CNIL zegt “Non” tegen Google Analytics

FAQ van de Franse gegevensautoriteit (CNIL) over het gebruik van Google Analytics

Geplaatst 07-06-22

In Frankijk heeft de lokale autoriteit persoonsgegevens, de CNIL, verschillende organisaties gemaand de regelgeving op basis van de GDPR/AVG na te leven. Dit omdat de overdracht van persoonsgegevens naar de Verenigde Staten onvoldoende garanties voor bescherming van de rechten van de Europese betrokkenen biedt. Wat zijn de gevolgen voor deze en andere organisaties?

De aanleiding

De vragen en antwoorden hebben betrekking op de recent gepubliceerde aanwijzing van CNIL, waarin verschillende organisaties in gebreke zijn gesteld over het gebruik van Google Analytics - na de ongeldigverklaring van Privacy Shield.

In maart 2022 hebben de Europese Commissie en de VS een gezamenlijke verklaring over het opstellen van een toekomstig kader voor de gegevensstromen afgegeven, maar in dit stadium geldt dit slechts als een voornemen. De EDPS heeft op 6 april dan ook gepubliceerd dat deze verklaring geen wettelijk kader biedt voor het doorgeven van gegevens naar de Verenigde Staten waarop organisaties kunnen vertrouwen.

Kortom, wat kunnen we leren van de kennisgeving van CNIL?

Onze samenvatting

Verschillende nationale autoriteiten hebben hun standpunten en beslissingen onderling gecoördineerd en hebben daarom een gedeelde opvatting op dit punt. De antwoorden zijn kraakhelder: rechtmatig gebruik van Google Analytics binnen de EU is praktisch onhaalbaar.

  1. De door Google getroffen aanvullende maatregelen zijn ONVOLDOENDE om de tekortkomingen van Shrems-II te adresseren.
  2. Er is GEEN configuratie-optie binnen Google Analytics waarmee kan worden voorkomen dat persoonsgegevens worden doorgegeven aan de VS.
  3. Er zijn GEEN aanvullende maatregelen denkbaar, waarmee Google Analytics wel rechtmatig ingezet kan worden (afgezien van het inrichten van een proxy-server onder zeer strikte voorwaarden).
  4. Een risicogebaseerde benadering (“Hoe waarschijnlijk is het nou écht dat gegevens van míjn website door Amerikaanse inlichtingendiensten worden opgevraagd?”) is ONTOELAATBAAR onder de AVG.

De context

Op 16 juli 2020 heeft het Hof van Justitie van de Europese Unie een belangrijke uitspraak gedaan: het Privacy Shield, dat de gegevensoverdracht tussen de Europese Unie en de Verenigde Staten regelde, werd ongeldig verklaard omdat het geen passende waarborgen bood tegen het risico van onrechtmatige toegang tot de persoonsgegevens van Europese inwoners door Amerikaanse autoriteiten.

Alleen door het vaststellen van aanvullende technische, juridische en organisatorische beschermingsmaatregelen om dergelijke toegang te voorkomen, zou doorgifte in de praktijk toegestaan zijn.

In augustus 2020 heeft de belangenorganisatie NOYB – European Center for Digital Rights - 101 klachten ingediend bij de verschillende Europese gegevensbeschermingsautoriteiten over websites die doelgroepanalysetool Google Analytics gebruiken, waarvan het moederbedrijf in de Verenigde Staten is gevestigd.

De actie van CNIL

Op 10 februari publiceerde CNIL de aanwijzing die zij stuurde naar één van de organisaties op haar website. Daarbij overwoog zij het volgende:

  • de maatregelen van Google zijn niet voldoende om onrechtmatige toegang tot de gegevens van Europese inwoners uit te sluiten;
  • de gegevens van Europese internetgebruikers worden daarom via de tool illegaal doorgegeven.


In dit overzicht lees je de vertaalde vragen en antwoorden die zijn opgesteld en gepubliceerd door CNIL.

