De Franse privacy- en data-autoriteit CNIL gebruikt Google Analytics als argument om meerdere Franse sites van privacyschending te beschuldigen. Daarmee volgt de CNIL het voorbeeld van Nederlandse, Noorweegse en Oostenrijkse autoriteiten.
“Google Analytics treft onvoldoende maatregelen om Europese persoonsgegevens uit de handen van Amerikaanse inlichtingendiensten te houden”, verklaart de CNIL. De autoriteit heeft meerdere Franse gebruikers van Google Analytics verplicht om hun beleid binnen een maand aan te passen.
Google ligt sinds eind 2021 onder Europees vuur. Het domino-effect begon in Oostenrijk, waar de landelijke data- en privacyautoriteit een bedrijf succesvol veroordeelde voor privacyschending vanwege Google Analytics. Niet lang daarna maakte de Autoriteit Persoonsgegevens (AP) bekend dat Google Analytics “binnenkort mogelijk niet meer is toegestaan“. Autoriteiten in Noorwegen steunden Oostenrijk en Nederland, nu volgt de Franse CNIL.
Is Google Analytics illegaal?
Beheer je een website en gebruik je de standaardinstellingen van Google Analytics, dan geef je toestemming aan Google om Europese persoonsgegevens in de VS op te slaan. Amerikaanse inlichtingendiensten hebben een wettelijk recht om gegevens in de VS in te zien. Europese wetten bepalen daarentegen dat niemand Europese persoonsgegevens in mag zien, ongeacht of de persoonsgegevens buiten de EU worden opgeslagen. Dit betekent dat de standaardinstellingen van Google Analytics de GDPR overtreden.
Niet helemaal
Gebruikers van Analytics hebben toegang tot instellingen om persoonsgegevens te anonimiseren. Gebruik je de instellingen, dan worden de gegevens netjes volgens Europese en Amerikaanse wetten verwerkt. Google ziet geen mogelijkheid om de instellingen standaard in te schakelen. Dat kan problemen opleveren met de Amerikaanse wet. De organisatie staat onder druk van twee continenten.
De lange termijn
Europese autoriteiten hebben geen manier om Google direct aan te pakken. De verantwoordelijk voor gegevensverwerking ligt bij gebruikers van Analytics. Wel kunnen Europese autoriteiten milde straffen aan gebruikers opleggen om de software geleidelijk minder populair te maken. Dat is precies hoe de Franse CNIL, Nederlandse AP en andere autoriteiten op dit moment te werk gaan.
Gebruikt jouw organisatie Analytics, dan ben je niet per definitie strafbaar. Volg voor alle zekerheid het advies van de Autoriteit Persoonsgegevens op.
10 uur geleden
Expert bijdrage
