Privacy Alerts #26: Gebruik Google Analytics mogelijk in strijd met Europese privacywetgeving

Share

Twee weken geleden is Facebook in een massaclaim in het Verenigd Koninkrijk aangeklaagd voor ruim 2,8 miljard euro. Het bedrijf wordt er door de aanklager van beschuldigd dat het misbruik maakt van zijn dominante marktpositie. Aan de Britse consument zouden oneerlijke voorwaarden zijn opgelegd, waardoor persoonlijke gegevens kon worden geëxploiteerd. Verder in deze editie van Privacy Alerts: winkelketen Game Mania is het slachtoffer geworden van een cyberaanval en het gebruik van Google Analytics door Europese bedrijven is hoogstwaarschijnlijk in strijd met de AVG.

Britse massaclaim tegen Facebook

Het moederbedrijf van Facebook, Meta, wordt in het Verenigd Koninkrijk (VK) aangeklaagd voor 2,3 miljard pond (zo’n 2,8 miljard euro). In een massaclaim wordt Meta ervan beschuldigd dat het bedrijf gebruikersgegevens heeft uitgebuit om geld te verdienen. Dat blijkt uit berichtgeving van Reuters twee weken geleden.

De juriste Liza Lovdahl Gormsen klaagt Meta aan namens alle Britten die tussen 2015 en 2019 Facebook gebruikten. Gedurende die periode moesten gebruikers akkoord gaan met oneerlijke gebruikersvoorwaarden waardoor ze gedwongen werden persoonlijke gegevens over te dragen aan het platform, zegt Lovdahl Gormsen.

Gormsen promoveerde op het onderwerp marktmisbruik. Daarnaast is zij ook een belangrijke adviseur van de Britse financiële toezichthouder. Volgens Gormsen heeft Facebook veel geld verdiend aan alle gegevens over zijn gebruikers die zijn verzameld via het sociale mediaplatform en aan functies zoals de Facebook Pixel, die het surfgedrag van veel mensen voor verschillende doeleinden volgt. Meta heeft zijn dominante marktpositie misbruikt om oneerlijke voorwaarden op te leggen aan gewone Britten, waardoor het mogelijk was om hun persoonlijke gegevens te exploiteren.

Facebook stelt op zijn beurt dat zijn diensten populair zijn geworden omdat ze van grote waarde zijn voor Britse consumenten. Bovendien hebben platformgebruikers controle over welke informatie ze willen delen met het Meta-platform. Een speciale mededingingsautoriteit in Londen gaat de zaak onderzoeken.

Facebook werd ook al eerder in Nederland aangeklaagd voor de omgang met privégegevens van gebruikers. In juli 2021 oordeelde de Amsterdamse rechtbank dat een door de Consumentenbond en Data Privacy Stichting (DPS) aangespannen rechtszaak kon doorgaan, ondanks de bezwaren van Facebook. De Consumentenbond en DPS eisen compensatie voor alle Facebook-gebruikers in Nederland. In 2017 had de Autoriteit Persoonsgegevens ook al vastgesteld dat Facebook de Nederlandse privacywetgeving overtrad met de manier waarop het omging met de data van gebruikers.

Datalek bij Game Mania door cyberaanval

Game Mania, een winkelketen die gespecialiseerd is in videogames, werd twee weken geleden het slachtoffer van een cyberaanval. Dat meldt het bedrijf. De hackers wisten de persoonsgegevens van Nederlandse en Belgische klanten te bemachtigen.

De daders hadden toegang tot een server die informatie over het bedrijf bevat, waaronder persoonlijke gegevens. Het gaat om algemene persoonsgegevens zoals namen, adressen, e-mailadressen en telefoonnummers. ‘’Vroeger stonden grote bestanden met veel klantgegevens versleuteld op onze servers, maar hier en daar zou het kunnen dat er bestanden waren van bijvoorbeeld lokale marketingcampagnes die niet waren versleuteld”, aldus de directeur van het bedrijf. Wachtwoorden en betaalgegevens bleven buiten schot.

De getroffen systemen werden offline gehaald. Ook is er, zoals de AVG vereist als het om een grote hoeveelheid data of gevoelige gegevens gaat, melding gemaakt bij de Nederlandse Autoriteit Persoonsgegevens en de Belgische privacywaakhond. Ook werden klanten geïnformeerd over het datalek.

Volgens Game Mania veroorzaakt de ransomware-aanval verder geen (andere) problemen. Zo is de webshop operationeel en zijn de Belgische winkels gewoon open. Game Mania stelt dat ze de aanval nog steeds onderzoeken en een ‘externe expert’ hebben ingehuurd om de veiligheid van hun systeem te verifiëren.

Google Analytics in strijd met privacywetgeving

Europese bedrijven mogen Google Analytics niet (voortdurend) gebruiken om het gedrag van websitebezoekers in kaart te brengen. Dat heeft de Oostenrijkse toezichthoudende autoriteit (DSB) twee weken geleden in een modelzaak geconstateerd, schrijft Noyb. Het probleem is dat bij het gebruik van Google Analytics gegevens, zoals IP-adressen en cookiegegevens van gebruikers, worden verzameld. Deze gegevens worden vervolgens naar de servers van Google in de Verenigde Staten gestuurd. Dit is volgens de geldende Europese privacywetgeving verboden.

De oorsprong van deze kwestie ligt bij de uitspraak die ook wel het Schrems-II vonnis wordt genoemd, vernoemd naar de Oostenrijkse privacyactivist Max Schrems. In 2020 oordeelde het Hof van Justitie van de Europese Unie dat het Privacy Shield, dat de uitwisseling van persoonsgegevens en andere data tussen Europese lidstaten en de VS regelde, in strijd was met de Algemene Verordening Gegevensbescherming (AVG).

