Summer Deal
‘Het nieuwe verbintenissenrecht & koop/verkoop’

6 webinars on demand

Summer Deal
‘Soft kills & Legal English’

3 webinars on demand

Summer Deal
‘ICT & Privacy’

5 webinars on demand

Privacy, gegevensbescherming en arbeidsrecht: de ontwikkelingen van het afgelopen jaar

Webinar on demand

SaaS-contracten: valkuilen en aandachtspunten

Webinar on demand

ICT-contracten en gegevensbescherming

Webinar on demand

Google Analytics in strijd met GDPR? (Argus Advocaten)

Auteur: Moira Blascetta (Argus Advocaten)

Eind december 2021 mocht de Oostenrijkse gegevensbeschermingsautoriteit DSB oordelen dat het gebruik maken van Google Analytics in strijd is met de GDPR-regelgeving. Deze beslissing heeft een grote invloed op het gehele online gebeuren in de Europese Unie én dus ook in België.

Het benutten van Google Analytics was al érg moeilijk voor de online ondernemer omwille van de voorafgaande OPT-IN verplichting dat eraan werd gekoppeld. Bezoekers van jouw websites moesten dus uitdrukkelijk hun akkoord verlenen vooraleer hun gegevens werden geanalyseerd.

Maar omwille van deze recente beslissing dreigt een nog véél grotere impact te volgen voor alle websites in de Europese Unie.

Even wat achtergrondinformatie:

Reeds in 2020 (SCHREMS II – Arrest) oordeelde het Europees Hof van Justitie dat de vrije uitwisseling van persoonsgegevens tussen Europa en de Verenigde Staten op basis van de zogenaamde PRIVACY SHIELD, in strijd zijn met de GDPR-regelgeving.

Hieruitvolgende hield het PRIVACY SHIELD meteen op met bestaan. Sindsdien is elk bedrijf, dat data wenst uit te wisselen met de VS of data toevertrouwt aan een cloud service / online tool, genoodzaakt rekening te houden met héél wat administratieve én juridische verplichtingen.

Dit uiteraard enkel indien deze servers zich buiten de EU bevinden. Voorbeelden van dergelijke diensten zijn: GOOGLE, MICROSOFT, ADOBE CLOUD…

Alle diensten voorzien van het potentieel dat Europese persoonsgegevens in de VS worden verwerkt, dienen dus te worden voorzien van een voorafgaande risico-analyse.

Kort na het SCHREMS II – Arrest volgde er talrijke klachten in alle landen van EU tegen GOOGLE én FACEBOOK omdat deze systematisch persoonsgegevens mochten verwerken voorbij de grenzen van de Unie.

Deze uitspraak van de Oostenrijkse gegevensbeschermingsautoriteit DSB vormt dan ook net het resultaat van een zaak ingesteld omwille van het SCHREMS II – Arrest.

Wat was concreet het probleem met Google Analytics?

De verzamelde data bestond eerstens uit persoonsgegevens; hetgeen de toepasbaarheid van de GDPR-regelgeving aldus verantwoordt.  In concreto bestaat deze uit: IP-adressen, user-ID én browser parameters.

Na enig onderzoek mocht de Oostenrijkse gegevensbeschermingsautoriteit eveneens vaststellen dat de data opgeslagen door Google Analytics wordt verwerkt door Amerikaanse servers. Hetgeen aldus een export van de gegevens betreft naar de VS.

Daarenboven wordt GOOGLE naar Amerikaans recht beschouwd als zijnde “een aanbieder van elektronische communicatiediensten”. Gevolg? Om deze reden is het zoeksysteem onderworpen aan het toezicht van de Amerikaanse inlichtingendiensten.

Deze diensten kunnen ten slotte overgaan tot het opleggen van een verplichte overlevering van al de Europese data dat werd verzameld door Google Analytics.

De zogenoemde “bijkomende garanties”, waarachter GOOGLE zich wenste te verschuilen, bleken in de praktijk weinig te verhinderen én aldus hadden de Amerikaanse inlichtingendiensten een zo goed als vrije inzage in de verzamelde Europese data.

Het bovenstaande was voor de DSB voldoende om de website in kwestie – gebruik makende van Google Analytics – te veroordelen.

Google zelf ontkwam (tot nu toe) echter een effectieve veroordeling. Dit aangezien de Oostenrijkse overheid simpelweg onbevoegd is om de Amerikaanse vennootschap, GOOGLE LLC, te veroordelen.

Hetgeen vooral als zéér onrechtbaardig aanvoelt voor de kleine tot middelgrote onderneming.

Wat betekent dit nu concreet voor jouw (online) onderneming?

Naar aanleiding van o.a. het SCHREMS II – arrest mocht heeft de European Data Protection Board (EDPB) een speciale taskforce oprichten. Het doel ervan betrof de coördinatie van alle Europese klachten én beslissingen inzake data export én cookies. De getroffen beslissing door de Oostenrijkse autoriteit kwam dan ook tot stand met de begeleiding van deze task force. De beslissing mocht dus geschieden in overleg met alle verschillende nationale gegevensbeschermingsautoriteiten.

Hoewel juridisch gezien deze beslissing als correct dient te worden bestempeld, vormt dit in de praktijk een quasi onmogelijke situatie voor elke ondernemer.

De hele online sector heeft reeds binnen onze landsgrenzen meermaals alarmsignalen laten gloeien omtrent de nadelige gevolgen van de verplichte én voorafgaande OPT-IN vereisten. Doch werd hier tot op heden geen passend gevolg aan verbonden door de Belgische overheid.

De bestaande verplichtingen resulteren in o.a. (i) minder accurate cijfers, (ii) extra kosten én (iii) een concurrentienadeel t.o.v. buitenlandse ondernemingen.

De beslissing van de Oostenrijkse autoriteiten overstijgt zelfs de OPT-IN én resulteert in een nog grotere vraagstelling, nl.: “is het gebruik maken van Google Analytics / enig andere Amerikaanse cloud service überhaupt nog wel legaal in de EU?”

GOOGLE benadrukt dat zij echter volop bezig zijn met het leveren van de nodige inspanningen om haar diensten als privacy-vriendelijk te bestempelen. Tevens is elke gebruiker voorzien van de mogelijkheid om het delen van hun data met derden uit te schakelen. Een echt pasklaar antwoord kan GOOGLE ons op dit moment helaas nog niet bieden.

Uiteraard heeft men in concreto op dit moment niets aan dergelijke beloftes. Dit aangezien men aan de hand daarvan een boete, zoals in Oostenrijk is gebleken, niet kan ontlopen.

Tot op heden heerst er helaas een discrepantie tussen de economische werkelijkheid én de wijze waarop de GDPR-regelgeving in realiteit tot uitwerking komt. Hetgeen voor veel onduidelijkheid mag zorgen.

Bron: Argus Advocaten