We vielen bijna van onze stoel hier bij Sirius Legal bij het lezen van een recente beslissing van de Oostenrijkse gegevensbeschermingsautoriteit DSB, die in een procedure tegen een Oostenrijkse website en tegen Google LLC oordeelde dat het gebruik van Google Analytics in alle omstandigheden in strijd is met GDPR.
We moeten je niet vertellen dat zo’n beslissing een kleine bom legt onder het online landschap in de ganse EU, inclusief België, zéker als ook nog eens blijkt dat de Oostenrijkse beslissing duidelijk vooraf afgestemd werd op Europees niveau.
Bovendien was het gebruik van Google Analytics al érg moeilijk vanwege de verplichting om altijd een voorafgaande opt-in te vragen om GA-cookies (of andere analytics cookies) te plaatsen. Dat laatste zorgde al voor enorme economische impact bij heel veel online ondernemers en deze recente beslissing dreigt een nog véél grotere impact te hebben op websites in de ganse EU.
Reden genoeg voor ons om hier even grondig in te duiken. Lees even mee…
Eerst even wat noodzakelijke achtergrond
In 2020 besliste het Europees Hof voor Justitie in haar Schrems II arrest dat het zogenaamde Privacy Shield, dat de vrije uitwisseling van persoonsgegevens tussen Europa en de Verenigde Staten mogelijk maakte, in strijd was met het Europese recht en meer bepaald met GDPR. Het Privacy Shield hield met onmiddellijke ingang op te bestaan en sindsdien moet elk bedrijf dat data wil uitwisselen met de VS rekening houden met heel wat administratieve juridische rompslomp. We hebben de verplichtingen waar je rekening mee moet houden al herhaaldelijk besproken op onze blog. Je vindt al deze artikels in ons Schrems II dossier en we hebben er ook enkele specifieke services voor ontwikkeld.
Bovenstaande geldt voor elk Europees bedrijf dat data toevertrouwt aan een cloud service of online tool waarvan de servers (potentieel) buiten de EU staan. Google, Microsoft, Mailchimp, Hotjar, Adobe cloud, … zijn stuk voor stuk zo’n diensten waarmee potentieel Europese persoonsgegevens in de Verenigde Staten verwerkt worden en waarvoor in de meeste gevallen specifieke overeenkomsten, met daarin Standard Contract Clauses, afgesloten moeten worden én waarvoor een voorafgaande case by case risicoanalyse vereist is.
Kort na het Schrems arrest legde de Europese privacydrukkingsgroep NOYB in alle landen van de EU in totaal 101 klachten neer tegen Google en Facebook omdat die volgens NOYB systematisch persoonsgegevens verwerken buiten de EU zonder aan bovenstaande voorwaarden te voldoen. Het is precies in één van die zaken dat nu een eerste uitspraak is gedaan door de Oostenrijkse gegevensbeschermingsautoriteit.
Wat is er concreet beslist in die zaak over Google Analytics?
De Oostenrijkse gegevensbeschermingsautoriteit onderzocht de werking van Google Analytics en stelt vast dat website-eigenaars in de EU verwerkingsverantwoordelijken zijn onder GDPR en dat Google een verwerker is voor hen. Google biedt daarbij, zoals het hoort, een verwerkersovereenkomst aan mét de Standard Contract Clauses die nodig zijn voor data export. Tot daar alles goed, lijkt ons …
Vervolgens wordt het verhaal echter problematisch. De Oostenrijkse overheid stelt vast dat data uit Google Analytics door Google op Amerikaanse servers verwerkt wordt. Die data wordt dus uitgevoerd naar de VS en aangezien Google onder Amerikaans recht een “aanbieder van elektronische communicatiediensten” is, is ze onderworpen aan toezicht door Amerikaanse inlichtingendiensten en kan ze verplicht worden om gegevens van Europese burgers vrij te geven aan deze inlichtingendiensten. Google biedt op papier wel wat “bijkomende garanties” aan, maar in de praktijk verhinderen die op geen enkele manier de eventuele inzage in Europese data door Amerikaanse inlichtingendiensten.
Dat laatste was, samen met de vaststelling dat het wel degelijk persoonsgegevens zijn in de vorm van IP-adressen, user-ID en browser parameters voldoende voor de DSB om de website in kwestie te veroordelen. Google zelf ontsprong voorlopig de dans omdat de Oostenrijkse overheid niet bevoegd was om Google LLC, als Amerikaanse vennootschap, te veroordelen.
