Wat ging er aan vooraf?

De Oostenrijkse privacy-toezichthouder heeft na klachten geconcludeerd dat het gebruik van Google Analytics in strijd is met de Algemene Verordening Gegevensbescherming (AVG). Wat ging daaraan vooraf? Voor doorgifte van persoonsgegevens vanuit de Europese Unie naar landen daarbuiten is een wettelijke grondslag nodig. Eén van die grondslagen is een adequaatheidsbesluit van de EU-Commissie. Voor de Verenigde Staten was dat het zogenaamde Privacy Shield. In 2020 werd het baanbrekende Schrems II-arrest gewezen door het Europese Hof van Justitie. Sindsdien is doorgifte van persoonsgegevens naar de Verenigde Staten niet langer mogelijk op grond van het 'Privacy Shield'. In de praktijk werd het Schrems II-arrest echter grotendeels genegeerd. Vaak dacht men doorgifte nog wel op de zogenaamde 'model contractbepalingen' te kunnen baseren. Wij waarschuwden onze klanten steeds dat het gebruik van model contractbepalingen in het geval van doorgifte naar de VS risicovol of zelfs niet mogelijk was. Een en ander bleek ons inziens nota bene uit het Schrems II-arrest zelf.

Google Analytics

Door middel van haar Google Analytics-dienst verzamelt Google cookies. Met de verzamelde cookie-informatie worden (ook) tot personen herleidbare gegevens verwerkt. Na Schrems II baseerde Google de doorgifte van die gegevens naar de Verenigde Staten op de model contractbepalingen.

Uit Schrems II bleek ook dat gebruikers van model contractbepalingen verplicht zijn om het niveau van privacybescherming bij de betreffende contractpartner in het derde land te beoordelen. Nu in Schrems II tevens is geoordeeld dat de VS geen passend beschermingsniveau bieden moeten partijen aanvullende maatregelen nemen om daarmee wel een passend beschermingsniveau te garanderen.

Google stelt aanvullende beschermingsmaatregelen genomen te hebben, zoals encryptie en hekwerken om datacenters. De Oostenrijkse toezichthouder heeft nu geconcludeerd dat de aanvullende technische beschermingsmaatregelen die Google heeft getroffen onvoldoende zijn, onder meer omdat niet helder wordt in hoeverre deze maatregelen zouden voorkomen dat VS-spionagediensten zich toegang verschaffen tot de data.

Feitelijk wordt dus geconcludeerd dat het gebruik van de de model contractbepalingen in combinatie met de aanvullende beveiligingsmaatregelen onvoldoende een passend beschermingsniveau voor de persoonsgegevens garanderen. Aldus is er geen rechtmatige grondslag voor doorgifte. Het gebruik van Google Analytics is derhalve in de Oostenrijk in strijd met de AVG. Omdat de AVG Europese wetgeving betreft, ligt het in de lijn der verwachting dat ook andere toezichthouders, waaronder de Nederlandse AP zich snel zullen uitspreken.

Gevolgen gebruikers Amerikaanse clouddiensten

Ondanks de gevolgen van het Schrems II-arrest, zijn er nog steeds veel Nederlandse partijen die (indirect) gebruik maken van Amerikaanse cloud-leveranciers. De conclusie van de Oostenrijkse toezichthouder heeft mogelijk ook gevolgen voor hen. Immers, als persoonsgegevens worden opgeslagen in de VS, dan worden ze doorgegeven naar de VS. We wisten eigenlijk al dat alleen het gebruik van de model contractbepalingen onvoldoende is om doorgifte te kunnen rechtvaardigen. Aldus moeten aanvullende maatregelen getroffen worden om een passend beschermingsniveau te kunnen garanderen. Daarbij moet in het achterhoofd gehouden worden dat de VS uit zichzelf geen passend beschermingsniveau bieden én dat de VS-autoriteiten verregaande wettelijke mogelijkheden hebben om data in te zien en op te vragen.

Het is maar zeer de vraag of uw cloud-leverancier wel afdoende maatregelen heeft getroffen. Zo niet, dan is doorgifte niet toegestaan.

Nederland

De Nederlandse toezichthouder, de Autoriteit Persoonsgegevens, doet in Nederland zelf nog onderzoek naar Google Analytics maar geeft al wel vast een winstwaarschuwing af. In haar handleiding ‘Privacyvriendelijk instellen van Google Analytics’ schrijft zij sinds 13 januari jl. namelijk: ‘Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan’. Er dient dus rekening mee gehouden te worden dat de AP dezelfde conclusies zal trekken als haar Oostenrijkse evenknie.

Meer weten, neem dan contactmet ons op.