image

Oostenrijkse toezichthouder: gebruik Google Analytics in strijd met AVG

donderdag 13 januari 2022, 12:19 door Redactie, 19 reacties

Het gebruik van Google Analytics is in strijd met de AVG, zo heeft de Oostenrijkse privacytoezichthouder DSB geoordeeld. De uitspraak kan gevolgen voor zeer veel websites in de Europese Unie hebben. Volgens de DSB wordt erbij het gebruik van Google Analytics persoonlijke data naar Google in de Verenigde Staten verstuurd, waaronder user identifiers, ip-adressen en browserparameters. Dat is het oordeel over een klacht die noyb, de privacyorganisatie van de bekende activist Max Schrems, had ingediend.

Een maand na de Schrems II-uitspraak diende noyb 101 klachten in over het uitwisselen van persoonsgegevens met Facebook en Google. Het Europees Hof van Justitie verklaarde in 2020 het Privacy Shield-verdrag tussen de Europese Unie en de Verenigde Staten ongeldig. Het verdrag moest de uitwisseling van persoonsgegevens tussen bedrijven in de Europese Unie en de VS regelen.

Volgens de rechter zijn gegevens die onder het verdrag werden uitgewisseld niet goed beschermd in de Verenigde Staten. Door de uitspraak van het hof mogen bedrijven in de EU op grond van het Privacy Shield-verdrag geen persoonsgegevens meer aan de VS doorgeven. Een mogelijke oplossing om toch persoonsgegevens door te geven zou het gebruik van modelcontracten kunnen zijn.

Eén van de klachten die noyb indiende was tegen een Oostenrijkse website die van Google Analytics gebruikmaakte. Zowel de website als Google stelden dat er geen sprake was van doorgifte van persoonsgegevens. Daarnaast waren erin het geval van het toch versturen van persoonlijke data aanvullende maatregelen getroffen en was er een kleine kans dat de klager doelwit van Amerikaanse surveillance was geworden. Verder stelde Google dat de betreffende AVG-regel alleen voor de partij geldt die de data aanlevert, in dit geval de website, en niet de partij die de data ontvangt, te weten Google.

De Oostenrijkse toezichthouder kon zich deels in het verweer vinden en besloot de klacht tegen Google af te wijzen. In het geval van de website oordeelt de DSB dat er wel degelijk persoonsgegevens naar Google zijn verstuurd, het gebruikte modelcontract geen voldoende bescherming biedt en de website ook niet op andere mechanismes kan terugvallen die onder de AVG zijn toegestaan. Daardoor heeft de website geen voldoende beschermingsniveau geboden zoals onder de AVG is verplicht.

De uitspraak van de DSB is de eerste in de 101 door noyb ingediende klachten. Volgens de organisatie zal de beslissing gevolgen voor bijna alle EU-websites hebben, aangezien Google Analytics het meestgebruikte statistiekenprogramma is. "Veel websites vertrouwen op Google en sturen hun gebruikersdata door naar de Amerikaanse multinational", aldus noyb. "Het feit dat privacytoezichthouders nu Amerikaanse diensten illegaal kunnen verklaren zal extra druk op Europese bedrijven en Amerikaanse providers zetten om voor veilige en juridische opties te kiezen, zoals het hosten buiten de VS."

Privacy-activist Max Schrems verwacht dat soortgelijke uitspraken ook in andere EU-lidstaten zullen volgen, aangezien in bijna alle lidstaten privacyklachten zijn ingediend. De rechter besloot nog geen boete op te leggen. Daarnaast is de website samengegaan met een Duits bedrijf. De Oostenrijkse toezichthouder had alleen jurisdictie voor overtredingen begaan in het verleden.

