Data analytics

Google Analytics verboden in steeds meer Europese landen: wat nu?

Wolter Tjeenk Willink van Traffic Builders | Pushing Marketing Boundaries

0 29 juni 2022 om 11:00 5 minuten lezen

Het gebruik van Google Analytics wordt in steeds meer Europese landen aan banden gelegd door privacy-toezichthouders. Na uitspraken in Oostenrijk en Frankrijk, volgt nu ook Italië met een verbod. Maar waarom wordt Google Analytics verboden? In dit artikel meer informatie over wat er gaande is en hoe je je kunt voorbereiden op een mogelijk verbod op Google Analytics in Nederland.

Allereerst wat context. Medio januari deelde ik al dat Google Analytics mogelijk niet toegestaan zou worden wegens overtreding van de Europese privacywetgeving, op grond van de GDPR/AVG. Aanleiding was de uitspraak van de Oostenrijkse privacy-toezichthouder DSB in een door Max Schrems aangespannen rechtszaak tegen een adverteerder. Destijds concludeerde de DSB dat Google Analytics inderdaad in strijd handelt met hoofdstuk V. art. 44 van de GDPR.

Twee belangrijke conclusies

Aan deze uitspraak lagen 2 belangrijke conclusies ten grondslag, namelijk:

Als ‘provider of electronic communication services’ valt Google onder de wetgeving 50 US Code § 1881 (b) (4). Als zodanig staat Google onder toezicht van de Amerikaanse inlichtingendiensten, die Google op grond van 50 US Code § 1881a (“FISA 702”) kunnen verplichten hen toegang tot de data van Google te verschaffen.
De maatregelen die (door de adverteerder) zijn genomen in aanvulling op de Standard Contractual Clauses (SCC) zijn als niet afdoende beoordeeld, omdat deze de mogelijkheid tot monitoring van en toegang tot data door de Amerikaanse inlichtingendiensten niet uitsluit.

Dit oordeel volgt op het ongeldig verklaren van de Safe Harbor- en Privacy Shield-verdragen tussen de Verenigde Staten en Europa. Deze verdragen waren erop gericht striktere regels op te leggen aan Amerikaanse verwerkers van persoonsgegevens, om de verwerking van persoonsgegevens in lijn te brengen met de GDPR. Deze verdragen werden met succes door Max Schrems aangevochten.

Het Trans Atlantic Data Privacy Framework

Eind maart verklaarden Europa en de Verenigde Staten een principeakkoord te hebben bereikt over een nieuw verdrag, het Trans Atlantic Data Privacy Framework. Privacy Shield 2.0, zeg maar. Maar op dit moment heeft dat principeakkoord nog geen juridische status. Met andere woorden, de hierin voorgenomen afspraken zijn nog niet verworden tot wetgeving.

Recenter oordeelden het Duitse Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDi), de Noorse toezichthouder Datatilsynet en het Franse Commission Nationale de l’ Informatique et des Libertés (CNIL) al dat de nu door Google Analytics geboden mogelijkheden om de privacy te borgen niet voldoende zijn om de toegang door Amerikaanse inlichtingendiensten te beschermen. Immers, als je als adverteerder met de benodigde toestemming persoonsgegevens verwerkt, geldt die toestemming uitsluitend voor de expliciet benoemde Verwerkingsverantwoordelijke.

De bezoeker, in de context van de GDRP de Betrokkene genoemd, heeft die toestemming niet verleend aan de Amerikaanse inlichtingendiensten. En zolang zij geen gerechtvaardigd belang hebben om zich toegang te verschaffen tot de persoonsgegevens, is toegang in strijd met de GDPR.

Nóg een reden voor een verbod

Op 24 juni 2022 liet de Italiaanse privacy-toezichthouder Garante per la Protezione dei Dati Personali (GPDP) weten nóg een reden te zien om het gebruik van Google Analytics te verbieden. Zij stelt namelijk dat IP-adressen, die als persoonsgegeven worden beschouwd, niet standaard worden geanonimiseerd.