Streng maar rechtvaardig?
Als jurist kunnen we hier weinig tegenin brengen. Puur juridisch gezien is de beslissing van de Oostenrijkse gegevensbeschermingsautoriteit logisch en verdedigbaar: data export buiten de EU mag enkel als aan alle voorwaarden voldaan is en eentje daarvan is de noodzaak om te zorgen voor voldoende bijkomende veiligheidsgaranties die kunnen zorgen voor de gepaste confidentialiteit en veiligheid van Europese data. Die bijkomende garanties biedt Google niet en sowieso kan geen enkel Amerikaans bedrijf zulke garanties bieden onder Amerikaans recht, waar inlichtingendiensten potentieel altijd inzage hebben in dit communicatiegegevens.
Maar bij Sirius Legal zijn we niet alleen juristen, we zijn ook ondernemers en de ondernemer in ons komt in opstand bij dit soort beslissingen. De objectieve werkelijkheid is immers dat hier met een kanon op een mug geschoten wordt. In een poging om een zeer klein en louter theoretisch juridisch probleem te verhelpen wordt voor duizenden Europese ondernemers een huizenhoog praktisch en economisch probleem in de plaats gebracht.
Google Analytics, samen met andere analytics-diensten van Google zoals het nieuwe Google Universal Analytics en Google Global Site Tag vertegenwoordigt ruim 80% van de analytics-markt en heel wat bedrijven investeerden véél tijd, geld en energie in het goed opzetten van hun analytics. Juiste cijfers zijn van levensbelang voor marketeers, zeker in e-commerce. Dat was precies de reden waarom Sirius Legal in naam van UBA, BAM, SafeShops, Feweb, ACC, Cube en UMA vorig jaar lang en hard lobbyde bij de GBA én bij de regering om de verplichte opt-in voor analytics cookies onder Belgisch recht af te schaffen en te vervangen door een systeem naar Nederlands model, waarbij analytics cookies zonder opt-in toegelaten zijn als aan een reeks privacybeschermende voorwaarden voldaan is (lees hier meer over ons overleg met de GBA).
Vandaag moeten we vaststellen dat het probleem voor online ondernemers alleen maar groter wordt. De Belgische overheid heeft geen oor gehad naar de rechtmatige verzuchtingen van de ganse Belgische online sector, die erg hard getroffen wordt door de verplichte opt-in voor het gebruik van Google Analytics cookies. Die verplichting zorgt voor minder accurate cijfers, extra kosten en een concurrentienadeel ten aanzien van buitenlandse ondernemers. Op basis van deze Oostenrijkse beslissing is opt-in voor analytics cookies plots de laatste zorg voor diezelfde ondernemers. Vandaag stelt zich in de plaats daarvan de vraag of Google Analytics of Google Universal Analytics überhaupt nog wel legaal zijn in de EU.
Erger nog, de gehanteerde logica in de beslissing, is mutatis mutandis van toepassing op élke Amerikaanse cloud service waarin persoonsgegevens verwerkt worden en waar potentieel data verwerkt zou kunnen worden in de VS. De grote moeilijkheid daarbij voor ondernemers is de vaststelling dat geen enkele service provider écht transparant is over data location door hemzelf of door zijn eventuele onderaannemers. Als ondernemer wéét je eenvoudigweg niet waar je data naartoe gaat, maar vandaag wordt wel alle verantwoordelijkheid precies bij die ondernemer gelegd. Google Workspace, MS Office 365, Teams, Zoom, Mailchimp (zie ook ons artikel over het gebruik van Mailchimp), Adobe Analytics, Hubspot, Hotjar, AWS (ook hierover berichtten we al eerder), Azure, … Wie durft vandaag met zekerheid zeggen dat de uitkomst voor deze services niet dezelfde zou zijn als voor Google Analytics?
Wat zegt Google zelf?
Het verweer van Google in de procedure én haar eerste reactie achteraf was overigens weinig hoopgevend. Google bevestigt dat er wel degelijk persoonsgegevens uitgewisseld worden met de VS voor wie Google Analytics (of wellicht vandaag ook Google Universal Analytics) gebruikt, omdat dat nu eenmaal noodzakelijk is om de dienst goed te laten functioneren. Google stelt meer in het algemeen ook -zeer terecht- dat ze erg veel inspanningen doet om haar diensten privacyvriendelijk te maken. Specifiek in dit geval zegt Google daarbij dat ze de nodige “bijkomende waarborgen” geeft, zoals vereist op basis van het Schrems II arrest, maar de DSB oordeelde dat die “bijkomende waarborgen” in werkelijkheid niet veel voorstellen. In antwoord daarop kan Google niet veel meer dan zeggen dat de gebruiker zelf kan kiezen om het “delen van data met derden” uit te schakelen in zijn of haar account, maar het delen van data met derden is hier niet het belangrijkste juridische probleem, dat is wel de potentiële inzage door de Amerikaanse overheid en die kan natuurlijk nergens uitgezet worden.
