Nederlandse gemeenten lopen op het hete kolen, maar de Autoriteit Persoonsgegevens heeft geen grond om in te grijpen.

Meerdere gemeenten sturen onbewust persoonsgegevens naar de Verenigde Staten. Dat blijkt uit onderzoek van AG Connect, Binnenlands Bestuur en iBestuur.

Ongeveer twee op de vijf gemeenten werken met Analytics, terwijl het onduidelijk is of de gegevens van websitebezoekers worden geanonimiseerd. Dit is wettelijk verplicht. Analytics is niet per definitie illegaal, maar gebruikers moeten weten hoe de software werkt.

Het probleem met Analytics

De meest populaire versie van Analytics heet Universal Analytics. De standaardinstellingen van Universal Analytics zorgen ervoor dat de IP-adressen van websitebezoekers worden opgeslagen. Google verwerkt de data van Analytics in Amerikaanse datacenters. Amerikaanse wetgeving bepaalt dat inlichtingendiensten toegang moeten hebben tot gegevens die in de Verenigde Staten worden opgeslagen.

Gebruikt een Nederlands bedrijf de standaardinstellingen van Universal Analytics, dan kunnen Amerikaanse inlichtingendiensten de identiteit van bezoekers achterhalen. Dat is verboden onder de AVG/GDPR. Europese persoonsgegevens moeten in Europa blijven. Daar zien nationale privacy-autoriteiten op toe, waaronder de Autoriteit Persoonsgegevens.

Autoriteiten kunnen de VS en Google lastig aanpakken. Klein- en middenbedrijven zijn een makkelijker doelwit. Vandaar werden organisaties in Oostenrijk, Italië en Frankrijk in de afgelopen maanden voor de rechter gesleept vanwege het gebruik van Analytics.

Google faseert Universal Analytics momenteel uit. Vanaf 1 oktober 2023 is de software niet meer functioneel. De standaardinstellingen van de nieuwe versie, Google Analytics 4, slaan geen IP-adressen op. Een gebruiker zal de functie nadrukkelijk moeten aanvinken om in Europa strafbaar te zijn.

Het probleem met gemeenten

Ongeveer twee op de vijf Nederlandse gemeenten gebruiken Analytics. Dat is niet per definitie illegaal. Gebruikers kunnen de standaardinstellingen wijzigen om IP-adressen te anonimiseren, waardoor Amerikaanse autoriteiten niets aan de informatie hebben. Daarnaast is het delen van gegevens handmatig uit te schakelen. Vanaf dat moment is de software in lijn met de AVG/GDPR.

Het probleem is dat gebruikers, waaronder gemeenten, zelden duidelijk maken hoe hun Analytics-omgeving werkt. Bedrijven en overheden zijn verplicht om uit te leggen wat er met de gegevens van bezoekers gebeurt. Doe je dit niet, dan riskeer je een boete van de Autoriteit Persoonsgegevens. Slechts twee van de vijftig onderzochte gemeenten zijn transparant over het gebruik van Analytics.

Hoewel de privacy-autoriteiten in Oostenrijk, Italië en Frankrijk onlangs optraden tegen Analytics-gebruikers, blijft de Autoriteit Persoonsgegevens neutraal. In april 2022 publiceerde de autoriteit een handleiding voor privacy-vriendelijke Analytics-instellingen. In mei 2022 onderzocht de autoriteit het gebruik van Analytics onder enkele websites. Toentertijd was het ’te vroeg om iets over sancties te zeggen’.

Wet is duidelijk, handhaving niet

Het is overduidelijk dat Europese gebruikers strafbaar kunnen zijn, Nederlandse gemeenten inbegrepen. De kans dat de Autoriteit Persoonsgegevens optreedt is daarentegen klein.

Niet elke privacy-inbreuk heeft dezelfde impact. Het klopt dat Amerikaanse inlichtingendiensten via Analytics bij Europese persoonsgegevens kunnen, maar daar ligt de gemiddelde Nederlander niet van wakker. Er zijn hetere vuren, waaronder de zwarte lijst van de Belastingdienst en het securitybeleid van de Rijksoverheid. De Autoriteit Persoonsgegevens werkt met beperkte middelen. De handhaver focust op de meest dringende situaties.

Bovendien wordt de bron van het probleem reeds aangepakt. De Europese Unie en Verenigde Staten werken momenteel aan een verdrag over datatransfers tussen de EU en VS. Binnenkort kunnen cloud providers als Google persoonsgegevens tussen de EU en VS uitwisselen zonder wetten in een van de twee continenten te overtreden.

Tip: Zwak beleid veroorzaakt cyberaanval op gemeente Buren