Google Analytics, en zeker Google Analytics 4, bieden weliswaar veel mogelijkheden om de privacy van bezoekers te borgen, waaronder IP-anonimisatie. Maar, zo stelt de GPDP, Google heeft óók de mogelijkheid om deze geanonimiseerde IP-adressen te verrijken met andere informatie. Hierdoor zouden deze alsnog herleidbaar zijn naar een natuurlijk identificeerbaar persoon.

Recente uitspraken

Zowel de Franse als de Italiaanse privacy-toezichthouders hebben de aangeklaagde bedrijven nu respectievelijk 60 en 90 dagen de tijd gegeven om alsnog aan de privacywetgeving te voldoen. Het Italiaanse GPDP gaat nog een stap verder. Het stelt dat alle publieke en particuliere website-eigenaren in Italië die Google Analytics gebruiken, uiteindelijk moeten stoppen met het gebruik van Google Analytics. NB: het oordeel van de Italiaanse privacytoezichthouder is gebaseerd op een casus waarin een bedrijf de verouderde versie van Google Analytics ‘Universal Analytics’ gebruikte. De uitspraak heeft in beginsel dus géén betrekking op het nieuwe platform Google Analytics 4, die veel meer privacy controls biedt.

Uit het persbericht:

De Italiaanse toezichthouder roept alle voor de verwerking verantwoordelijken op om na te gaan of het gebruik van cookies en andere trackinginstrumenten op hun websites in overeenstemming is met de wetgeving inzake gegevensbescherming

Status verbod Google Analytics in Nederland

In Nederland is de Autoriteit Persoonsgegevens haar oordeel aan het vormen. Het onderzoek op basis van eveneens door Max Schrems ingediende klachten is inmiddels afgerond. De uitspraak wordt in de loop van het jaar verwacht, zo wordt door de AP aangegeven.

Gelet op het feit dat de privacy-toezichthouders één lijn lijken te trekken in de veroordeling van Google Analytics, zou de uitspraak zo maar eens kunnen tegenvallen.

Hoe bereid je je voor op een verbod op Google Analytics?

Maar hoe kun je je nu goed voorbereiden op een verbod op Google Analytics? Wat zijn de alternatieven? Ik zet enkele mogelijkheden op een rij:

Niets doen/afwachten
Voorbereidende maatregelen nemen om GA4 in lijn met de geldende richtlijnen te implementeren
Een alternatieve datacollectie methode/-tooling implementeren naast Google Analytics, zodat je relatief snel kunt switchen zodra nodig
Volledig switchen naar een andere tool die data niet buiten de EU verwerkt én niet Amerikaans is

Niets doen of afwachten lijkt steeds minder een reële optie te zijn. Kleinere organisaties die minder onder het vergrootglas van de Autoriteit Persoonsgegevens liggen, lopen naar verwachting niet direct het risico op boetes. Maar als er daadwerkelijk een verbod wordt afgekondigd, is juridisch gezien natuurlijk wél sprake van een overtreding, en dus van een risico.

Voor grotere organisaties en bedrijven die met bijzondere persoonsgegevens werken ligt dit uiteraard anders. Niet alleen omdat het risico op controle groter is, maar ook omdat mogelijke boetes zeer fors zijn. Ook het risico op reputatieschade mag niet worden onderschat.

Switchen naar Google Analytics 4 (GA4)

Daarom adviseer ik om enerzijds de overstap te maken van de oude ‘Universal Analytics’ versie van Google Analytics naar GA4. Daarnaast is het van belang om GA4 in technische zin zo goed mogelijk in te richten. Dit gaat verder dan het simpelweg configureren van de privacy controls die GA4 biedt.

Tot slot is het raadzaam om een alternatieve analyticstool van Europese bodem te implementeren, naast Google Analytics 4. Daarmee kun je relatief snel en eenvoudig de schakel omzetten zodra er daadwerkelijk sprake is van een verbod op Google Analytics in Nederland.

Volledig overstappen naar een andere tool is nu niet te adviseren, omdat de kosten die daarmee gemoeid gaan veel verder reiken dan de feitelijke implementatiekosten of licentiekosten van zo’n tool alleen. Je hebt immers ook te maken met onder andere verlies van data, het ontbreken van koppelingen tussen bijvoorbeeld advertising-systemen en analytics die andere softwareleveranciers simpelweg niet hebben.