Reacties (19)
13-01-2022, 13:20 door Anoniem
Ik ben al jaren liefhebber van Matomo. Maar dan wel op eigen server gezet en binnen het domein, dus voor elke site een verse. Dan blijf je baas van eigen data. Je mag in je eigen data kijken, ook naar IP adressen en geo gegevens (ook lokale db). Verkopen van die data mag dan natuurlijk weer niet. Matomo zet een cookie, maar dat komt dan dus vanaf je eigen domein. Dus dat is ook geen punt. Met de gegevens die Matomo toont kan ik me behoorlijk goed invoelen op de gebruikerservaring. Daarbij, in principe geen irritante cookiemelding meer nodig en ook geen privacy statement.

Het pakket is ook helder bruikbaar genoeg voor klanten. Met name bij laag traffic sites kan het heel nuttige verkoop informatie geven. Als je ziet dat, bijvoorbeeld bij een huizensite, iemand uit Zwolle al tien keer naar één huis heeft gekeken. En altijd maar naar de foto van de tuin. En er belt dan iemand uit Zwolle. Dan weet je al waar je het over moet gaan hebben. De prachtige tuin. Dat mag ook allemaal. Net als wanneer je een winkel hebt, en iemand ziet die al tien keer in je etalage naar een koekpan heeft gekeken. Als die naar binnen loopt weet je dan ook al dat je niet over wasmachines moet beginnen. Ik heb klantjes die erg blij zijn met hun statistiekpakketje op die manier.

Er zullen overigens vast wel meer van die open source pakketten bestaan.
13-01-2022, 13:39 door Anoniem
Goed nieuws, ik zal te beginnen mijn gemeente er nogmaals op attent te maken, zo ze die die troep eindelijk van de site kunnen gaan halen.
13-01-2022, 13:58 door Anoniem
Hulde aan Max
13-01-2022, 14:07 door Anoniem
Merk op dat ook de altijd zo welingelichte Security.NL website onlangs Google Analytics en cookies heeft verwijderd :-)
13-01-2022, 14:27 door Anoniem
Er zijn 2 soorten van Google Analytics, de soort waarbij je Google vertrouwt dat die niks met je site gegevens doet en de soort die dat niet doet. Beide zijn verwerpelijk vanuit de AVG zonder toestemming. De overheid in Nederland (ACM/AP) heeft een slechte rol gespeelt in de voorlichting waarbij werd geclaimd dat het wel mag.
13-01-2022, 16:56 door Anoniem
Het gebruik van google (analytics) is ook in strijd met goed fatsoen. Toch weerhoudt dat heel veel website eigenaren er niet van.
13-01-2022, 17:30 door Samsonait - Bijgewerkt: 13-01-2022, 18:09
Iemand hier die systeembeheerder bij een school is die met ChromeOS werkt? Hoe dekken jullie dit af?
Wordt er onder scholieren die gebruik maken van hun systeem ook Analytics gebruikt? Of in applicaties?

Was ik zo even nieuwschierig naar..
Had dit al wel zelf gevonden, oud artikel
https://tweakers.net/nieuws/185478/google-moet-in-nederland-andere-chromeos-versie-leveren-aan-onderwijs-na-akkoord.html
13-01-2022, 17:31 door Anoniem
Zelf ook al regelmatig mee te maken gehad, als een site waar je gedwongen gebruik van moet maken weer eens Google-analytics gebruikt. Bij klachten altijd het verweer 'ja maar we hebben de privacy vriendelijke instellingen van Google-analytics' wat inhoud dat de site beheerder het laatste octet van het IP adres niet te zien krijgt.
Dat Google wèl het volledig IP adres verwerkt wordt voor het gemak maar even aan voorbij gegaan. En hoe dat bij IPv6 geregeld is komt ook nooit een antwoord op. Blij dat er dankzij NOYB nu eindelijk iets lijkt te gaan gebeuren.
13-01-2022, 17:43 door Anoniem
Door Anoniem: Merk op dat ook de altijd zo welingelichte Security.NL website onlangs Google Analytics en cookies heeft verwijderd :-)

