Dat Google Analytics en andere Amerikaanse cloudoplossingen onder vuur liggen in de EU sedert het Schrems II arrest van het Europees Hof van Justitie is geen geheim. Wie Google Analytics (ook GA4, overigens) gebruikt, exporteert persoonsgegevens naar Google servers in de Verenigde Staten en dat is vanuit GDPR-oogpunt een ernstig probleem, dat we al enkele keren bespraken op onze blogpagina’s en op ons YouTubekanaal.
Een recent arrest van het Hof van Beroep in Grenoble (Frankrijk) wijst web developers nu ook op hun verantwoordelijkheid ter zake: wie websites oplevert mét Google Analytics of andere tools of plug-ins die data exporteren buiten de EU, begaat mogelijks een professionele fout die aardig wat geld kan kosten.
De achtergrond over dit geschil tussen klant en web agency
Het arrest kadert in een erg specifiek geschil tussen een web agency (Cometik) en een brillenwinkel (Optique Saint Jacques). Het web agency werd in 2016 al ingehuurd om een nieuwe website te bouwen voor de brillenwinkel en om daarna ook support en online marketingdiensten te leveren. Voor de betaling werd een leasingconstructie opgezet met een externe leasingpartner (Leasecom) aan wie gedurende 48 maanden een maandbedrag van 288 euro betaald moest worden.
Na amper een jaar wil de brillenwinkel -om redenen die uit het arrest niet echt duidelijk worden- de overeenkomst opzeggen. Ze stelt het web agency daarvan op de hoogte en stopt de betalingen aan de leasingpartner. De leasingpartner liet het daar natuurlijk niet bij en stelde de brillenwinkel in gebreke om de achterstallige maandbedragen plus de contractuele opzegvergoeding te betalen.
Web agency moet GDPR compliance garanderen
Aangezien Optique Sant Jacques weigerde te betalen, eindigde het geschil voor de rechtbank. In eerste aanleg werd Optique Saint Jacques veroordeeld tot het betalen van alle achterstallen en opzegvergoedingen, maar in beroep werd die beslissing omgekeerd en werd de initiële overeenkomst nietig verklaard.
Saint Jacques had daarvoor een hele reeks uiteenlopende argumenten aangedragen, maar eentje gaf de doorslag voor het Hof van Beroep en het is precies dat argument dat ons vandaag interesseert: door een website op te leveren waarop Google Analytics geïmplementeerd werd, beging de webbouwer een inbreuk op de regels onder GDPR over data transfers buiten de Europese Economische Ruimte en daarmee meteen ook een contractuele fout ten aanzien van de brillenwinkel. Die laatste mocht immers de oplevering van een kwalitatieve website verwachten die voldoet aan alle technische én wettelijke vereisten voor goede websites.
Wat betekent dat nu precies?
Optique Saint Jacques had voor de rechtbank ingeroepen dat de overeenkomst die zij was aangegaan met haar web agency nietig was omdat de overeenkomst in strijd was met geldende wetgeving. De opgeleverde website voorzag immers in tracking via Google Analytics, maar op grond van het Schrems II arrest en een hele reeks beslissingen van Franse, Italiaanse, Oostenrijkse en Deense gegevensbeschermingsautoriteiten is het gebruik van Google Analytics in strijd met GDPR. Optique Saint Jacques stelde voor de rechtbank dat zij door het web agency nooit geïnformeerd was over de juridische risico’s die verbonden zijn aan het gebruik van Google Analytics of andere niet-Europese cloud services en dat de webbouwer daarmee was tekortgeschoten in zijn professionele informatieplicht.
De brillenverkoper had in casu een gerechtsdeurwaarder ingehuurd die vaststelde bij een bezoek aan de website dat “er cookies actief zijn, inclusief cookies van derden, voor operationele doeleinden, statistische analyse, om gerichte inhoud aan te bieden en om de prestaties van advertentiecampagnes te analyseren “ en dat bezoekers wel gewaarschuwd werden, maar dat geen opt-in gevraagd werd. Cookies werden geplaatst louter door verder te surfen op de website en erger nog “dat cookies automatisch worden geïnstalleerd, ook zonder verdere navigatie”. Meer zelfs, nadat de gerechtsdeurwaarder de –onvolledige- privacy policy had geraadpleegd werden plots nog eens zes bijkomende cookies, waaronder eentje van Google, geplaatst zonder enige vorm van toestemming.
Het web agency Cometik kon hier niet heel veel tegen inbrengen, behalve dat Optique Saint Jacques heel eenvoudig had kunnen vaststellen dat er een analytics tool draaide op haar website waarmee persoonsgegevens verzameld worden door eenvoudigweg haar eigen website te bezoeken en dat volgens haar de impliciete opt-in voor het plaatsen van cookies “door onze website verder te bezoeken” volstond om op rechtsgeldige wijze persoonsgegevens te verzamelen via Google Analytics.
