Vorig jaar hebben de privacytoezichthouders van verschillende Europese landen het gebruik van Google Analytics verboden. Dit is het resultaat van klachten die in veel Europese landen zijn ingediend door Noyb, de organisatie van de bekende privacy-activist Max Schrems. Oostenrijk, Frankrijk en Italië waren de eersten en werden in september gevolgd door Denemarken. Noorwegen heeft aangekondigd dat Google Analytics mogelijk illegaal is en dat bedrijven er verstandig aan doen om alternatieven te verkennen en de Hongaarse privacytoezichthouder NAIH heeft een website opgedragen om te stoppen met doorgeven van data via Google Ad Services. De Nederlandse Autoriteit Persoonsgegevens (AP) heeft in januari 2022 een vergelijkbare waarschuwing op haar website gepubliceerd, met de mededeling dat er onderzoek zou worden gedaan naar de legaliteit van het gebruik van Google Analytics. Dat onderzoek is afgelopen zomer afgerond en de AP zou “in de loop van dit jaar” (2022) met een conclusie komen.
Inmiddels is het jaar bijna voorbij en is er nog geen signaal dat de AP snel met die conclusie zal komen. Dit betekent dat Nederlandse organisaties in onzekerheid blijven of GA in ons land al dan niet verboden zal worden. Maar aangezien alle uitspraken hierover in de verschillende EU-landen gecoördineerd worden door de Schrems II taskforce van de European Data Protection Board, is te verwachten dat Nederland tot dezelfde conclusie zal komen als Oostenrijk, Frankrijk, Italië en Denemarken. Het business model van Google is nu eenmaal gebaseerd op het verzamelen en analyseren van en verdienen aan de gegevens van de bezoekers van websites die GA gebruiken. Hoewel Google zelf claimt dat het nieuwe Google Analytics 4 alle Europese privacy zorgen wegneemt, is dat niet het geval. De Deense databeschermingsautoriteit Datatilsynet is al tot de conclusie gekomen dat ook GA4 niet voldoet aan de AVG.
Bedrijven kunnen bijvoorbeeld niet zelf bepalen waar data van bezoekers worden opgeslagen, wat in de praktijk vaak betekent dat Europese data in de VS worden bewaard. Daarnaast worden persoonlijke gegevens niet voldoende beschermd bij de overdracht van data naar de VS en naar andere landen. Ook kan analytische data van bezoekers die geen toestemming hebben gegeven voor het verzamelen van hun gegevens toch identificeerbare informatie bevatten in de URL-parameters – zoals GCLID – of referrers. En tot slot kan de data nog steeds gedeeld worden met andere Google-producten die worden gebruikt voor het opbouwen van persoonlijke advertentieprofielen.
Drie mogelijke scenario’s
De AP kan in principe met drie mogelijke conclusies komen. De eerste is dat het gebruik van Google Analytics niet langer is toegestaan in Nederland. Bedrijven en organisaties zullen dan zo snel mogelijk moeten overstappen op een alternatieve analytics oplossing. Vervelend, maar duidelijk.
Een tweede scenario is dat de AP besluit dat het gebruik van GA is toegestaan, maar met beperkte functionaliteit of met nieuwe regels voor het gebruik. Dit is bijvoorbeeld wat de Franse databeschermingsautoriteit CNIL aanraadt.
Een derde – zeer onwaarschijnlijke – mogelijkheid is dat de AP geen privacyproblemen ziet met Google Analytics. In dat geval verandert er niks voor de huidige gebruikers, maar de kans dat dit de conclusie zal worden van de AP is vrijwel nihil.
Bedrijven zullen dus hoe dan ook aan de slag moeten met hun web analytics. Mocht het scenario #2 worden, creëert dit nieuwe uitdagingen voor de organisatie. Want hoe kan je zinvolle web analytics blijven doen en tegelijkertijd GA zo configureren of gebruiken dat wordt voldaan aan de door de AP gestelde privacy-eisen? De vraag is ook of deze aanpak toekomstbestendig is. De kans bestaat namelijk dat de EU op een zeker moment met een besluit komt over Google Analytics, waardoor het gebruik ervan alsnog wordt verboden of waardoor de functionaliteit nog verder beperkt moet worden.
Hebben de businessmodellen van Google en Meta hun langste tijd gehad?
Hopelijk komt de AP nu snel met een conclusie, maar het is in ieder geval duidelijk dat de EU de teugels rond privacy steeds strakker gaat aantrekken. Zo werd onlangs bekend dat de Europese privacytoezichthouder EPDB heeft besloten dat Meta – dus Facebook, Instagram en WhatsApp – gebruikers niet langer gepersonaliseerde advertenties meer mag aanbieden zonder expliciete toestemming. Dit is opnieuw een teken aan de wand voor websites en bedrijven dat ze nu toch echt anders moeten gaan nadenken over de privacy van bezoekers en klanten. Het lijkt erop dat de businessmodellen van Meta en Google hun langste tijd gehad hebben. Mijn advies is: wacht niet tot je door regelgeving wordt gedwongen om stappen te nemen, waarbij je misschien maar relatief weinig tijd krijgt om goede alternatieven te zoeken en te implementeren. Er zijn uitstekende en effectieve alternatieven voor Google Analytics die je business vooruit helpen, maar dan op een goede, privacyvriendelijke manier.
Vincent de Winter, Regional Manager Benelux, Piwik PRO