Volgens Webbkoll één cookie op security.nl: https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fsecurity.nl#cookies
13-01-2022, 18:06 door Anoniem
Door Anoniem: De overheid in Nederland (ACM/AP) heeft een slechte rol gespeelt in de voorlichting waarbij werd geclaimd dat het wel mag.
Zie ook de update van de AP:
https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/cookies#hoe-kan-ik-bij-google-analytics-de-privacy-van-mijn-websitebezoekers-beschermen-4898
Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan

De Oostenrijkse privacytoezichthouder rondde in januari 2022 een onderzoek af naar het gebruik van Google Analytics door een Oostenrijkse website. Google Analytics blijkt volgens de Oostenrijkse toezichthouder in dit onderzochte geval niet aan de AVG te voldoen.

De AP onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet.
13-01-2022, 19:27 door Anoniem
Door Anoniem: Het gebruik van google (analytics) is ook in strijd met goed fatsoen. Toch weerhoudt dat heel veel website eigenaren er niet van.

Ja, en als ergens gaat klagen vinden ze je een zuurpruim.

Mooi dat het nu verboden is. Nu nog "hotjar, "google fonts" en dergelijke. Alle geïnjecteerde javascriptcode moet in de ban.
13-01-2022, 19:30 door Anoniem
Door Samsonait: Iemand hier die systeembeheerder bij een school is die met ChromeOS werkt? Hoe dekken jullie dit af?
Wordt er onder scholieren die gebruik maken van hun systeem ook Analytics gebruikt? Of in applicaties?
Nu is het Google Analytics, maar het voornaamste punt is dat er geen adequate beveiliging is voor het doorgeven van persoonsgegevens naar Google Amerika. Dat gaat niet alleen op voor Google Analytics maar voor alle producten. Het maakt dus niet zoveel uit of Chrome OS wel of geen Analytics gebruikt...
13-01-2022, 19:43 door Anoniem
Als die naar binnen loopt weet je dan ook al dat je niet over wasmachines moet beginnen. Ik heb klantjes die erg blij zijn met hun statistiekpakketje op die manier.
Onzin verhaal, normaal vraagt de klant om een product, je kunt hem natuurlijk wel iets anders proberen aan te smeren,
maar als je klanten wil blijven houden lijkt mij dat niet de juiste wijze.

En wat Google doet is gewoon stalken, geen fatsoenlijk mens zal dit doen, zij moeten zich gewoon rot schamen. Maar
ja de maatschappij is nu eenmaal zo, respect voor je medemens bestaat niet meer wel hebberigheid. En de slachtoffers
weten helaas niet beter.
13-01-2022, 20:25 door Anoniem
Heeft security.nl nu echt Google Analytics verwijderd?
13-01-2022, 20:42 door Anoniem
Door Anoniem: Zelf ook al regelmatig mee te maken gehad, als een site waar je gedwongen gebruik van moet maken weer eens Google-analytics gebruikt. Bij klachten altijd het verweer 'ja maar we hebben de privacy vriendelijke instellingen van Google-analytics' wat inhoud dat de site beheerder het laatste octet van het IP adres niet te zien krijgt.
Dat Google wèl het volledig IP adres verwerkt wordt voor het gemak maar even aan voorbij gegaan. En hoe dat bij IPv6 geregeld is komt ook nooit een antwoord op. Blij dat er dankzij NOYB nu eindelijk iets lijkt te gaan gebeuren.

Aanvulling: De ""privacy-vriendelijke"" optie lijkt nuttig maar dat is het totaal niet. Aangezien vaak nog andere diensten van Google op dezelfde site gebruikt worden. Deze verzamelt dan alsnog al jouw data. Aangezien Google alles wat ze verzamelen op één hoop gooien en toevoegen aan jouw (schaduw-)profiel, zoals vaag omschreven staat in hun voorwaarden.

Bedrijven dit duidelijk maken, onbegonnen werk.

PS Nog afgezien van dat je Google sowieso anno nu niet meer zou moeten vertrouwen, al helemaal niet met de data van een ander...
13-01-2022, 20:52 door Briolet
Door Anoniem: Heeft security.nl nu echt Google Analytics verwijderd?

