Thuisbezorgt (Takeaway) heeft dus wel geprobeerd om de data niet naar de VS te sturen, maar is daar niet in geslaagd. Bij het bepalen van het boetebedrag was uiteindelijk die (goede) intentie bepalend; niet het eindresultaat. Een wijze les aan alle privacy professionals die tegen dezelfde juridische problemen aanlopen: Manifesteren werkt! Heel hard wensen dat het allemaal wel mee zal vallen, dat is het enige wat telt.

@Anoniem. Is dit ironie, of probeer je verwarring te zaaien? Thuisbezorgd (Takeaway) is er blijkens bovenstaand bericht wel degelijk in geslaagd om "de" data naar de VS te sturen. Het gaat dan om data die door Google ge-deanonimiseerd kunnen worden (leidend tot her-identificatie van natuurlijke personen).

Van een "goede intentie" van Takeaway kan niet worden gesproken, eerder van "zichzelf in slaap sussen" of "welbewust doen alsof zijn neus bloedt" oftewel: "zich als grote organisatie jaren na inwerkingtreding van de AVG en ook na de door Schrems (Noyb) gevoerde rechtszaken Privacy Harbor (ongeldig verklaard in 2015) en Privacy Shield (ongeldig verklaard in 2020) nog steeds doen alsof men als grote verwerkingsverantwoordelijke volstrekt naïef en onwetend is over doorzending van pesoonsgegevens naar de VS".

Ik heb zelf de algemene (standaard-)voorwaarden van Google in diens hoedanigheid van (sub)verwerker ongeveer vijf jaar geleden gelezen, misschien ongeveer een jaar na inwerkingtreding van de AVG. Op basis van die voorwaarden kon Google met de doorgestuurde gegevens echt alles doen, en in de hele wereld.

Ik heb een dergelijke doorgifte van data via Google als (sub)verwerker naar de VS destijds aan de AP gemeld als onderdeel van een bepaalde klacht (niet over Takeaway maar over een andere organisatie). Dit werd destijds door de AP weggewuifd. Rechters gingen er ook niet op in, maar dat was wellicht deels begrijpelijk omdat het niet het hoofdonderwerp van mijn klacht was, maar deel uitmaakte van mijn argumentatie m.b.t. het ontbreken van een deugdelijke subsidiariteitstoets door de AP. Maar dan nog... de rechters hadden er iets van kunnen en moeten zeggen.

Nu heeft Noyb een klacht ingediend over hetzelfde onderwerp, en die is door de AP niet weggewuifd. Dat is een vooruitgang. Mogelijk is er sprake van voortschrijdend inzicht bij de AP.

Maar waarom heeft de AP hier niet gewoon ook een boete voor uitgedeeld? Het gaat hier niet om een klein winkeltje. Just Eat Takeaway is een multinational die in ongeveer twintig verschillende landen diensten aanbiedt:


Wil de AP géén boete geven aan Takeaway omdat de overkoepelende holding een Nederlands bedrijf is en er al enkele jaren financieel niet florissant voorstaat en de afgelopen jaren bedrijfsonderdelen in sommige landen heeft verkocht? Dat lijkt me niet het gedrag van een onafhankelijke toezichthouder. Een "onafhankelijke" privacy-toezichthouder is er niet om aan multinationals met een hoofdkantoor in Nederland extra bescherming te bieden.

Terecht is er veel kritiek geweest op de manier waarop de Ierse toezichthouder (Data Protection Commissioner) allerlei in Ierland gevestigde bedrijven uit de wind hield en wellicht houdt (bijv. de Europese tak van Facebook). Op deze manier komt men in de EU niet tot geloofwaardige handhaving op privacy-gebied.

M.J.

Ik doe het zo: blokkeer Google Analytics in Firefox met de extensie Google Analytics Blocker.

Als ik nu het privacy statement op hun website bekijk kan ik daar eigenlijk niks mee. Er staat niets over GA. Misschien is het statement al aangepast en/of gebruiken ze Google Analytics (GA) niet meer.
Het zou fijn zijn als er ergens meer details over wat precies niet Ok is wordt gedeeld. Heel veel sites hebben GA, is dat per definitie fout? Of kan dat het wel Ok zijn?

Uit de gelinkte PDF maak ik o.a. op dat:
* Persoonsgegevens waar onder trackingID, screen resolution info, browser/OS/referrer/language info. En nog 7 typen persoonsgegevens die zwartgelakt zijn.
* Destijds GA3 werd gebruikt. Onderzoek van de AP is alleen gericht op GA3. GA3 is niet meer in gebruik.
* Takeaway is controller (verwerkingsverantwoordelijke)
* Tot 27-9-2021 was Takeaway de Exporter en Google in de VS de Importer volgens het standard model contract 'Controller to Processor'. Na 27-9-2021 verliep dit via Google Ireland
* Standard model contracts alleen zijn niet voldoende, extra maatregelen zijn nodig. Want Google is verplicht om data aan de Amerikaanse veiligheidsdiensten af te staan als ze er om vragen.
* De extra maatregelen van Google blijken onvoldoende te zijn. Daarom is Takeaway in overtreding van Art. 44 GDPR
* Takeaway heeft extra maatregelen genomen, waaronder een proxy server in de EER. De rest is zwartgelakt.

Wat is dan de conclusie voor alle sites die GA gebruiken? Dat dit per definitie niet kan tenzij je extra beveiligingsmaatregelen hebt getroffen? Of kun je als gebruiker van GA instellen welke gegevens worden gedeeld met Google? Er was ooit een handleiding (van de AP) hoe je Google zou moeten instellen.
Wat zouden dan beveiligingsmaatregelen zijn die goed genoeg zijn? En is dat überhaupt mogelijk met GA?

Ironisch uiteraard. Het is vrij bijzonder dat zo'n groot IT bedrijf niet zou weten hoe de wet in elkaar steekt. De grens is opgezocht en gepasseerd, maar niet blijkbaar niet ver genoeg voor de AP om een boete uit te schrijven. Je kan bewondering hebben voor de juristen en advocaten van Takeway die recht konden praten wat krom is, maar uiteindelijk zijn de klanten van Takeway - betrokkenen in privacy jaron - de dupe van de privacyschending.


Redelijke kans dat de proxy methode van Takeway/thuisbezorgd deze algemene blokkades juist omzeild omdat het juist niet direct naar Google Analytics servers verstuurd werd. Maar dat is mijn onderbuik gevoel, de details van beide ben ik niet mee bekend.