En dus ook met verslechtering van inzichten en daardoor mogelijk minder rendabele campagnes. NB: uit analyses die we voor een enkele grotere opdrachtgever hebben gedaan, kwamen de geschatte kosten van een volledige switch op circa 3 miljoen euro uit.

Het bekrachtigen van het Trans Atlantic Data Privacy Framework

Uiteindelijk blijft het de afweging tussen de implementatie- en mogelijke desinvesteringskosten en de risico’s, zoals de boetes. Boetes die in dat geval in theorie overigens kunnen oplopen tot 4% van de wereldwijde jaaromzet van een concern, tot maximaal 20 miljoen euro. Dan hebben we het niet over het doorgeven van een bezoekers-ID uiteraard, maar over veel verdergaande datalekken met serieuzere gevolgen voor de privacy van grote aantallen natuurlijke personen.

Daar is in de praktijk niet heel snel sprake van. In dat opzicht wordt het ook tijd dat men werk maakt van het bekrachtigen van het Trans Atlantic Data Privacy Framework. Want hoeveel waarde ik ook hecht aan mijn privacy, de recente uitspraken beginnen steeds meer te lijken op een Europese hetze tegen techgigant Google, dan op een kruistocht voor de privacy van Europeanen.

Heb je nog vragen? Laat het weten in de comments.

Lees 12 reacties

Over de auteur

Wolter Tjeenk Willink van Traffic Builders | Pushing Marketing Boundaries

Wolter Tjeenk Willink is oprichter van full funnel digital marketingbureau Traffic Builders. Met ruim 20 jaar ervaring en expertise op het gebied van digital strategie, display, SEA, SEO, webanalytics en conversie-optimalisatie, is Wolter Tjeenk Willink één van de meest toonaangevende digital marketeers van Nederland.

8 artikelen Meer over Wolter Tjeenk Willink

Lees meer over Data analytics

Data analytics

Fw+ NieuwsAlert Ontvang direct een e-mailalert als een nieuw artikel over Data analytics wordt gepubliceerd. Het door u ingevulde e-mail adres is niet correct.

Google Analytics

Fw+ NieuwsAlert Ontvang direct een e-mailalert als een nieuw artikel over Google Analytics wordt gepubliceerd. Het door u ingevulde e-mail adres is niet correct.

Privacy

Fw+ NieuwsAlert Ontvang direct een e-mailalert als een nieuw artikel over Privacy wordt gepubliceerd. Het door u ingevulde e-mail adres is niet correct.

Wetgeving

Fw+ NieuwsAlert Ontvang direct een e-mailalert als een nieuw artikel over Wetgeving wordt gepubliceerd. Het door u ingevulde e-mail adres is niet correct.

AVG GDPR Google Analytics 4 Privacywetgeving

Reacties (12)

Reactie annuleren

Niek Benedictus

29 juni 2022 om 11:54

Verhelderend artikel. Wat ik me nog afvraag is welke persoonsgegevens deze kwestie nu precies behelst. Geaggregeerde bezoekersdata die je in GA verzamelt zijn immers anoniem – mits IP tracking is uitgeschakeld natuurlijk. Gaat het dan om gegevens als locatie? Of draait het vooral om het punt dat Amerikaanse inlichtendiensten een achterdeur hebben tot je data?

