Tumult in de ondernemingswereld: de Oostenrijkse privacy waakhond beschouwt het gebruik van Google Analytics als een inbreuk op de GDPR. Zullen ook Belgische ondernemingen nu geen beroep meer mogen doen op Google Analytics? En wat met de consequenties voor het gebruik van alle andere elektronische communicatiediensten uit de Verenigde Staten? Hoog tijd dus om de privacy aspecten van deze beslissing en de verwachtingen van verdere consequenties voor Belgische ondernemingen met de nodige objectiviteit te benaderen.
Google Analytics = doorgifte van persoonsgegevens naar de VS
Als onderneming zet je voor jouw activiteiten een website op. Dan ben je voor de persoonsgegevensverwerkingen die daarop plaatsvinden, verwerkingsverantwoordelijke. Het is immers jouw onderneming die bepaalt voor welke doeleinden die gegevensverwerking dient. Jij kiest ook op welke manier dat gebeurt.
De Oostenrijkse toezichthoudende autoriteit was van oordeel dat zo een verwerkingsverantwoordelijke een inbreuk heeft gepleegd op de GDPR door op de ondernemingswebsite Google Analytics te implementeren. Met die implementatie gaan immers meerdere persoonsgegevensverwerkingen gepaard.
Identificeerbaar? Dus persoonsgegevens
De precieze verwerking die het voorwerp van de inbreuk uitmaakte, was de doorgifte van persoonsgegevens naar de Verenigde Staten. Bij het bezoek van de website, zorgt de Google Analytics tool er immers voor dat bepaalde data worden overgebracht van de browser van de websitebezoeker naar de servers van Google LLC. Minstens ging het in casu over de volgende data:
- het IP adres van het toestel gebruikt door de websitebezoeker;
- Unieke online identifiers die de browser of het toestel van de websitebezoeker identificeren;
- Unieke online identifiers van de websitebeheerder (Oostenrijks bedrijf als verwerkingsverantwoordelijke) (nl. het Google Analytics account-ID);
- De HTML titel en het adres van de website, evenals de concrete pagina’s die door de bezoeker op de website zijn bezocht;
- Informatie over de browser, het besturingssysteem, de schermresolutie, de taalkeuze, en de datum en tijd van het websitebezoek.
Waarom zijn dit persoonsgegevens? Aangezien deze data (op zichzelf of minstens door ze samen te leggen) de bezoeker kunnen “individualiseren” (“singling out”), maken deze data de websitebezoeker “identificeerbaar”. Het singling out principe wil dus zeggen dat een individu “uit een groep kan aangeduid worden”. Het is een concept dat voor privacy-experten helemaal niet nieuw is, maar dat bij ondernemers en IT-ers vaak heel wat wenkbrauwen doet fronsen. Het criterium van identificeerbaarheid maakt in elk geval dat de data persoonsgegevens zijn, en de GDPR dus van toepassing is.
Doorgifte naar VS. Dus buiten de EER
In de Oostenrijkse zaak gaf een bedrijf als verwerkingsverantwoordelijke dus persoonsgegevens door aan Google LLC. Deze onderneming is gevestigd in de Verenigde Staten. Anders gezegd: in een land buiten de Europese Economische Ruimte / ”EER”. Een ander land dus dan een EU-lidstaat, Noorwegen, IJsland of Liechtenstein.
Volgens de GDPR kan je zo’n doorgifte buiten de EER enkel rechtmatig doen wanneer bij die doorgifte een adequaat beschermingsniveau hoort. En daar lijkt het schoentje behoorlijk te wringen.
Afwezigheid van adequaat beschermingsniveau is een inbreuk
3 wegen naar een adequaat beschermingsniveau
De GDPR laat toe om een adequaat beschermingsniveau op drie mogelijke manieren te bereiken:
- Er bestaat een adequaatheidsbesluit. Dit is een besluit aan de hand waarvan de Europese Commissie bevestigt dat een bepaald land buiten de EER een adequaat beschermingsniveau biedt. Dan mogen er bijgevolg zonder meer persoonsgegevens doorgegeven worden naar dit derde land. Voor de Verenigde Staten hadden we ooit zo’n adequaatheidsbesluit, het welbekende “Privacy Shield”. Maar aangezien deze door het Hof van Justitie in haar Schrems II- arrest van 16 juli 2020 ongeldig werd verklaard, kan men hier dus geen beroep meer op doen voor doorgiften naar de VS.
- Er zijn passende waarborgen getroffen.
- Een van de uitzonderingen (“afwijkingen voor specifieke situaties”) van art. 49 GDPR is van toepassing. Als een van deze voorwaarden is voldaan, mag er dus ook een doorgifte naar dit derde land plaatsvinden.