Over de kennisgeving zelf

Waarom is de aanwijzing geanonimiseerd online geplaatst?

Eén van de aanwijzingen over het gebruik van Google Analytics is op 16 februari 2022 anoniem op de website van de CNIL geplaatst.
De beslissing is geanonimiseerd omdat het niet zinvol is één specifieke webbeheerder te noemen, nu de tool juist zeer breed in gebruik is.

Het doel is dat alle verwerkingsverantwoordelijken die deze tool gebruiken, voldoen aan de aanwijzing.
 

Hebben organisaties een deadline om te voldoen?

Aangeschreven organisaties hebben een termijn van één maand om aan de aanwijzing van de CNIL te voldoen en de naleving aan te tonen. De termijn van één maand kan op verzoek van de betrokken instanties worden verlengd.

Alle webbeheerders die Google Analytics op een vergelijkbare manier gebruiken, moeten dit gebruik nu als illegaal beschouwen onder de GDPR/AVG.
Ze moeten kiezen voor een dienstverlener die wel voldoende conformiteitsgaranties biedt.
 

Wordt deze interpretatie van de gevolgen van het "Schrems II"-arrest door de CNIL gedeeld op Europees niveau?

Om beslissingen te harmoniseren en partijen rechtszekerheid te bieden, hebben de Europese autoriteiten waaraan door de NOYB-vereniging (“None of your Business”) klachten over Google Analytics zijn ingediend, zich georganiseerd in een samenwerkingsverband. Dit samenwerkingsverband onderzoekt de juridische kwesties die in deze dossiers aan de orde worden gesteld en werkt aan onderlinge coördinatie van hun standpunten en beslissingen.

De beslissing van de CNIL is dan ook niet de eerste op Europees niveau: een maand voor de CNIL vaardigde de Oostenrijkse gegevensbeschermingsautoriteit in januari een eerste beslissing uit die in dezelfde richting gaat als die van de Franse.

Waarom zijn niet álle klachten van NOYB afgehandeld?

De klachten van de NOYB zijn opgevolgd met een algemeen onderzoek: CNIL heeft de situatie echter geval per geval bekeken en daarbij ook de reacties van de organisaties meegewogen.
Alle organisaties in Frankrijk waarvan NOYB klachten over het gebruik van Google Analytics had ingediend, hebben nu een kennisgeving ontvangen.
 

Effectief privacymanagement?

Lees over onze aanpak voor het eenvoudig en snel opzetten van een beheersysteem voor AVG en Toezicht.

Effectief privacymanagement?

Over het gebruik van de Google Analytics-tool

Kunnen standaardcontractbepalingen en aanvullende garanties het rechtmatig gebruik van Google Analytics mogelijk maken?

Neen.

De aangeschreven organisaties hadden standaardcontractbepalingen met Google opgesteld, die Google standaard aanbiedt aan gebruikers van deze dienst. Deze modelcontractbepalingen kunnen op zichzelf niet een voldoende beschermingsniveau garanderen in geval van een verzoek om toegang door buitenlandse autoriteiten, met name als in deze toegang wordt voorzien door de nationale wetgeving van het betreffende land.

In het antwoord op de vragen van de CNIL gaf Google aan dat het aanvullende juridische, organisatorische en technische maatregelen had genomen. Echter, die werden ontoereikend geacht om de effectieve bescherming van de overgedragen persoonsgegevens te waarborgen, met name tegen verzoeken om gegevensinzage door de Amerikaanse inlichtingendiensten.
 

Is het mogelijk om de Google Analytics-tool zo te configureren dat er geen persoonlijke gegevens worden overgedragen buiten de Europese Unie?

Neen.

In reactie op vragen van CNIL, gaf Google aan dat alle gegevens die via Google Analytics worden verzameld, in de Verenigde Staten worden gehost .