0 likes

reageer

Wolter Tjeenk Willink

29 juni 2022 om 14:01

hi Niek,
Dank voor je reactie. Het gaat in verschillende uitspraken om verschillende invalshoeken. Maar onder ‘persoonsgegevens’ dient hier alles te worden verstaan wat in de GDPR/AVG wetgeving als persoonsgegeven wordt gezien. Dan gaat het dus idd niet om bijv. NAWTE gegevens (want die zou je niet opslaan in GA lijkt me), maar bijvoorbeeld op IP-adressen, andersoortige ID’s, etc. Daarbij gaat het erom dat de gegevens in de keten van verwerking herleidbaar zouden zijn naar een natuurlijk identificeerbaar persoon en dus niet de vraag of jij als adverteerder/website-eigenaar weet wie er achter IP adres XYZ zit.
De rode draad in alle uitspraken is als volgt:
1. Belangrijkste is de mogelijke toegang tot persoonsgegevens (zoals inderdaad een IP-adres) zonder voorafgaande toestemming door Betrokkenen door de Amerikaanse federale inlichtingendiensten. Dit is een mogelijkheid die eenvoudigweg bestaat o.b.v. Amerikaanse wetgeving. Bovendien bestaat de angst dat toegang ongericht verstrekt wordt, dus uitsluitend in bijvoorbeeld de context van een justitieel onderzoek naar specifieke personen.
De mogelijke ‘oplossing’ hiervoor is tweeledig. Enerzijds kan je als website-eigenaar denken aan het vooraf verkrijgen van deze toestemming namens de federale inlichtingendiensten. Niet onmogelijk (denk ik), maar dat ligt juridisch complex.
Anderzijds is een oplossing het beperken en procesmatig reguleren van hoe en wanneer deze toegang kan worden verkregen. Dat is nu juist onderdeel van het nieuwe verdrag tussen de VS en de EU, wat nog niet van kracht is. Hiermee zou weliswaar niet worden voldaan aan de toestemmingsvereiste, maar wél één van de uitzonderingsgronden, nl. het hebben van een gerechtvaardigd belang (benoemd in art. 49 AVG). De regels en procedures zijn er dus op gericht de rechtvaardigheid van een vermeend belang onafhankelijk te toetsen en daarmee naleving van de GDPR te borgen.
2. Het gaat hier niet om geaggregeerde gegevens die per definitie niet herleidbaar zijn, maar om IP-adressen – al dan niet geanonimiseerd – en in beperktere mate andere persoonsgegevens. Maar dit laatste is primair afhankelijk van hoe je GA implementeert en welke variabelen je vastlegt als website-eigenaar.
Belangrijk om te weten is dat het niet uitsluitend hoeft te gaan om gegevens die op zichzelf staand herleidbaar zijn naar een natuurlijk identificeerbaar persoon. Het kan ook zijn dat gegevens in combinatie met elkaar herleidbaar zijn naar een natuurlijk identificeerbaar persoon (denk aan unieke combinaties van browser gegevens, gegevens over je besturingssysteem, grafische kaart, etc.). Dit wordt ook wel digital finger printing genoemd.

Voor jou als website-eigenaar is dat vrijwel ondoenlijk en in de meeste gevallen niet eens interessant vanuit commercieel perspectief. Echter is het zo dat Google als tech. reus natuurlijk veel meer data van jou heeft, bijvoorbeeld o.b.v. je Google account. Voor hen is dit veel makkelijker te doen o.b.v. de schaalgrootte en bovendien ook commercieel interessant vanwege het advertising verdienmodel. Dáár zien de privacy toezichthouders sowieso een risico. Immers, de persoonsgegevens zijn in dat geval weliswaar geanonimiseerd door jou als website-eigenaar, maar in de keten van verwerking nog altijd herleidbaar.

Eerlijkheidshalve weet ik niet in hoeverre je je dan op het standpunt zou kunnen stellen dat wanneer Google in staat is deze gegevens te herleiden o.b.v. aanvullende, eigen data, deze data alsnog verkregen zal zijn mét toestemming van de desbetreffende Betrokkene. Deze toestemming wordt immers verkregen bij het aanmaken van een account, gebruik van een Google-service, etc. Juist dit soort omstandigheden maken de casus complex.
Mijn persoonlijke mening is dat, hoezeer ik ook op mijn privacy gesteld ben, de discussie en uitspraken door de privacy instanties tot noch toe het oorspronkelijk doel van de GDPR voorbij schieten. Want ja, toegang door de Amerikaanse inlichtingendiensten is theoretisch mogelijk en ja, ook ik vind het niet OK als dat ongericht zou gebeuren. Tegelijkertijd; het gaat om een overheidsinstantie. Niet een adverteerder die mij vervolgens tot in den treure achtervolgd met zogenaamd gerichte aanbiedingen. Wellicht naïef, maar ik heb niets te verbergen.