Een voorbeeld is dat, bij gebrek aan een adequaatheidsbesluit en passende waarborgen, de betrokkene uitdrukkelijke toestemming heeft gegeven voor de doorgifte naar het derde land ÉN deze betrokkene bovendien voorafgaand is ingelicht over de risico’s die dergelijke doorgiften voor hem kunnen inhouden. Dit impliceert dat de betrokkene uitleg moet krijgen over wat een niet-adequaat land is, wat het gebrek aan passende waarborgen inhoudt, en een staving moet krijgen waarom de doorgifte in kwestie tóch passend is. Bovendien moet de betrokkene deze uitleg krijgen in een beknopte, transparante, begrijpelijke en makkelijk toegankelijke vorm en in duidelijke en eenvoudige taal. Alleen dan zal immers aanvaard kunnen worden dat de betrokkene een geïnformeerde toestemming heeft gegeven.
In deze zaak bestond er echter geen twijfel over dat geen enkele uitzondering van art. 49 GDPR van toepassing was.
Gebrek aan passende waarborgen
Je kan het al raden, bij gebrek aan een adequaatheidsbesluit of zo’n uitzonderingsgeval, was dus de vraag of er passende waarborgen getroffen waren.
Volgens de GDPR is het de verplichting van de verwerkingsverantwoordelijke om na te gaan of er passende waarborgen bestaan bij de doorgifte naar de VS. Indien die er niet zijn, moet deze verwerkingsverantwoordelijke (dit zou ook gelden als hij verwerker was) zelf de nodige passende maatregelen nemen.
Als indicatie geeft de GDPR aan dat zo’n passende waarborgen kunnen worden geboden door het sluiten van Standard Contractual Clauses (SCC’s) met de verwerkingsverantwoordelijke of verwerker uit het derde land. Dit zijn modelclausules die door de Europese Commissie zijn aangenomen en goedgekeurd. In casu had het Oostenrijks bedrijf wel SCC’s afgesloten met Google LLC, maar voor een doorgifte naar de VS kan dit weliswaar niet volstaan om een adequaat beschermingsniveau te bieden aan betrokkenen.
Is dat iets nieuws? Neen, hoor. Reeds met haar Schrems II- arrest van 16 juli 2020 heeft het Hof van Justitie hier duidelijkheid over geschept. Dat arrest vereist dat er voor een derde land zoals de VS, er bovenop geldige SCC’s, bijkomende maatregelen moeten worden getroffen. Dit standpunt is inmiddels ook overgenomen door de European Data Protection Board.
De reden is dat er wetgeving bestaat in de VS die haar autoriteiten expliciet toestaat om inzage te krijgen in de persoonsgegevens van EU burgers waarover VS leveranciers van elektronische communicatiediensten, waaronder Google LLC, beschikken. Aangezien SCC’s contractueel van aard zijn en dus enkel de betrokken partijen binden, kunnen deze geen enkele garantie bieden tegen inzage en monitoring van de VS autoriteiten zelf. Bovendien werd in het kader van deze Oostenrijkse zaak bewezen, aan de hand van een transparantierapport van Google, dat zo’n inzageverzoeken van VS autoriteiten niet louter theoretisch mogelijk zijn, maar dat deze zelfs regelmatig plaatsvinden.
Bijkomende maatregelen dringen zich dus op, en kunnen organisatorisch, contractueel of technisch van aard zijn.
Een mogelijke technische bijkomende maatregel kan zijn om de data te encrypten (of nog beter: te anonimiseren) alvorens de data worden overbracht bij de verwerker of verwerkingsverantwoordelijke uit het derde land. Dit wil zeggen vóórdat de gegevens bij Google terechtkomen. Want eens de persoonsgegevens bij Google zijn en Google deze data zou encrypten, dan is het in feite al te laat, want autoriteiten hebben het recht volgens de VS wetgeving om ook de encryption key te verkrijgen van Google. Alles waar een VS leverancier van elektronische communicatiediensten over beschikt, kan de VS autoriteit inkijken en monitoren.
De conclusie luidt als een eenvoudige optelsom. Aangezien het Oostenrijks bedrijf geen dergelijke passende bijkomende maatregelen heeft genomen, heeft deze dus een inbreuk gepleegd op de GDPR omdat er bij de doorgifte naar de VS geen adequaat beschermingsniveau was voor de persoonsgegevens van websitebezoekers.
Mogelijke consequenties voor Belgische ondernemingen
Doorwerking in België?
De beslissing is dan wel door de Oostenrijkse toezichthoudende autoriteit genomen, waaraan Belgische ondernemingen strikt gezien niet onderworpen zijn. Kunnen we dan niet best een beetje afwachten?
Het zou echter bijzonder naïef zijn om ervan uit te gaan dat de beslissing geen gevolgen kan hebben voor Belgische ondernemingen. Elke privacy expert beseft dat dit logischerwijze een belangrijk precedent is voor alle andere Europese toezichthoudende autoriteiten. Het is trouwens al bekend dat er ondertussen ook bij de Nederlandse Autoriteit Persoonsgegevens (AP) twee onderzoeken lopen inzake Google Analytics. We kunnen uiteraard enkel in spanning afwachten wat daar het verdict zal zijn.
