Waarom Google Analytics in Duitsland wel en in Nederland niet mag van de privacywet

Door Herman Braam, 26 september 2013.

Onlangs viel in webwereld te lezen dat iedereen die Google Analytics in Nederland gebruikt de privacywet overtreedt. Hoewel Duistland een van de strengste privacywetgevingen ter wereld heeft mag het daar wel. Hoe zit dat?


Dat het gebruik van Google Analytics in Nederland strijdig is met de Nederlandse wet valt af te leiden uit de conclusies van het CBP onderzoek naar smart-tv maker TP Vision. De toezichthouder constateerde dat de fabrikant de wet bescherming persoonsgegevens (Wbp) op verschillende manieren overtrad, onder meer door het gebruik van Google Analytics zonder aparte ‘bewerkersovereenkomst’ zoals artikel 14 vereist. In een reactie verklaart het CBP (College Bescherming Persoonsgegevens) dit te zien als een waarschuwing aan alle gebruiker van Google Analytics.

Uit het onderzoek blijkt dat Google Nederland weigert een ‘bewerkersovereenkomst’ voor Google Analytics af te sluiten omdat de  verwerking geen persoonsgegevens zou betreffen. IP-adressen (die door Google Analytics worden verwerkt) worden in de Europese wetgeving echter als persoonsgegevens gezien. Dat geldt ook voor Nederland en dus is de wet bescherming persoonsgegevens gewoon van toepassing. Google zou het afsluiten van een 'bewerkersovereenkomst' dus niet op deze grond moeten weigeren.

Maar hoe zit het nu in Duitsland? In Duitsland heeft Google al in 2011 afspraken gemaakt met privacy toezichthouders over de voorwaarden waaronder het gebruik van Google Analytics voldoet aan de Duitse privacywetgeving. Google Duitsland oordeelt dus terecht dat Google Analytics persoonsgegevens verwerkt en handelt daar ook naar. De gebruiksvoorwaarden zijn aangepast om te voldoen aan de privacywetgeving. Zo biedt Google  in Duitsland bijvoorbeeld de mogelijkheid voor een schriftelijke vastlegging van een "Vertrag zur Auftragsdatenverabeitung”, het Duitse equivalent van onze ‘bewerkersovereenkomst’. In Duitsland is Google dus wel bereid een schriftelijke 'bewerkersovereenkomst' af te sluiten en daarmee lijkt Google geen eenduidig privacybeleid te voeren voor de verschillende Europese lidstaten.

Overigens zitten de Duitse en Nederlandse toezichthouders ook niet helemaal op een lijn. Het anonimiseren van het IP-adres, zoals Google dat mogelijk heeft gemaakt op aandringen van o.a Duitse toezichthouders, lijkt voor het CBP niet voldoende. In het TP Vision rapport stelt het CBP:

De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden.


Nu is het wel zo dat deze uitspraak expliciet in de context van het TP Vision onderzoek is gedaan en dat het CBP onder andere omstandigheden wellicht meer genegen is het Duitse standpunt te volgen.

Omdat zowel de Duitse als de Nederlandse privacywetgeving is gebaseerd op dezelfde Europese richtlijnen zijn de verschillen gering en het onderscheid wordt in de toekomst alleen maar minder met de introductie van de nieuwe Europese privacy verordening. De Duitse aanpak zou naar mijn mening dan ook prima kunnen passen in de Nederlandse context.

Voor gebruikers die Google Analytics willen toepassen zonder de wet te overtreden ligt de oplossing misschien al klaar bij onze oosterburen. Ik verwacht echter dat het nog wel wat tijd zal kosten en met name druk vanuit de toezichthouder en de markt zal vergen, voordat we ook hier van een vergelijkbare regeling gebruik kunnen maken. Het CBP lijkt in ieder geval de druk op te willen voeren en krijgt hiervoor ook meer middelen in handen met het nieuwe wetsvoorstel 'meldplicht datalekken'. Boetes kunnen dan oplopen tot €450.000. TP Vision heeft inmiddels besloten af te zien van verder gebruik van Google Analytics en het aantal bedrijven en organisaties dat zich zorgen maakt neemt toe. Als gebruiker van Google Analytics is het immers jouw verantwoordelijkheid om je aan de wet bescherming persoonsgegevens te houden en kun je je niet verschuilen achter een weigering van Google om een bewerkersovereenkomst af te sluiten. Gezien het grote marktaandeel van Google Analytics is een snelle oplossing waarmee zowel CBP als Google kunnen instemmen zeer gewenst. Als onze oosterburen daar al in zijn geslaagd moet dat toch ook mogelijk zijn in ons polderland.

 

 

Over de auteur: Herman Braam is oprichter en eigenaar van Privyon- online privacy diensten.

Specialist in vraagstukken op het snijvlak van IT en privacy. Helpt organisaties te voldoen aan de wet bescherming persoonsgegevens.
Contact via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken. of LinkedIn.