Wanneer is een DPIA verplicht volgens de AVG

Toezichthouders tegen Google Analytics. De Oostenrijkse toezichthouder zette de sneeuwbal in gang naar aanleiding van een klacht van de Oostenrijkse Stichting NOYB.

De andere toezichthouders volgden de afgelopen dagen op verschillende wijze de Oostenrijkers. Google zelf maakt overigens vorig jaar al bekend het plan te hebben om met tracking cookies te stoppen.

 

Oostenrijkse toezichthouder: Analytics in strijd met GDPR

De Oostenrijkse privacy waakhond heeft als eerste Europese toezichthouder uitspraak gedaan in een klacht over Google Analytics die NOYB had ingediend..

NOYB is de Stichting van Max Schrems die al eerder er voor zorgde dat het Privacy Shield ongelding werd verklaard. Sindsdien is het overdragen van persoonsgegevens naar de V.S. niet meer mogelijk onder een adekwaatheidsbesluit.

Kort gezegd maakte NOYB in deze zaak bezwaar tegen het feit dat IP-adressen en cookiegegevens van gebruikers door Google naar de VS werden gestuurd.

Het verweer van Google dat de gebruikersgegevens voldoende versleuteld zijn, vond geen grond bij de toezichthouder. De getroffen maatregelen zijn volgens de privacy waakhond onvoldoende om spionage vanuit de V.S. te voorkomen.

Daarmee is de eerste uitspraak over de 101 aanklachten over datatransfer naar de V.S. die NOYB bij verschillende Europese toezichthouders indiende een feit.  En andere toezichthouders volgden: toezichthouders tegen Google Analytics.

 

Noorse waakhond: zoek alternatieven

Toezichthouders tegen Google Analytics. Want ook de Noorse toezichthouder maakte kort na de uitspraak van de Oostenrijkse toezichthouder op basis van een nog lopend onderzoek bekend dat Google Analytics mogelijk illegaal is.

De autoriteit zegt dat het bij zijn oordeel ook kijkt naar de Europese praktijk in zaken die nog lopen. Daarnaast merken zij op dat er nog meer besluiten van andere Europese datawaakhonden aan komen. Daarom doet de privacy waakhond de aanbeveling om op zoek te gaan naar  alternatieven voor Google Analytics.

De Noorse waakhond richt overigens niet alleen zijn pijlen op Analytics: “Het is belangrijk om op te merken dat andere websitetools mogelijk ook persoonlijke informatie naar de VS sturen. Er zijn meer tools die veel meer data verzenden dan Google Analytics. Daarom is het belangrijk dat website-eigenaren een volledig overzicht hebben van welke tools ze gebruiken en welke persoonlijke informatie ze verwerken via de tools.”

 

Franse toezichthouder geeft website manager opdracht te voldoen aan de GDPR

Bij het schrijven van deze blog komt het bericht binnen dat ook de Franse toezichthouder, de CNIL, het standpunt onderstreept. Naar aanleiding van verschillende klachten geeft zij een website manager opdracht om te voldoen aan de GDPR. Door het gebruik van Analytics worden illegaal data naar de V.S. getransporteerd. De manager krijgt de opdracht te voldoen aan de AVG of om helemaal te stoppen met het gebruik van de service.

 

Belgische toezichthouder geeft boete aan online-reclame organisatie IAB

De Belgische toezichthouder GBA maakte begin februari bekend een boete van 250.000 EURO te hebben opgelegd aan de online reclame organisatie IAB.

Het zogenaamde Transparancy and Consent Framework (TFC) van deze organisatie voldoet niet aan de AVG volgens de Belgische toezichthouder. Het TFC is door het IAB ontwikkeld om organisaties die het OpenRTB-protocol gebruiken compliant aan de AVG te laten zijn. Het RTB is één van de meest gebruikte protocollen voor geautomatiseerde, real time veiling van gebruikersprofielen voor aan- en verkoop van advertentieruimte. De GBA ziet het IAB als verwerkingsverantwoordelijke en constateert dat zij in die rol een reeks inbreuken op de AVG maakt.

Het IAB heeft 2 maanden de tijd om corrigerende maatregelen te treffen.

De Belgische toezichthouder trekt het verbod dus breder dan alleen Google Analytics, maar verklaart ook het TFC strijdig met de AVG.

 

In Nederland: waarschuwing en update instructies

De Nederlandse Privacy waakhond ondersteunde de uitspraak van de GBA door begin deze week in het Financieel Dagblad te waarschuwen voor het gebruik van het TFC.

In het artikel gaat de AP nog een stapje verder dan de GBA. De Nederlandse waakhond raadt marktpartijen aan om volledig te stoppen met het volgen van Internetgebruikers.  De AP wijst op het alternatief aan om advertenties gebaseerd op de doelgroep van een website te gebruiken. Dat dit de advertentieomzet niet negatief hoeft te beïnvloeden toonde de Nederlandse Publieke Omroep (NPO) aan. Zij besloten al eerder helemaal te stoppen met het plaatsen van advertentie cookies. Sinds het verlaten het cookiemodel en het omarmen van zogenaamde “contextual targeting” groeide de omzet met gemiddeld 40% t.o.v. voorgaande jaar.

Naast deze uitspraak in het FD heeft de AP ook de tekst op haar website over het privacyvriendelijk instellen van Google Analytics aangepast. In de handleiding vermeldt zij bovenaan dat het gebruik van Google Analytics “mogelijk binnenkort niet is toegestaan”.

Ook in Nederland geldt: Toezichthouder tegen Google Analytics.

 

Wat nu?

Wat zijn de consequenties van deze ontwikkelingen?

Het gebruik van Google Analytics zal binnenkort niet meer mogelijk zijn, tenzij de techreus een oplossing vindt voor de illegale transfer van persoonsgegevens naar de V.S. Tegen de achtergrond van het feit dat Google zelf al aangegeven heeft te willen stoppen met tracking cookies lijkt het onwaarschijnlijk dat zij hier resources in gaat stoppen.

De Oostenrijkse uitspraak heeft niet alleen gevolgen voor Google Analytics, maar ook voor andere tools waarmee persoonsgegevens worden overgedragen naar de V.S. Vorig jaar al heeft één van de Duitse privacy toezichthouders verklaard dat het gebruik van mailchimp, een e-mail marketingdienst, een overtreding van de AVG is. De dienst geeft immers e-mail adressen door aan de V.S..

Wat betreft het gebruik van online realtime veilingen voor advertenties, het TFC is het nog even afwachten. De vraag is af het IAB zoals zij eerder heeft toegezegd er in slaagt om binnen 6 maanden de door de GBA vastgestelde inbreuken op de AVG te herstellen.

 

Hulp nodig bij je cookie en andere privacy vraagstukken? Neem contact met ons op we helpen je graag verder!

Gerelateerd