De data- en privacyautoriteit van Oostenrijk (DSP) bevindt een website schuldig aan de overtreding van de GDPR door het gebruik van Google Analytics. De beslissing kan drastische gevolgen hebben voor Amerikaanse clouddiensten in Europa.

Het oordeel van de DSP is relevant voor alle technologie die cookie data van Europa naar de VS stuurt. Cookie data bevat IP-adressen en identificatiegegevens. De waakhond oordeelt dat IP-adressen onder persoonsgegevens vallen. Met die definitie is de uitwisseling van cookie data tussen Europa en de VS een overtreding van Europese privacywetgeving.

De website (netdoktor.at) nam geen maatregelen om IP-adressen te anonimiseren. Door IP-adressen met andere digitale gegevens van sitebezoekers te combineren wordt het mogelijk om de identiteit van een individu te achterhalen.

De website is schuldig bevonden aan een overtreding van de GDPR. Het vijfde hoofdstuk van de GDPR behandelt de uitwisseling van data met locaties buiten Europa. Het gebruik van Google Analytics kan genoeg zijn om dat hoofdstuk te overtreden.

Inlichtingendiensten zijn grootste zorg

“Inlichtingendiensten in de VS kunnen online gegevens als IP-adressen en identificatienummers gebruiken om individuen te surveilleren”, stelde de DSP. “Het is niet uit te sluiten dat veiligheidsdiensten reeds gebruikmaken van gegevens (zoals die van netdokter.at, red.) om individuen te identificeren.”

Google treft al langer maatregelen om Europese gegevens in de VS te beveiligen, waaronder de versleuteling van datacenters op Amerikaanse grond. Google claimt dat Analytics-gegevens niet als persoonsgegevens beschouwd kunnen worden. De DSP is niet overtuigd.

De waakhond onderzocht de beveiliging van Google en vond onvoldoende maatregelen om inlichtingendiensten buiten de deur te houden. Dergelijke maatregelen zijn essentieel om aan de GDPR te voldoen. “Zolang Google toegang heeft tot de platte tekst van data, kunnen de getroffen maatregelen niet als effectief worden beschouwd”, reageerde de waakhond.