De Europese privacywetgeving vereist immers dat niet-Europese bedrijven en organisaties opslag- en beveiligingsmaatregelen implementeren die gelijkwaardig zijn aan die in de EU. De rechtbank oordeelde dat het Privacy Shield niet hetzelfde niveau van bescherming garandeert buiten de Europese Unie. De rechter vernietigde het verdrag onmiddellijk. Over de opvolger van het Privacy Shield is meer dan anderhalf jaar onderhandeld. Tot nu toe zonder resultaat. En dat is zorgelijk, zo vindt privacystichting Noyb.

Om Amerikaanse en Europese bedrijven en organisaties te dwingen hun denk- en werkwijze aan te passen, stuurde Schrems in augustus 2020 in totaal 101 modelklachten naar verschillende nationale toezichthouders in Europa. De Datenschutzbehörde (DSB) is de eerste die de klachten in behandeling heeft genomen en een uitspraak doet. In deze zaak gaat het om Google Analytics, het statistiekprogramma van Google om websitebezoeken te analyseren.

Noyb had een klacht ingediend tegen zowel een exploitant van een Oostenrijkse website die gebruikmaakte van Google Analytics om het verkeer op de website te monitoren (First Respondent) als tegen Google (Second Respondent). Het gebruik van Google Analytics zou volgens Noyb onrechtmatig zijn, omdat daardoor persoonsgegevens met een Amerikaanse entiteit werden gedeeld.

Via zijn weblog maakt de zoekmachinegigant bekend dat voor het versturen van Analytics-data naar servers in de VS standaard IP-adressen van gebruikers worden meegestuurd. Website-eigenaren kunnen er wel voor kiezen om deze IP-adressen te anonimiseren. Google reageerde op de klacht door erop te wijzen dat er bij doorgifte van persoonsgegevens naar de VS aanvullende maatregelen zijn genomen, zoals versleuteling van data. Er was dientengevolge slechts een kleine kans dat de klager doelwit was geworden van Amerikaanse surveillance. Daarnaast wijst Google erop dat Google Analytics niet gebruikt kan worden om mensen op internet of in apps te volgen. Ook wijst Google naar het gebruik van modelovereenkomsten om rechtmatig data met de Verenigde Staten uit te wisselen. Google stelt daarmee aan alle daarvoor geldende eisen omtrent doorgifte te voldoen. De Oostenrijkse toezichthouder oordeelde echter dat de door Google genomen maatregelen niet voldoende bescherming bieden om spionage vanuit te VS uit te kunnen sluiten. Desondanks besloot de DSB de klacht tegen Google af te wijzen.

De DSB oordeelt daarentegen dat de klacht tegen de website wel gegrond is. Dit op grond van (overtreding van) art. 44 AVG. De DSB oordeelde ten aanzien van de website dat er wel degelijk persoonsgegevens naar Google (in de VS) zijn verstuurd. Het door de website gebruikte modelcontract bood onvoldoende bescherming en de website kon ook niet op andere mechanismen terugvallen die onder de AVG zijn toegestaan. Daardoor heeft de website geen voldoende beschermingsniveau geboden zoals onder de AVG is verplicht. Het (voortgezette) gebruik van Google Analytics was derhalve in strijd met de Europese privacywetgeving. De DSB legt de schuld uiteindelijk dus bij de website.

De uitspraak kan gevolgen hebben voor zeer veel websites in de Europese Unie. Op basis van dit besluit heeft de Nederlandse Autoriteit Persoonsgegevens (AP) aangegeven dat Google Analytics mogelijk verboden wordt. Op een informatiepagina over cookies heeft de AP gewaarschuwd dat (het gebruik van) Google Analytics in de nabije toekomst mogelijk niet meer wordt toegestaan. De AP spreekt in zijn handleiding voor het privacyvriendelijk inrichten van Google Analytics over een mogelijk verbod. “De AP doet momenteel onderzoek naar twee klachten over het gebruik van Google Analytics in Nederland”, aldus de toezichthouder. “Als dit onderzoek eenmaal is afgerond, kan de AP begin 2022 aangeven of het gebruik van Google Analytics toegestaan is.” Dit zal grote gevolgen hebben voor veel locaties in Nederland en de EU. Bij een verbod zal ook de methodiek om IP-adressen binnen Google Analytics te anonimiseren niet langer worden toegestaan.

“Het feit dat gegevensbeschermingsautoriteiten Amerikaanse diensten nu geleidelijk illegaal kunnen verklaren, zet bedrijven in de EU en Amerikaanse providers extra onder druk om over te stappen op veilige en legale opties, zoals hosting buiten de VS”, aldus Schrems. Volgens de privacyactivist zijn er op de lange termijn twee oplossingen: of de VS past de basisbescherming van gegevens van buitenlanders aan, of Amerikaanse providers slaan gegevens van buitenlanders op buiten de VS. “Op lange termijn hebben we ofwel goede bescherming in de VS nodig, of we zullen eindigen met afzonderlijke producten voor de VS en de EU”.

Recente publicaties

Privacy Weekly

Meld u aan voor Privacy Weekly en blijf op de hoogte van recente trends en ontwikkelingen rondom privacy.

Op zoek naar

Gratis AVG|Check

Volg ons op social media

Meld u aan voor Privacy Weekly

Aanmelden Privacy Weekly
Elke donderdag een privacy alert, blog of whitepaper in uw inbox!
cookie

Wij gebruiken alleen functionele en analytische cookies om u een optimale gebruikerservaring te bieden op onze website. Onze cookies verzamelen geen persoonsgegevens. Meer informatie.