0 likes

reageer
Henry

29 juni 2022 om 14:27

@Niek

GA4 verzamelt geen geaggregeerde bezoekersdata. GA4 verzamelt bezoekersdata en geeft deze geaggregeerd weer. Maar de GA4-database staat gewoon vol rauwe data. Dit zijn voor GA4 (in tegenstelling tot UA) geen IP-addressen, maar wel unieke online identifiers (die heeft GA4 o.a. nodig om het aantal gebruikers te tellen en terugkerende sessies meten). En online identifiers zijn ook gewoon een persoonsgegeven.

Het probleem is overigens niet dát GA4 persoonsgegevens verzamelt. (Immers, volgens de AVG mag je dat gewoon verzamelen mits je aan de voorwaarden voldoet.) Het probleem is dat de data opgeslagen staat bij een bedrijf dat verplicht is om (op verzoek) data af te staan aan de Amerikaanse inlichtingendiensten.

@Wolter

“Daarnaast is het van belang om GA4 in technische zin zo goed mogelijk in te richten. Dit gaat verder dan het simpelweg configureren van de privacy controls die GA4 biedt.”

Ik had hier graag nog uitleg of een verwijzing gezien naar een artikel dat uitlegt wat die extra configuratie dan precies inhoud! 😊

0 likes

reageer
Wolter Tjeenk Willink

29 juni 2022 om 15:16

@Henry dank voor je reactie. Begrijpelijke vraag, maar eerlijkheidshalve is dit nog in onderzoek. Punt is dat de meest recente uitspraken allemaal gaan over Universal Analytics, terwijl in de conclusies wordt gesproken over ‘Google Analytics’, ogenschijnlijk zonder rekening te houden met cruciale verschillen in technisch opzicht tussen Universal Analytics en GA4. Er zijn in theorie wel verschillende oplossingsrichtingen.

Zo is er een mogelijkheid om in plaats van pseudonimisering volledige anonimisering toe te passen met behulp van proxies. Ook encryptie is een mogelijkheid, maar die oplossing zou betekenen dat ook de encryptiesleutels niet in handen dienen te zijn van Google zelf, maar van een partij die valt onder de GDPR zonder het risico dat encryptiesleutels worden opgevraagd door een federale inlichtingendienst (immers; dan heeft encryptie geen zin). Voor adverteerders/website-eigenaren zelf is dat praktisch onmogelijk.

We zijn dus nog vooral zoekende. En wellicht nog meer ‘hopende’; hopend op een tijdige implementatie van het nieuwe verdrag, aankondiging van een gedoogperiode in de aanloop daar naar toe (onwaarschijnlijk), volledige anonimisering i.p.v. pseudonimisering van data door Google zelf, of afsplitsing van Google in een Europese entiteit zonder Alphabet als moedermaatschappij.

Veel andere mogelijkheden binnen handbereik van jou en mij als website-eigenaar/adverteerder zijn er vrees ik niet. Maar in dezen heb ik graag ongelijk.

0 likes

reageer

Iris Wagenaar

30 juni 2022 om 8:39

Handig, bedankt! Ik vroeg me nog wel wat af: welke Europese alternatieven zijn er dan? Heb je een tip?

0 likes

reageer

Wolter Tjeenk Willink

30 juni 2022 om 9:08

Hi Iris,

Dank voor je bericht. Ja er zijn zeer veel alternatieven, elk met hun eigen voor- en nadelen. De nadelen zitten met name op het vlak van gebruiksvriendelijkheid (wat ook deels gewenning is) van de interfaces en rapportages/dashboards en vaak gebrek aan ‘out of the box’ integratiemogelijkheden of zelfs een API. Denk hierbij bijvoorbeeld aan de integratie tussen Google Analytics en Google Ads die bij Google ‘native’ is.