Korte samenvatting over cookies en data export
Over Google Analytics, cookies en data transfers hebben we de voorbije twee jaar al érg veel geschreven en gesproken. Over cookies hebben we zelfs een volledig boek geschreven en sinds enkele weken vind je op onze website ook een handige gratis whitepaper met praktische aanwijzingen om je cookie consent in overeenstemming te brengen met de geldende regels. We herhalen dus niet alle details hier, maar een korte reminder is misschien op zijn plaats:
- Cookies: je hebt altijd voorafgaande, expliciete, vrije en geïnformeerde consent nodig voordat je cookies kan plaatsen.
- Data transfers: het delen van persoonsgegevens (al dan niet verzameld via cookies) met ontvangers buiten de EU kan enkel als je 1/ daarvoor een voldoende juridische basis hebt, meestal in de vorm van Standard Contract Clauses en 2/ een individuele risk assessment hebt gemaakt die de potentiële risico’s voor de rechten van de personen wiens gegevens je verwerkt in kaart brengt en waar nodig bijkomende maatregelen neemt om gegevens vertrouwelijk te houden (meestal encryptie). De EU onderhandelt weliswaar met de VS over een nieuw “Privacy Shield” dat vrije uitwisseling van persoonsgegevens opnieuw mogelijk moet maken, maar de uitkomst van die gesprekken is op zijn minst onzeker te noemen op heden.
- Google Analytics: GA is enerzijds gebaseerd op cookies en dus is voorafgaande consent vereist en anderzijds is er noodzakelijkerwijze data export naar Google servers in de VS, waarbij door de aard zelf van Google Analytics geen afdoende encryptie mogelijk is. Google Analytics is daardoor door verschillende gegevensbeschermingsautoriteiten in strijd met GDPR bevonden
Wat betekent dit voor web developers en agencies?
Web developers en agencies zijn op basis van bovenstaande maar beter voorzichtig in het kader van de projecten die ze opleveren. Het is weliswaar de eigenaar van de website -de klant dus- die in principe als verantwoordelijke voor de verwerking van persoonsgegevens aangesproken zal worden door de toezichthoudende overheid in het kader van controles of boetes of door gebruikers in het kader van een eis tot schadevergoeding.
Maar als agency en als webbouwer heb je wél de contractuele verplichting om een goed functionerende en juridisch compliant website of service op te leveren en om juridisch compliant analytics en online marketing op te zetten, conform de gangbare standaarden en gebruiken binnen de sector en met respect voor geldende regelgeving. Doe je dat niet, dan kan jouw klant mogelijks komen aankloppen om vergoeding te vragen voor de schade die hij of zij zou lijden of, erger nog…. Je klant kan zoals in het voorbeeld hierboven, misbruik maken van de situatie en de ontbinding van de overeenkomst vorderen met terugbetaling van de betaalde bedragen.
Bovendien heb je ook precontractuele informatieplichten ten aanzien van je klant en moet je je klant dus proactief wijzen op potentiële risico’s, zowel technisch als juridisch en heb je een zorgplicht ten aanzien van je klant. Zorgen dat je op de hoogte bent van potentiële risico’s en waar nodig alternatieven voorzien of aanbevelen is dus een essentieel onderdeel van je job als marketeer of webbouwer.
Vooral schadeclaims door webbezoekers vormen een reëel risico in onze ogen. We laten jullie zelf uitrekenen wat de kost is als 10.000 of 100.000 websitebezoekers zich verenigen in een groepsclaim en elk 1.000 euro schadevergoeding vragen omdat hun persoonsgegevens onrechtmatig verwerkt werden op een website die door jouw bedrijf werd opgeleverd of binnen een analytics account die door jouw agency wordt beheerd…
Voorkomen is beter dan genezen en dus is een grondige GDPR compliance check van je bedrijf als geheel en van de services die je aanbiedt als webbouwer of agency een absolute must. Dat kan eventueel gecombineerd worden met een GDPR compliance certificaat of met een gedetailleerde GDPR compliance documentatie als onderdeel van je offertes en contracten. Wil je klant echt doorgaan met Google Analytics of andere tools of plugins die niet compliant zijn? Zorg dan dat je op zijn minst contractueel vastgelegd hebt dat de verantwoordelijkheid voor het gebruik uitsluitend bij je klant ligt.
Hulp nodig voor je agency of voor je klanten?
Op onze webshop vind je heel wat nuttige servicepakketten, zoals onze GDPR audit of onze Cookiescan.
Binnenkort geeft Sirius Legal bij Feweb opnieuw de opleiding “The Legal Compliant Agency”. Je kan terecht op de website van FeWeb voor meer informatie over het programma!
Of ben je eerder op zoek naar een vrijblijvende kennismaking? Boek dan gerust een gesprek in via de link hiernaast!