Het gebruik van Google Analytics wordt afgeraden

Op 10 januari jongstleden heeft de Autoriteit Persoonsgegevens in een opgestelde richtlijn van 2018 over het gebruik van Google Analytics, aangegeven dat het gebruik ervan op losse schroeven staat.

Momenteel lopen bij de Autoriteit Persoonsgegevens (AP) twee onderzoeken gericht op de verwerkingen die worden gedaan binnen Google Analytics (GA).

In december 2021 heeft de Oostenrijkse toezichthouder het gebruik van GA al verboden (jn haar uitspraak die bekend staat als 'het Schrem II arrest') wegens de doorgifte van gegevens naar de Verenigde Staten (VS). Sinds dit Schrem II arrest is de EU-US Privacy Shield overeenkomst ongeldig verklaard.
Wanneer er door GA geen gegevens zouden worden doorgegeven naar de VS, is er geen sprake van een overtreding van de Algemene Verordening Gegevensbescherming (AVG) in relatie met die uitspraak (het Schrem II arrest).
Kort na de uitspraak van de Oostenrijkse toezichthouder heeft ook de Noorse toezichthouder bekend gemaakt op basis van een nog lopend onderzoek dat het gebruik van GA op basis van de bepalingen van de AVG mogelijk illegaal is.

Enkele dagen geleden heeft ook de Franse toezichthouder dit standpunt onderstreept. Naar aanleiding van verschillende klachten geeft zij websitemanagers in Frankrijk opdracht om te voldoen aan de AVG. Door het gebruik van GA worden, als gezegd, illegaal data naar de VS getransporteerd. 

Wat moet je overweging ten aanzien van GA nu zijn? 

Bovenstaande in ogenschouw nemend, komt de vraag op waarover je als zorgorganisatie nu na zou moeten denken. Wanneer het gebruik van analytische cookies d.m.v. GA een meerwaarde heeft voor jou zorgorganisatie, zou je het volgende kunnen wijzigen in  je cookiebanner

• (tijdelijk) apart aangeven dat je op de hoogte bent van het onderzoek van de AP naar GA en totdat de uitkomsten van een onderzoek door de AP bekend zijn, jouw organisatie gebruik blijft maken van Google Analytics
• (tijdelijk) aparte toestemming vragen dat analytische data op basis van het gebruik van de website door een internetgebruiker, mag worden verwerkt (hierbij is de verwerking de doorgifte naar de VS). Hiervoor dient de cookiebanner te worden aangepast alsmede de software binnen de website

Wanneer er geen meerwaarde bekend is, dan zou je eventueel het gebruik van GA kunnen stoppen en dat in de informatie bij cookies en Google verwerken.

Is er nu sprake van brand?

Nee, naar onze professionele mening niet direct, maar er kan wel iets smeulends op de loer liggen. De feiten op een rij:

• De AP is al enige tijd bezig twee klachten te onderzoeken over of er daadwerkelijk sprake is van doorgifte door Google van data naar de VS om daarmee op computerservers verwerkingen te doen. Dus de Oostenrijkse en Noorse toezichthouders waren gewoon sneller dan de AP, en laatstgenoemde zal hierop moeten reageren

• Uitspraken van een toezichthoudende autoriteit over algemene bepalingen van de AVG (want er zijn ook nog een aantal afwijkingen mogelijk per land; daarom kennen wij ook de UAVG in NL) gelden in principe voor het hele territoriale gebied waarbinnen de AVG van toepassing is

• De AP toont met haar toegevoegde ‘opmerking’ in de richtlijnen voor het privacy-vriendelijk gebruik van GA een nog wat afwachtende houding, maar zal te zijner tijd hierover niet meer ondubbelzinnig zijn wanneer ze haar eigen onderzoek definitief heeft afgerond

• Jouw zorgorganisatie wil op jullie eigen website de bezoekers daarvan uitgebreid en goed informeren, zodat die bezoekers op basis van die informatie een geïnformeerde beslissing kunnen maken over hóe en óf men persoonsgegevens wil delen met jouw organisatie d.m.v. het gebruik van jouw website.

Het is mogelijk dat bezoekers van de website zouden kunnen denken dat de door jouw organisatie verstrekte informatie t.a.v. cookies en Google misleidend is. Daarnaast zouden ze kunnen vinden dat er sprake is van een overtreding door bepaalde persoonsgegevens over hen d.m.v. GA te laten verwerken in de VS.

Binnen onze privacy dienstverlening geven we niet alleen advies over en controle van verschillende toepassingen van de AVG. We doen meer, denk bijvoorbeeld aan het verstrekken van informatie over onderwerpen die specifiek betrekking hebben op hoe jullie, onze leden, verwerkingen van persoonsgegevens doen. Wil je hier meer over weten? Neem dan contact op met Fred Schellens.