Door Herman Braam, 26 september 2013.
Onlangs viel in webwereld te lezen dat iedereen die Google Analytics in Nederland gebruikt de privacywet overtreedt. Hoewel Duistland een van de strengste privacywetgevingen ter wereld heeft mag het daar wel. Hoe zit dat?
Dat het gebruik van Google Analytics in Nederland strijdig is met de Nederlandse wet valt af te leiden uit de conclusies van het CBP onderzoek naar smart-tv maker TP Vision. De toezichthouder constateerde dat de fabrikant de wet bescherming persoonsgegevens (Wbp) op verschillende manieren overtrad, onder meer door het gebruik van Google Analytics zonder aparte ‘bewerkersovereenkomst’ zoals artikel 14 vereist. In een reactie verklaart het CBP (College Bescherming Persoonsgegevens) dit te zien als een waarschuwing aan alle gebruiker van Google Analytics.
Uit het onderzoek blijkt dat Google Nederland weigert een ‘bewerkersovereenkomst’ voor Google Analytics af te sluiten omdat de verwerking geen persoonsgegevens zou betreffen. IP-adressen (die door Google Analytics worden verwerkt) worden in de Europese wetgeving echter als persoonsgegevens gezien. Dat geldt ook voor Nederland en dus is de wet bescherming persoonsgegevens gewoon van toepassing. Google zou het afsluiten van een ‘bewerkersovereenkomst’ dus niet op deze grond moeten weigeren.
Maar hoe zit het nu in Duitsland? In Duitsland heeft Google al in 2011 afspraken gemaakt met privacy toezichthouders over de voorwaarden waaronder het gebruik van Google Analytics voldoet aan de Duitse privacywetgeving. Google Duitsland oordeelt dus terecht dat Google Analytics persoonsgegevens verwerkt en handelt daar ook naar. De gebruiksvoorwaarden zijn aangepast om te voldoen aan de privacywetgeving. Zo biedt Google in Duitsland bijvoorbeeld de mogelijkheid voor een schriftelijke vastlegging van een “Vertrag zur Auftragsdatenverabeitung”, het Duitse equivalent van onze ‘bewerkersovereenkomst’. In Duitsland is Google dus wel bereid een schriftelijke ‘bewerkersovereenkomst’ af te sluiten en daarmee lijkt Google geen eenduidig privacybeleid te voeren voor de verschillende Europese lidstaten.
Overigens zitten de Duitse en Nederlandse toezichthouders ook niet helemaal op een lijn. Het anonimiseren van het IP-adres, zoals Google dat mogelijk heeft gemaakt op aandringen van o.a Duitse toezichthouders, lijkt voor het CBP niet voldoende. In het TP Vision rapport stelt het CBP:
“De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden.”
TPVision rapport CBP
Nu is het wel zo dat deze uitspraak expliciet in de context van
het TP Vision onderzoek is gedaan en dat het CBP onder andere
omstandigheden wellicht meer genegen is het Duitse standpunt te volgen.
Omdat
zowel de Duitse als de Nederlandse privacywetgeving is gebaseerd op
dezelfde Europese richtlijnen zijn de verschillen gering en het
onderscheid wordt in de toekomst alleen maar minder met de introductie
van de nieuwe Europese privacy verordening. De Duitse aanpak zou naar
mijn mening dan ook prima kunnen passen in de Nederlandse context.
Voor
gebruikers die Google Analytics willen toepassen zonder de wet te
overtreden ligt de oplossing misschien al klaar bij onze oosterburen. Ik
verwacht echter dat het nog wel wat tijd zal kosten en met name druk
vanuit de toezichthouder en de markt zal vergen, voordat we ook hier van
een vergelijkbare regeling gebruik kunnen maken. Het CBP lijkt in ieder
geval de druk op te willen voeren en krijgt hiervoor ook meer middelen
in handen met het nieuwe wetsvoorstel ‘meldplicht datalekken’.
Boetes kunnen dan oplopen tot €450.000. TP Vision heeft inmiddels
besloten af te zien van verder gebruik van Google Analytics en het
aantal bedrijven en organisaties dat zich zorgen maakt neemt toe. Als
gebruiker van Google Analytics is het immers jouw verantwoordelijkheid
om je aan de wet bescherming persoonsgegevens te houden en kun je je
niet verschuilen achter een weigering van Google om een
bewerkersovereenkomst af te sluiten. Gezien het grote marktaandeel van
Google Analytics is een snelle oplossing waarmee zowel CBP als Google
kunnen instemmen zeer gewenst. Als onze oosterburen daar al in zijn
geslaagd moet dat toch ook mogelijk zijn in ons polderland.
Over de auteur: Herman Braam is oprichter en eigenaar van Privyon.
Specialist in vraagstukken op het snijvlak van IT en privacy. Helpt organisaties te voldoen aan de privacywetgeving
Contact via hbraam@privyon.nl of LinkedIn.