Zelfs al is de Oostenrijkse beslissing trouwens vatbaar voor hoger beroep, lijkt het ons sterk dat deze redenering in tweede aanleg verworpen zou worden. De Oostenrijkse beslissing is dan ook niets “nieuws”, maar wel het resultaat van een concrete toetsing aan gegevensbeschermingswetgeving en de huidige geldende interpretaties daarvan.
En daar zijn opnieuw de cookies
Bovendien staat het gebruik van cookies momenteel bijzonder op de radar van zowel Europese privacy organen als van de nationale toezichthoudende autoriteiten. Dat is in het verhaal van Google Analytics belangrijk, aangezien deze tool gebruik maakt van niet-noodzakelijke cookies, met name analytische cookies, om persoonsgegevens te verzamelen.
Niet-noodzakelijke cookies zijn cookies die niet strikt noodzakelijk zijn om een website te laten functioneren. Voor het gebruik van deze cookies moet men de vrije, geïnformeerde, doelgebonden, specifieke en uitdrukkelijke toestemming bekomen van de betrokkene. Hoe je cookiebanner eruitziet is hiertoe cruciaal.
De EDPB heeft in het najaar van 2021 een cookie banner taskforce opgericht op initiatief van de non-profit organisatie NOYB (None of Your Business), het Europees Centrum voor Digitale rechten dat gevestigd is in Oostenrijk. Dit is dezelfde organisatie die ook de klacht heeft ingeleid in de zaak rond Google Analytics bij de Oostenrijkse toezichthoudende autoriteit. Deze taskforce heeft tot doel om onder andere de beslissingen inzake cookies door de toezichthoudende autoriteiten binnen de EER te coördineren. De Oostenrijkse beslissing die het gebruik Google Analytics als een onrechtmatige doorgifte beschouwt, is tot stand gekomen in overleg met deze taskforce.
Met andere woorden, gezien de harmoniserende werking van dit Europese initiatief, is de kans bijzonder klein dat de andere privacywaakhonden in de EU, zoals onze Belgische Gegevensbeschermingsautoriteit (GBA), zich in de nabije toekomst meer vergevensgezind zullen opstellen tegenover Google Analytics!
De EDPB publiceert in dit verband zeer binnenkort ook een brief waar zij bevestigt dat zij een geharmoniseerde toepassing nastreeft van gegevensbeschermingsregels binnen de ganse EER, inclusief wat de consistente interpretatie van toestemming voor cookies betreft. Dat ook onze eigen GBA aandacht voor cookies heeft, kan je zien aan hun beslissing van vorige week nog (21 januari 2022). Hierin worden, voor de eerste maal in een Belgische beslissing, de principes van vereiste toestemming glashelder bevestigd.
Uitbreiding verbod naar andere elektronische communicatiediensten uit de VS?
De olifant in de kamer: wat met het gebruik van andere cloud services waarbij persoonsgegevens verwerkt kunnen worden in de VS? Denk maar aan diensten zoals Hubspot en Mailchimp.
Ondernemers horen het niet graag, maar ja, een toezichthoudende autoriteit zou hier juridisch tot dezelfde vaststelling kunnen komen. De logica is immers niet complex: gaat het om persoonsgegevens? Is er een doorgifte naar de VS? Is de bestemmeling onderworpen aan overheidscontrole? En zijn er passende waarborgen voor een adequaat beschermingsniveau?
De antwoorden kunnen door de lezer worden gegeven…
Maar praktisch bekeken: wat nu?
Aan elke bedachtzame ondernemer die nu reeds volledig GDPR compliant wil zijn en niet passief blijft wachten tot de eerste inbreuk in België objectief wordt vastgesteld: geen paniek! Voor elk probleem bestaat er wel een oplossing. Zo kan je onderneming opteren voor andere Europese analytics alternatieven. Die zijn er immers zeker! Europese alternatieven bestaan er overigens ook voor andere soorten cloud providers. Het vergt wat voorbereiding en implementatie, en moet dus zeker niet hals-over-kop gebeuren, maar nu is wel het moment.
De Oostenrijkse beslissing is wellicht ook een wake-up call die de aandacht voor de Europese alternatieven in een stroomversnelling zal plaatsen. Het is in die zin voor elke ondernemer een opportuniteit om voluit de kaart te trekken van privacy-vriendelijkheid, en daarmee een duidelijk engagement te nemen naar customer centricity.
Hulp nodig bij de beoordeling van privacy vriendelijke alternatieven? Laat zeker niet na onze experten te contacteren via hallo@dejuristen.be.
Geschreven door Larissa De Keyser, Legal Adviser deJuristen, en Kris Seyen, Partner deJuristen