Veel genoemde alternatieven op dit moment zijn bijv. de gratis variant van Piwik (nu Matomo) en de betaalde versie Piwik Pro. Maar er zijn natuurlijk veel meer alternatieven. De Franse privacy waakhond CNIL heeft een niet uitputtende lijst gepubliceerd van analytics tools die zij hebben getoetst op: https://www.cnil.fr/fr/cookies-et-autres-traceurs/regles/cookies-solutions-pour-les-outils-de-mesure-daudience. Nu is mijn Frans vrij roestig, maar Google Translate doet wonderen.

Elke situatie vraagt echter om een mogelijk andere oplossing, dus laat je vooral adviseren door een specialist als je er zelf niet uitkomt.

0 likes

reageer

Adriaan Boot

30 juni 2022 om 11:34

Goed artikel, thanks! De privacy-vriendelijkheid van GA4 maakt van mij een fan. Hopelijk maakt dit Google Analytics écht future-proof.

Iets anders waar ik benieuwd naar ben, is het gebruik van regionale servers bij het opslaan van de GA4-data. Volgens Google gebeurt alles op het gebied van IP-lookups op EU-based servers (https://support.google.com/analytics/answer/12017362?hl=en). Zou dit genoeg zijn om de privacy-waakhonden tevreden te stellen? Of moet Google nog meer EU-based oplossingen realiseren voor EU-gebruikers?

Daarnaast ben ik benieuwd naar je mening over het implementeren van andere identifiers naast IP-adressen. Identifiers zoals user_id, maar ook transaction_id zijn ook identifiers die kunnen herleiden tot een individueel persoon. Ik vraag me af of een consent voldoende is, of dat de data met die identifiers ook alleen op EU-servers opgeslagen zou mogen worden.

0 likes

reageer

Wolter Tjeenk Willink

30 juni 2022 om 12:25

Hi Adriaan,

Dank voor je reactie. Dat de data in de EU wordt opgeslagen is mooi en een verbetering t.o.v. Universal Analytics, maar in het licht van een dreigend verbod op het gebruik van Google Analytics niet relevant. Immers, die uitspraak draait primair om het feit dat Google als Amerikaans bedrijf wordt getypeerd als ‘provider of electrionic communication services’, met als gevolg dat de Amerikaanse inlichtingendiensten zich toegang kunnen verschaffen tot persoonsgegevens. Iets waarvoor op dat moment géén toestemming is gegeven door de Betrokkene.

Voor wat betreft de andere identifiers die je noemt geldt inderdaad dat deze worden beschouwd als persoonsgegeven, omdat ze in de keten van verwerking afzonderlijk of in combinatie met elkaar herleidbaar zijn naar een natuurlijk identificeerbaar persoon. De toestemmingsvereiste is daar dus sowieso op van toepassing. Zouden deze deze gegevens worden verzameld via een verwerker (in dit geval dus Google als bedrijf achter GA) die wél onder de Europese GDPR wetgeving valt, dan is er weinig aan de hand. Ook hiervoor geldt dus dat het fijn is dat deze gegevens in de EU (of in geval van GA4 soms helemaal niet) worden opgeslagen, maar daar draaien de recente uitspraken niet primair om.

Andersom geldt wel dat wanneer de data buiten de EU zou worden verwerkt, dat een extra probleem in de context van de GDPR met zich zou meebrengen. Feitelijk heb je dan de situatie zoals nu met Universal Analytics het geval is, waarop alle cases tot noch toe ook zijn gebaseerd.

0 likes

reageer

Marieke

14 augustus 2022 om 19:42

Bedankt voor dit artikel. Heel prettig!
Ik zie dat je spreekt over overstapkosten van Google analytics naar een alternatief van 3 miljoen. Dat is erg fors. Betrof dit grote multi-nationals. Hoe is tot die kosten gekomen, en, waarom zo hoog?

