Datatilsynet, de Noorse data- en privacyautoriteit, adviseert organisaties in Noorwegen om alternatieven voor Google Analytics te overwegen. De waakhond maakt bekend dat twee lopende onderzoeken tot veroordelingen voor het gebruik van Google Analytics kunnen leiden.

Datatilsynet publiceerde een reactie op een recente strafzaak in Oostenrijk, waarbij een website werd veroordeeld voor de overtreding van de GDPR door het gebruik van Google Analytics.

In de reactie betuigt de Noorse autoriteit steun voor de beslissing van zijn “collega’s in Oostenrijk”, de Austrian Data Protection Authority (DPA). De DPA was de eerste Europese autoriteit die een website veroordeelde voor het gebruik van Analytics.

Datatilsynet onderzoekt twee mogelijke gevallen van privacyschending door het gebruik van Analytics. Hoewel er nog geen conclusies zijn getrokken, laat de sectiechef van Datatilsynet weten dat de uitspraak van Oostenrijk wordt gebruikt bij het behandelen van de zaken.

Volgens de waakhond staat Google Analytics op de radar van andere Europese datatoezichthouders. “Vandaar raden we iedereen aan om alternatieven voor Google Analytics te verkennen”, aldus Datatilsynet.

Is Google Analytics nou illegaal of niet?

Persoonsgegevens moeten conform Europese privacywetten worden gedeeld. Sinds juli 2020 zijn organisaties zelf verantwoordelijk voor het naleven van de regels. Dat besliste het Europese Hof van Justitie. Het oordeel staat bekend als Schrems II.

Het probleem van Google Analytics draait om datatransfers tussen de VS en EU. Google verzendt bepaalde informatie naar datacenters in de VS. Vanaf het moment dat Google persoonsgegevens verzendt zijn Google en gebruikers van Analytics verantwoordelijk voor de privacybescherming van gegevens.

De DPA (Oostenrijk) was de eerste autoriteit die sinds Schrems II in een rechtszaak wist te onderbouwen dat Google persoonsgegevens verzendt. Dat maakte een veroordeling voor het gebruik van Google Analytics mogelijk. Meerdere Europese waakhonden, waaronder de Nederlandse AP en Datatilsynet, kunnen de zaak van de DPA hergebruiken om organisaties in hun controlegebied te veroordelen.

Het is te makkelijk om te zeggen dat Google Analytics daarom plotseling illegaal is. De website die in Oostenrijk veroordeeld werd had het probleem kunnen voorkomen door eigen maatregelen te treffen. Google Analytics biedt privacy-instellingen aan. Het probleem is dat sommige instellingen standaard uit staan.

Google weigert de instellingen in te schakelen. Amerikaanse wetten bepalen dat inlichtingendiensten in de VS toegang moeten hebben tot data die op Amerikaanse grond wordt opgeslagen. Dat maakt het voor Google onmogelijk om een standaardproduct te leveren dat aan Europese privacywetten voldoet. Het blijft voor gebruikers mogelijk om de instellingen handmatig in te schakelen. Het is daarom aannemelijk dat sommige gebruikers aan alle privacynormen voldoen.

Volg voor alle zekerheid het advies van de Autoriteit Persoonsgegevens op.