Kijk in je browser, dan weet je het. (-:

Bij ons staat google analytics op de dns blocklist. En omdat het benodigde js script doorgaans vanaf dat domein opgehaald wordt, kunnen sites dit script niet gebruiken bij bezoeken van zo'n site.

Maar goed, als iedereen dat zou blokken, zal google wel vragen om dat script op de site zelf te plaatsen.
14-01-2022, 03:50 door Anoniem
Door Anoniem: Er zijn 2 soorten van Google Analytics, de soort waarbij je Google vertrouwt dat die niks met je site gegevens doet en de soort die dat niet doet.
Zijn dat twee soorten Google Analytics of twee manieren waarop website-eigenaren denken dat het werkt? Ik vermoed het laatste, maar als je bedoelt dat er werkelijk twee soorten Google Analytics bestaan, kan je dan even uitleggen waar je op doelt?
14-01-2022, 05:54 door Anoniem
Door Anoniem: Ik ben al jaren liefhebber van Matomo. Maar dan wel op eigen server gezet en binnen het domein, dus voor elke site een verse. Dan blijf je baas van eigen data. Je mag in je eigen data kijken, ook naar IP adressen en geo gegevens (ook lokale db). Verkopen van die data mag dan natuurlijk weer niet. Matomo zet een cookie, maar dat komt dan dus vanaf je eigen domein. Dus dat is ook geen punt. Met de gegevens die Matomo toont kan ik me behoorlijk goed invoelen op de gebruikerservaring. Daarbij, in principe geen irritante cookiemelding meer nodig en ook geen privacy statement.

Het pakket is ook helder bruikbaar genoeg voor klanten. Met name bij laag traffic sites kan het heel nuttige verkoop informatie geven. Als je ziet dat, bijvoorbeeld bij een huizensite, iemand uit Zwolle al tien keer naar één huis heeft gekeken. En altijd maar naar de foto van de tuin. En er belt dan iemand uit Zwolle. Dan weet je al waar je het over moet gaan hebben. De prachtige tuin. Dat mag ook allemaal. Net als wanneer je een winkel hebt, en iemand ziet die al tien keer in je etalage naar een koekpan heeft gekeken. Als die naar binnen loopt weet je dan ook al dat je niet over wasmachines moet beginnen. Ik heb klantjes die erg blij zijn met hun statistiekpakketje op die manier.
Je verwerkt persoonsgegevens (IP-adressen en locatiegegevens), en denkt dat dat pas onder de AVG valt als je ze zou verkopen, en je denkt dat je er geen privacystatement voor nodig hebt. Je plaatst cookies en gebruikt die om het gedrag van klanten te volgen en daarop te reageren. Dat is, hoe basaal ook van opzet, tracking. Je denkt dat je daar geen toestemming voor hoeft te vragen.

Je maakt jezelf en je "klantjes"[*] dingen wijs die niet kloppen. De wetgeving is veel strenger. Het gaat niet alleen om wat je verkoopt maar ook om wat je er zelf mee doet. Ga je eens in de wet verdiepen voor je een boete krijgt of een schadeclaim van een klant die er een krijgt omdat jij hem helemaal verkeerd hebt voorgelicht.

[*] Als ik een klant van je was en zou weten dat je het denigrerende "klantje" gebruikt om over me te praten dan zou ik heel hard gaan uitkijken naar een aanbieder die meer respect opbrengt voor klanten.
14-01-2022, 08:41 door Anoniem
Door Briolet:
Door Anoniem: Heeft security.nl nu echt Google Analytics verwijderd?

Kijk in je browser, dan weet je het. (-:

Goedemorgen. Zou de redactie van Security.NL soms voorkennis hebben gehad? :-)

Autoriteit Persoonsgegevens wijst op mogelijk verbod Google Analytics
vrijdag 14 januari 2022, 08:09 door Redactie

https://www.security.nl/posting/738272/
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.