Artikel IT & Privacy

Kan ik nog wel gebruik maken van Google Analytics?

20 oktober 2022, laatst geüpdatet 11 september 2024

De afgelopen maanden lijkt het privacyrechtelijke net te sluiten rond Google Analytics. Toezichthouders in Denemarken, Frankrijk, Italië, Noorwegen en Oostenrijk hebben aangegeven dat de veelgebruikte applicatie in strijd is met privacywetgeving zoals de AVG. Is dit ook een risico in Nederland?

Thijmen van Hoorn

Advocaat

Google Analytics is een zeer populaire applicatie, waarmee websitebeheerders inzicht krijgen in bezoekersstromen. Zo kun je zien hoe vaak de website wordt bezocht, hoe bezoekers op de website terecht komen, welke pagina’s worden bekeken en hoe lang bezoekers op de website blijven. Een goudmijn voor iedereen die bijvoorbeeld effectieve reclamecampagnes wil inzetten. De applicatie is dan ook zeer succesvol: meer dan 28 miljoen websites gebruiken Google Analytics.

Privacy

Dit alles klinkt waardevol, maar het valt direct op dat bezoekers scherp in de gaten worden gehouden. Zo volgt Google het IP-adres van een bezoeker en spoort de applicatie de geografische locatie van een bezoeker op. De vraag is dan ook hoe privacyvriendelijk Google Analytics is.

Niet vriendelijk genoeg, is de conclusie die een aantal privacywaakhonden nu trekken. In steeds meer landen treden privacywaakhonden op tegen het gebruik van Google Analytics. Zo ook in EU-lidstaten Denemarken, Frankrijk, Italië , Noorwegen en Oostenrijk.

Dit heeft er alles mee te maken dat persoonsgegevens worden doorgegeven naar de Verenigde Staten. Informatie van Google Analytics wordt opgeslagen in Amerikaanse cloudservers, en Google is een Amerikaans bedrijf. Hierover is het Hof van Justitie van de Europese Unie helder: het doorgeven van persoonsgegevens vanuit de Europese Unie naar de VS heeft een grondslag nodig. Zie daarvoor ook de uitspraken Schrems I en Schrems II, waar mijn collega Dafne de Boer eerder over blogde.

In het geval van Google Analytics was deze grondslag er niet, volgens de toezichthouders van Denemarken, Frankrijk, Italië en Oostenrijk. Het oordeel was dan ook dat Google Analytics niet voldoet aan de eisen uit de Algemene Verordening Gegevensbescherming (AVG). Het gevolg: Google Analytics mag in deze landen niet meer gebruikt worden.

Update 22/12/2022: In december 2022 oordeelde de Spaanse toezichthouder juist dat Google Analytics wél voldoet aan de eisen uit de AVG. Dit komt de duidelijkheid omtrent dit onderwerp niet bepaald ten goede.

Update 2/3/2023: In maart 2023 oordeelde de Noorse toezichthouder ook dat Google Analytics in strijd is met de AVG.

Nederland

Hoe zit dat dan in Nederland? De Nederlandse privacywaakhond, de Autoriteit Persoonsgegevens (AP), heeft al voorzichtig aangegeven dat het gebruik van Google Analytics ook in Nederland binnenkort mogelijk niet toegestaan is. Ze heeft aangekondigd dat ze onderzoek heeft gedaan, en dat de Afdeling Handhaven van de AP nu onderzoekt of er ook maatregelen zullen worden getroffen. De AP geeft aan dat ze verwacht “in de loop van 2022” te kunnen zeggen of het gebruik van Google Analytics is toegestaan of niet. Voor nu is dat nog niet duidelijk.

In de tussentijd is het natuurlijk verstandig om alvast in te spelen op dit mogelijke verbod. Zo kan gebruik worden gemaakt van een iets oudere handleiding van de AP voor het privacyvriendelijk instellen van Google Analytics. In deze handleiding zet de AP in 6 stappen overzichtelijk onder elkaar hoe Google Analytics het beste ingesteld kan worden:

Sluit een verwerkersovereenkomst af met Google
Laat Google niet het volledige IP-adres van je bezoekers verwerken
Zet gegevens delen met Google uit
Zet gegevens delen met Google voor advertentiedoeleinden uit
Schakel de functie voor User ID’s uit
Informeer bezoekers over het gebruik van Google Analytics

Google Analytics 4

Ondertussen heeft Google de nieuwe versie van de applicatie gelanceerd: Google Analytics 4 (GA4). Bij het lanceren van GA4 benadrukte Google vaak dat deze nieuwe versie een stuk privacyvriendelijker is.

