071-8878857 info@privyon.nl

Google Analytics eindelijk legaal te gebruiken

Door Herman Braam, 8 oktober 2013.

Zoals ik in een eerdere blog heb geschreven kon je Google Analytics in Nederland tot op heden niet gebruiken zonder de wet te overtreden. Google weigerde immers om een, volgens toezichthouder CBP noodzakelijke, bewerkersovereenkomst af te sluiten met gebruikers van Google Analytics. Alleen Duitse Analytics gebruikers hadden een uitzonderingspositie en konden wel een bewerkersovereenkomst van Google krijgen. Daar komt nu verandering in. 

Naar mijn overtuiging kon de Duitse aanpak ook prima in andere Europese landen worden toegepast om daarmee een einde te maken aan de onzekere juridische positie waarin Analytics gebruikers zich bevinden. Als Nederlandse Analytics gebruiker kon je immers nog zo je best doen, het was niet voldoende om aan de wetgeving te voldoen. TP Vision kan daar over mee praten. Alle best practices voor Google Analytics toegepast en toch teruggefloten door het CBP vanwege de ontbrekende (door Google geweigerde) bewerkersovereenkomst. 

Om deze verschillen in het Europese privacybeleid van Google meer onder de aandacht te brengen heb ik informatie aangeleverd op basis waarvan een journalistiek onderzoek is gestart. Dit heeft inmiddels geleid tot het nieuws in Webwereld dat Google nu bereid is om het Europese privacybeleid te uniformeren en in heel Europa bewerkersovereenkomsten af te sluiten, dus ook in Nederland. Hoewel toezichthouder CBP nog geen officiële reactie heeft gegeven is dit een verheugende ontwikkeling die verder wordt beschreven in onderstaand artikel op Computerworld.

Google Analytics eindelijk legaal in Nederland

7 okt. 2013 door Andreas Udo de Haes Google+

Achtergrond – Google buigt voor Europese toezichthouders en biedt nu een apart contract aan voor Google Analytics-gebruikers. Wat en waarom?

Google doet een belangrijke concessie richting privacywaakhonden. Het gebruik van de populaire Google Analytics-suite is namelijk in principe illegaal, kan worden geconcludeerd uit recent CBP-onderzoek. Google heeft namelijk geen bewerkersovereenkomst met de verantwoordelijke klant. Dat moet volgens de wet, concludeert onder meer het CBP, maar Google weigerde. Tot nu toe, want Google is overstag, onthult Webwereld, en biedt nu wel een bewerkersovereenkomst, vooralsnog alleen in het Engels.

Verwerking persoonsgegevens

Wat is zo’n bewerkersovereenkomst? Volgens het CBP is een dergelijk contract juridisch cruciaal. “Uit de overeenkomst moet blijken wat de doeleinden van en de middelen voor de verwerking van persoonsgegevens zijn, welke soort gegevens worden verwerkt, de duur van de opslag van de gegevens, het gebruik van de gegevens, alsmede eventuele verstrekking aan derden. Maar ook in welke mate de bewerker zeggenschap heeft, dat wil zeggen, in welke mate hij de details van de verwerkingswijze van persoonsgegevens kan bepalen. Dergelijke belangrijke elementen van de gegevensverwerking dienen in de bewerkersovereenkomst voldoende gedetailleerd te zijn opgenomen. In ieder geval zodanig dat de bewerker daadwerkelijk op instructie van de verantwoordelijke kan handelen en de verantwoordelijke daadwerkelijk toe kan zien op de feitelijke naleving daarvan”, eist de toezichthouder.

Zekerheid voor website-eigenaren

Waarom gaat Google nu overstag? Vanwege behoefte van onze klanten, zegt Google heel diplomatiek en handig. Maar is het wel degelijk een belangrijk zwaai van het concern, constateert Herman Braam, privacyspecialist en eigenaar van Privyon.

“Dat Google nu ook in ons land (en andere EU-landen) bereid lijkt te zijn een “bewerkersovereenkomst” af te sluiten, betekent dat het met wat inspanning mogelijk wordt om in Nederland legaal gebruik te maken van Google Analytics. Dat is buitengewoon goed nieuws en geeft website-eigenaren eindelijk de nodige zekerheid. Het is goed om te zien dat leveranciers als Google moeite doen om hun Europese privacybeleid te uniformeren”, aldus Braam in een reactie aan Computerworld.

Druk op Google

De concessie is ook het resultaat van hechte coördinatie van verschillende waakhonden, die zo de druk op Google opvoeren. Er loopt momenteel een formeel privacyonderzoek naar Google in zes Europese landen.

Maar het is ook een teken dat partijen anticiperen op de komende Europese privacyverordening. Braam: “Die werpt zijn schaduw vooruit. Toezichthouders kunnen organisaties met deze wetgeving boetes opleggen tot maximaal 1 miljoen euro of 2% van hun jaarlijkse wereldwijde omzet.” Dat betekent in het geval van Google een potentiële boete van maximaal 1 miljard dollar.

Over de auteur: Herman Braam is oprichter en eigenaar van Privyon.
Specialist in vraagstukken op het snijvlak van IT en privacy. Helpt organisaties te voldoen aan de privacywetgeving
Contact via
hbraam@privyon.nl of LinkedIn.