Google heeft met andere woorden voorlopig niet echt een antwoord en op zich is dat niet verbazend. Het toont vooral de grote kloof tussen de economisch (geglobaliseerde) werkelijkheid vandaag en de juridische f(r)ictie die GDPR vaak met zich meebrengt. Google heeft gelijk als het zegt dat een goede analytics tool wereldwijd moet werken en men kan zich ook oprecht de vraag stellen of potentiële inzage in analytics data door de Amerikaanse overheid echt een reëel privacygevaar inhoudt voor 99% van de Europese websites. We kunnen ons moeilijk inbeelden dat de NSA op zoek is naar web visits van Europese kledingwebsites, keukenverkopers of advocatenkantoren…
Wat betekent dat voor jou als ondernemer?
Niettemin heeft deze uitspraak potentieel een zeer vergaande impact, ook in België. De beslissing is dan wel Oostenrijks, maar ze is zeer duidelijk afgestemd met andere Europese gegevensbeschermingsautoriteiten zoals de Belgische GBA en met de Europese overkoepelende EDPB.
Om het werk van alle betrokken gegevensbeschermingsautoriteiten in de nasleep van het Schrems II arrest (data export), het Planet 49 arrest (cookies) en de daaropvolgende stroom van klachten door NOYB te coördineren, heeft die EDPB in 2021 immers een speciale taskforce opgericht, die de klachten en beslissingen inzake cookies en data export binnen de EU moet coördineren. Deze beslissing van de Oostenrijkse gegevensbeschermingsautoriteit (is de eerste die tot stand is gekomen in overleg met deze task force en dus in overleg met de verschillende nationale gegevensbeschermingsautoriteiten).
Het is niet toevallig dat de Nederlandse Autoriteit Persoonsgegevens enkele dagen na de boete haar website plots aanpaste met de melding: “Let op: Gebruik van Google Analytics binnenkort mogelijks niet meer toegestaan”…
Hoe ga jij hier als ondernemer best mee om? Je kan natuurlijk moeilijk van de ene dag op de andere alle Amerikaanse cloud services dumpen. Dat is praktisch, financieel en commercieel onhaalbaar. Voor analytics kan je wel kijken naar alternatieven als Matomo of Simple Analytics, maar of die dezelfde functionaliteit en gebruiksgemak bieden als Google Analytics zonder meerkost is maar zeer de vraag…
Maar het is nu wél hoog tijd voor een grondige Data Export Compliance Audit. In zo’n audit zorg je voor een grondige analyse van al je data export, onderzoek je of die juridisch afgedekt is (is er een verwerkersovereenkomst, zijn er SCC’s of een andere juridische grondslag?) en of er enig privacyrisico verbonden is aan elke specifieke export die het instellen van bijkomende waarborgen (bvb encryptie van je data) noodzakelijk maakt.
Zo’n audit is één van je basisverplichtingen onder GDPR, wacht er niet te lang mee. Het uitvoeren van een voorafgaande audit neemt vanzelfsprekend het probleem verbonden aan het gebruik van tools en services die je data exporteren buiten de EU niet volledig weg. Wat zo’n audit alvast wél doet is je inzicht geven in eventuele data export. Het leert je welke tools data exporteren, om welke data het gaat, welke eventuele garanties je hebt en waar je grootste risico’s liggen. Op die manier kan je alvast voor die grote risico’s onderzoeken (en documenteren) hoe je er best mee omgaat: kan je met de betrokken partij in gesprek gaan om een oplossing van haar kant af te dwingen of kan je zelf bijkomende waarborgen voorzien (bvb door je data te versleutelen) of moet je in het ergste geval op zoek naar een alternatief (of alvast onderbouwd vaststellen dat er geen alternatief is en je dus geen keuze hebt dan verder te werken). Een goede Data Export Compliance Audit geeft je op die manier inzicht en kennis, laat je toe om gaten te dichten én zorgt ervoor dat je optimaal voorbereid bent om je interne werking te verdedigen bij eventuele klachten en controles.