In principe is dit ook niet onwaar: GA4 kent meer opties omtrent privacy en verwerkt IP-adressen korter. Dit is natuurlijk positief, maar één belangrijk probleem speelt nog steeds: de persoonsgegevens worden nog steeds doorgestuurd naar de VS. Volgens de Deense toezichthouder leidt dit ertoe dat ook GA4 niet voldoet aan de eisen van de AVG.

Al met al brengt dit veel Nederlandse websitebeheerders in een lastig parket. De kans bestaat dat de AP binnen aanzienlijke tijd het gebruik van Google Analytics niet langer zal tolereren, en velen gebruiken geen alternatief voor Google Analytics. Het is te hopen dat Google spoedig met een oplossing komt. Voor nu is het devies: volg de handleiding van de AP, zoek alvast alternatieven zoals bijvoorbeeld de applicatie Matomo, en wacht verder af.

Maakt u gebruik van Google Analytics en heeft u hier vragen over? Of wilt u graag advies over andere privacygerelateerde onderwerpen? Neem dan gerust contact op met mij of een van de andere leden van ons multidisciplinaire privacyteam.

Thijmen van Hoorn, advocaat IT- en privacyrecht

Gerelateerd

Artikel

Langjarige samenwerkingscontracten: het nut van een goede balansbepaling

3 oktober 2024 - Samenwerkingscontracten worden vaak voor langere tijd (>5 jaar) aangegaan. Vaak wordt een bepaalde mate van exclusiviteit afgesproken maar dat kan ook gaan...

Artikel

De (bijzondere) zorgplicht van de IT-leverancier: een overzicht

19 september 2024 - Welke inspanning mag van een IT-leverancier verwacht worden? De beantwoording van die vraag wordt gekleurd door de zorgplicht van een IT-leverancier. En deze...

Artikel

Hoe goed is jouw bedrijf beveiligd?

24 juli 2024 - Alle computerschermen op zwart, een natuurramp, of een inbraak midden in de nacht. Het is de nachtmerrie van iedere bestuurder. Voor belangrijke organisaties,...

Artikel

Opnieuw verbod op tracking cookies in kort geding

18 juni 2024 - Nadat onlangs Criteo al een verbod kreeg om tracking cookies te plaatsen zonder toestemming, is nu ook aan Microsoft, LinkedIn, MIOL en Xandr een verbod...

Artikel

Aandachtspunten bij het gebruik van AI in de zorg (deel II)

17 juni 2024 - Artificial Intelligence (AI) is een gamechanger voor de gezondheidszorg. Voor een sector die kampt met personeelstekorten en groeiende kosten, kan...

Artikel

Verplichte basisverzekering arbeidsongeschiktheid voor zelfstandigen: een stap dichterbij een gelijker speelveld voor werknemers en zelfstandigen met huidig wetsvoorstel?

11 juni 2024 - Op 11 juni 2024 is de internetconsultatie gestart voor het wetsvoorstel Wet basisverzekering arbeidsongeschiktheid zelfstandigen.

No posts found

Naar overzicht

Events

Aankomende online en live events

We delen diepgaande kennis en pragmatische inzichten over actuele onderwerpen in het vakgebied en de maatschappelijke thema's waar we dichtbij staan.

Bekijk alle events

november

2024

Webinar

Zorg & Sociaal domein

Zorg & Recht: Eerste hulp bij inzage- en vernietigingsverzoeken in de zorg

De laatste jaren is er een trend dat patiënten steeds vaker bij zorgaanbieders vragen om inzage in of (gedeeltelijke) vernietiging van hun dossiers. Recente wetswijzigingen en ontwikkelingen in de rechtspraak hebben hier mede invloed op gehad, zoals de wijziging van de Wet aanvullende bepalingen gegevensverwerkingen in de zorg (Wabvpz) die het recht op ‘elektronische’ inzage heeft geïntroduceerd.

Aanbesteding & Mededinging

Didam II-arrest van de Hoge Raad

Op 15 november 2024 heeft de Hoge Raad een tweede uitspraak gedaan in de Didam-zaak. In die uitspraak, het Didam II-arrest, bepaalt de Hoge Raad onder meer dat overeenkomsten in strijd met het eerdere Didam-arrest als uitgangspunt geldig zijn en dus niet aangetast kunnen worden. Dat biedt zekerheid waaraan in de praktijk veel behoefte bestond.

13:00 - 14:00

Liever een inhouse training op maat?

Wij organiseren ook events op maat. Van kleine tot grote groepen, we zorgen voor een inspirerende sessie afgestemd op uw wensen. Informeer naar de mogelijkheden.

Contact opnemen

Bekijk alle events