0 likes

reageer

Wolter Tjeenk Willink

14 augustus 2022 om 21:08

Hi Marieke,

Dank voor je reactie. Die overstapkosten zijn idd erg fors. Voor vewl partijen zal het financiele plaatje er echt wel anders uitzien. Maar het geeft aan dat je een dergelijke switch niet moet onderschatten. Denk dus niet alleen aan de kosten van de implementatie van een nieuwe analytics tool, want die vormen eigenlijk in de casus waar ik aan refereer maar een zeer klein deel.
Denk vooral aan kosten voor:
– herontwikkeling van allerlei API koppelingen die GA data gebruiken
– tooling benodigd om ad spend kosten (zoals Google Ads) te integreren met analytics data
– allerlei custom software en BI die deels herontwikkeld moet worden
– herontwikkeling van dashboards
– samenvoegen van analytics data uit GA en het nieuwe platform in één database op zinnige wijze
– trainingskosten tbv gebruik van de nieuwe tool
– afschrijving/desinvesteringen mbt reeds ontwikkelde software
– schatting m.b.t. de kosten voor (tijdelijk) minder effectieve mediaaansturing en campagneautomatisering
– etcetera.

De kosten zitten dus niet in de aanschaf of implementatie van een nieuw platform, maar vooral in de consequenties van zo’n switch.

Hopelijk heb je er wat aan.

Overigens zijn deze kosten destijds niet door ons becijferd, maar door de partij in kwestie zelf.

0 likes

reageer

Bas

4 november 2022 om 13:43

hi Wolter,

En als we dit nou eens doortrekken naar andere Google Producten?

Youtube video’s kun je al alleen embedden als je toestemming hebt voor het plaatsen van marketing cookies, maar ook dan worden gegevens opgeslagen in de US. Ook “strafbaar” straks? Of Google Fonts?

En wat te denken van andere “thirth party” scripts die vaak ge-include worden in website en (ook vaak) een oorsprong hebben in de USA? Downloaden van een script vereist ook een IP (dat in de logs komt).

Maar werkt het internet niet gewoon zo? Dat is toch allemaal gebaseerd op IP adressen, met alles wat we doen? En dat komt toch altijd in de server access logs? We slaan echt door nu.

0 likes

reageer

Wolter Tjeenk Willink

4 november 2022 om 13:54

Hi Bas,

Dat is precies het punt; je kan/moet dit niet alleen doortrekken naar andere Google producten, maar zelfs naar alle andere services van Amerikaanse partijen die onder de definitie van ‘provider of electronic communication services’ vallen.

Inmiddels zijn we een goede 4 maanden verder sinds de publicatiedatum van deze post en is er weer e.e.a. gewijzigd. Zo heeft de Amerikaanse president Joe Biden een decreet getekend waarin staat dat de privacy van Europeanen beter beschermd moet worden tegen eventueel misbruik door inlichtingendiensten. Het is nu aan de Europese Commissie om te bepalen of het pact voldoet aan de eisen. Zie o.a. https://www.whitehouse.gov/briefing-room/statements-releases/2022/10/07/fact-sheet-president-biden-signs-executive-order-to-implement-the-european-union-u-s-data-privacy-framework/

Als dit voldoet naar het oordeel van de EC, is er feitelijk een vervangend verdrag voor wat eerst Safe Harbor en later Privacy Shield was. Op dat moment is de kou – in elk geval voorlopig – uit de lucht.

0 likes

reageer

Er zijn geen resultaten gevonden voor "{{search_query}}"

Bedoelde je misschien:

{{filter.name}}

Er zijn geen resultaten gevonden voor "{{search_query}}"

Bedoelde je misschien:

{{filter.name}}

Google Analytics verboden in steeds meer Europese landen: wat nu?

Agenda

Reactie annuleren

Er zijn geen resultaten gevonden voor "{{search_query}}"

Bedoelde je misschien:

Er zijn geen resultaten gevonden voor "{{search_query}}"

Bedoelde je misschien:

{{filter.name}}

Twee belangrijke conclusies

Het Trans Atlantic Data Privacy Framework

Nóg een reden voor een verbod

Recente uitspraken

Status verbod Google Analytics in Nederland

Hoe bereid je je voor op een verbod op Google Analytics?

Switchen naar Google Analytics 4 (GA4)

Het bekrachtigen van het Trans Atlantic Data Privacy Framework

Over de auteur

Agenda

Welkom