Inzet van Google Analytics

Update van de Franse toezichthouder over de inzet van Google Analytics


De Franse Privacy toezichthouder, CNIL, heeft op haar website een mogelijk oplossing gepubliceerd waardoor Google Analytics toch gebruikt kan blijven worden. Het is de vraag hoe toepasbaar deze oplossing is. Ik denk dat je beter alvast op zoek gaat naar een Europees alternatief.

Geschatte leestijd: 3 minuten

NOYB: “gebruik Google Analytics in strijd met AVG”

Eerder schreef ik over de Oostenrijkse privacy toezichthouder, de Datenschutzbehörde (DSB), die heeft gesteld dat het gebruik van Google Analytics in strijd is met de AVG. Dit naar aanleiding van een klacht van NOYB van Max Schrems. 

Naar mening van de DSB is het gebruik van Google Analytics in strijd met de AVG. Bij gebruikmaking van deze Google dienst worden er persoonsgegevens naar de Verenigde Staten verstuurd. Het gaat daarbij om zaken als IP-adressen, gebruikersidentificatie, en browserparameters. De Standard Contractual Clauses (SCC) die gebruikt worden voor de doorgifte van de persoonsgegevens naar de VS bieden niet voldoende bescherming. Dit komt doordat Google in de VS is onderworpen aan het toezicht door Amerikaanse inlichtingendiensten. Dit laatste kan niet met de inzet van de SCC worden voorkomen.

De Franse Privacy toezichthouder, de Commission nationale de l’informatique et des libertés (CNIL), heeft op grond van verschillende klachten, eveneens ingediend door de NOYB, eenzelfde stelling ingenomen als de DSB. De AP heeft op haar beurt een -in geel gearceerde- waarschuwing op haar site opgenomen dat het gebruik van Google Analytics mogelijk binnenkort niet is toegestaan. 

Update juni 2022

De CNIL heeft op haar website een mogelijk oplossing gepubliceerd waardoor Google Analytics toch gebruikt kan blijven worden. Een randvoorwaarde bij deze oplossing is, zo stelt de CNIL, dat er geen contact mag zijn tussen Google en de bezoeker van een website waarop Google Analytics draait. Dit is mogelijk door gebruik te maken van een proxyserver.

Pseudonimisering vóór gegevensexport

Er mag dus geen contact zijn tussen Google en de bezoeker van een website waarop Google Analytics draait. Het toepassen van een proxyserver zou een oplossing kunnen bieden, zo stelt de CNIL. Er moet echter voor worden gezorgd dat deze server aan een reeks criteria voldoet om te kunnen voldoen aan de aanvullende maatregel die de European Data Protection Supervisor (EDPS) heeft bepaald in haar aanbevelingen van 18 juni 2021. Een dergelijk mechanisme zou overeenkomen met het toepassen van pseudonimisering vóór gegevensexport.

Alle data die middels de proxyserver naar Google Analytics wordt verstuurd mag geen informatie meer bevat waarmee de gebruiker is de identificeren. Een

Een IP-adres mag dus niet worden doorgestuurd. Ook moet de proxyserver de zogenaamde “user identifier” ofwel de gebruikersidentificatie worden vervangen. Daarnaast zijn er nog een aantal vereisten die op de site van de CNIL zijn terug te vinden. De proxyserver moet worden gehost onder de voorwaarde dat de gegevens niet worden overgedragen naar een land dat geen niveau biedt, gelijkwaardig aan het niveau dat is voorzien in de Europese Economische Ruimte.

Op zoek naar een alternatief?

Je kunt je afvragen hoe werkbaar dit alles is. Zoals ik al eerder heb aangegeven verwacht ik nog steeds dat je beter alvast op zoek kunt gaan naar een Europees alternatief voor Google Analytics. Op dit punt is de CNIL erg behulpzaam. Op de website is een overzicht te vinden van diverse privacy vriendelijke alternatieven.

Vragen over Privacykwesties?

Heb je nog vragen over dit onderwerp of over het privacyrecht in het algemeen, neemt dan gerust contact op of lees andere artikelen over dit onderwerp.