Foto door Pawel Czerwinski op Unsplash
Lange tijd bevonden we ons in het Wilde Westen wanneer het neerkwam op digitale gegevensoverdrachten van EER naar VS-gevestigde bedrijven en techgiganten zoals Google. Zal het besluit van de Oostenrijkse gegevensbeschermingsautoriteit, de Datenschutzbehörde (hierna “DSB”) op 22 december 2021, het begin van het einde betekenen van deze wanorde?
The Beginning of the End
In de nasleep van het Schrems II-besluit was noyb, de non-profitorganisatie onder leiding van Max Schrems, geen passieve toeschouwer. Integendeel, het diende maar liefst 101 klachten in tegen de gegevensoverdracht van in de EER gevestigde websites naar de VS, wat ze als illegaal beschouwen. De eerste beslissing over deze klachten is nu gevallen door het DSB, en het ziet er niet rooskleurig uit voor Google, Facebook en dergelijke.
Een korte samenvatting van het Schrems II-besluit zal u eraan herinneren dat het Europees Hof van Justitie oordeelde dat elke internationale overdracht van persoonsgegevens van de EER naar in de VS-gevestigde aanbieders, in strijd is met de regels over internationale gegevensoverdrachten van de GDPR. Dit komt omdat Amerikaanse bedrijven verplicht worden toegang te verlenen aan bepaalde inlichtingendiensten, wat niet strookt met de GDPR.
Door deze beslissing is het hele Privacy Shield Framework, dat “veilige” overdrachten van gegevens van de EER naar de VS mogelijk maakt, tenietgedaan. Hierdoor is er een nieuw tijdperk aangebroken, waarin in de EER gevestigde bedrijven niet langer gebruik kunnen maken van clouddiensten die in de VS gevestigd zijn, zoals Google.
Gedaan met onder de mat vegen
De recente beslissing van het DSB toont aan dat het Schrems II-arrest door de Techgiganten niet langer genegeerd kan worden en op alle niveaus afgedwongen zal worden. Het is geen geheim dat de meeste in de EER-gevestigde websites Google Analytics gebruiken als instrument bij uitstek om het gedrag van de bezoekers van hun website te analyseren. Dit is logisch aangezien het instrument zelf gratis is (de websitebezoekers betalen met hun gegevens) en het een van de meest volledige analyses van websitegegevens op de huidige markt biedt. Dit heeft Google de indruk gegeven dat het zijn overdracht van EER-gegevens aan de VS kon voortzetten alsof het Schrems II-arrest nooit had plaatsgevonden. Het DSB-besluit heeft eindelijk een einde gemaakt aan dit weerbarstige gedrag van de techgigant.
In de eerste plaats, stelt de beslissing dat de provider, door gebruik te maken van Google Analytics, persoonsgegevens naar Google in de VS heeft gestuurd. Google en de website provider argumenteerden dat het niet om persoonsgegevens ging, maar om geanonimiseerde informatie. Dit argument werd door het DSB verworpen, aangezien Google de websitebezoekers gemakkelijk kan (her)identificeren aan de hand van onder meer hun IP-adressen en andere unieke identificatoren zoals cookies. Het feit dat Google haar gebruikers de mogelijkheid biedt om gepersonaliseerde advertenties aan- of uit te zetten, toont aan dat ze over alle middelen beschikken om de websitebezoekers te identificeren.
De eerste beslissing van velen.
Bijgevolg, betekent dit dat de internationale gegevensoverdracht van de EER naar de VS onder de regels van de GDPR valt. De overdracht werd geanalyseerd en werd niet in overeenstemming geacht met de regels voor internationale overdracht van gegevens van artikel 44. Bovendien werden er onvoldoende (door de GDPR-opgelegde) maatregelen genomen om gegevensbescherming te waarborgen. De door Google ingevoerde standaardcontractbepalingen en de technische en organisatorische basismaatregelen van artikel 32 van de GDPR bieden namelijk geen aanvullende of passende bescherming tegen indringing door inlichtingendiensten van de VS.
Deze beslissing is waarschijnlijk de eerste van velen. Het zal ernstige gevolgen hebben voor zowel de aanbieders van websites in de EER, als voor Google, aangezien het gebruik van zijn Google Analytics-tool, in zijn huidige vorm de facto verboden is. Google heeft in een verklaring op de beslissing van het DSB gereageerd met dezelfde argumenten die eerder al door de DSB van tafel werden geveegd, wat hun zaak niet verder helpt.[2] Het feit dat de Chief Legal Officer van Google tegelijkertijd vraagt om een nieuw netwerk voor gegevensoverdracht tussen de EU en de VS, wijst er ook op dat zij geen adequaat beschermingsniveau kunnen garanderen voor de huidige overdracht van persoonsgegevens en dat zij zich dus niet kunnen verdedigen tegen de besluiten van de Europese gegevensbeschermingsautoriteiten die nog moeten komen[3].
Het domino-effect
Het besluit had een onmiddellijk domino-effect bij andere gegevensbeschermingsautoriteiten. Het Datatilsynet (de Deense gegevensbeschermingsautoriteit) bijvoorbeeld, zal de beslissing van het DSB aandachtig lezen. Anderen zullen zeker volgen en op basis van deze beslissingen een richtlijn opstellen.Deze trend zal zich waarschijnlijk voordoen in bijna alle andere EER-landen die onder het toepassingsgebied van de GDPR vallen.
Buiten richtlijnen, is er ook effectief actie. De gegevensbeschermingsautoriteit van Guernsey heeft bijvoorbeeld Google Analytics van haar website verwijderd als blijk van steun voor en naleving van de regels van de GDPR na het Schrems II-arrest en het besluit van het DSB.
In Nederland heeft de Autoriteit Persoonsgegevens een richtlijn gepubliceerd over hoe de instellingen van Google Analytics voor Nederlandse websiteaanbieders moeten worden geconfigureerd. Deze richtlijn stelt dat het goed mogelijk is dat het gebruik van Google Analytics in de nabije toekomst verboden zal worden. Een slecht voorteken voor Google. Op dit moment lopen er twee onderzoeken naar de zaak die waarschijnlijk in de komende maanden zullen worden afgerond. Deze zullen beslissend zijn over het lot van Google Analytics in Nederland. We verwachten dat meer gegevensbeschermingsautoriteiten dit voorbeeld zullen volgen
Hoe kan CRANIUM uw organisatie helpen?
Zoals het er nu voor staat, is er nog veel onduidelijkheid over hoe het praktisch verder moet. Als u op zoek bent naar advies over Google Analytics, of de verdere gevolgen van deze uitspraak wilt bespreken, neem dan gerust contact met ons op. CRANIUM kan uw specifieke situatie analyseren en aanbevelingen op maat doen.