dan gerust contact op met mij of een van de andere leden van ons multidisciplinaire privacyteam.

Thijmen van Hoorn, advocaat IT- en privacyrecht