Zelfs als er geen overdracht van persoonsgegevens plaatsvindt, zal het gebruik van diensten van bedrijven die onderworpen zijn aan niet-Europese jurisdicties, problemen opleveren inzake de toegang tot gegevens. Organisaties kunnen namelijk door autoriteiten van derde landen ook worden verplicht om persoonlijke gegevens vrij te geven die worden gehost op servers in de Europese Unie.

Artikel 48 van de AVG beperkt de openbaarmaking van gegevens alleen tot gevallen waarin het verzoekende derde land en de Europese Unie of de betrokken lidstaat partij zijn bij een internationale overeenkomst, die voorziet in dergelijke verstrekkingen.
 

Is het mogelijk om Google Analytics zo in te stellen dat alleen geanonimiseerde gegevens naar de Verenigde Staten worden verzonden?

Als onderdeel van de reactie op de aanwijzing heeft Google aangegeven dat het pseudonimiseringsmaatregelen gebruikt, maar geen anonimisering. Google biedt wel een functie voor het anonimiseren van IP-adressen, maar dit is niet van toepassing op alle overdrachten. Bovendien maakt de door Google verstrekte informatie het niet mogelijk om te bepalen of deze anonimisering al dan niet plaatsvindt vóór de overdracht naar de Verenigde Staten.

Ook kan het uitsluitende gebruik van unieke identifiers om individuen te onderscheiden, helpen om gegevens identificeerbaar te maken, vooral in combinatie met andere informatie zoals browser- en besturingssysteemmetadata. Met deze gegevens kunnen gebruikers nauwkeurig worden gevolgd, in sommige gevallen op meerdere afzonderlijke apparaten.

De EDPS heeft weliswaar in zijn aanbevelingen van 18 juni 2021  aangegeven dat pseudonimisering gebruikt kan worden als aanvullende maatregel bij internationale doorgifte. De toelaatbaarheid ervan is echter onder de voorwaarde dat een analyse wordt uitgevoerd om te waarborgen dat alle doorgegeven informatie op geen enkele manier een heridentificatie van de persoon mogelijk maakt, zelfs als rekening wordt gehouden met de aanzienlijke middelen waarover de inlichtingendiensten beschikken die een dergelijke heridentificatie mogelijk willen uitvoeren.

Ten slotte kan het gebruik van Google Analytics in combinatie met andere Google-services, waaronder marketing, het trackingrisico vergroten. Met deze diensten, die veel worden gebruikt in Frankrijk, kan het IP-adres worden gecontroleerd en kan zo de browsegeschiedenis van de meeste internetgebruikers op een groot aantal sites worden getraceerd.
 

Zou encryptie een passende aanvullende beveiliging kunnen zijn?

Jawel, maar alleen onder bepaalde voorwaarden.

De implementatie van data-encryptie door Google is eerder al geen passende technische maatregel gebleken omdat Google LLC de data zelf versleutelt. Vervolgens heeft ze niet alleen de verplichting heeft om toegang te verschaffen tot de data die in haar bezit is, maar ook tot de encryptiesleutels die nodig zijn om de gegevens leesbaar te maken. Daarmee houdt Google LLC de mogelijkheid om toegang te verschaffen tot de gegevens van natuurlijke personen en kunnen dergelijke technische maatregelen in dit geval niet als effectief worden beschouwd (zie de aanbevelingen van het Europees Comité voor gegevensbescherming over aanvullende maatregelen voor doorgifte, punt 85 ).

Versleuteling biedt dus onvoldoende garanties als de organisatie onderworpen is aan de verzoeken van de Amerikaanse autoriteiten en de persoonsgegevens alsnog kan inzien.
Om encryptie wel als een passende aanvullende maatregel te accepteren, moeten de encryptiesleutels exclusief onder controle zijn van de verwerker of een andere entiteit die gevestigd is in een gebied dat een passend beschermingsniveau biedt (zie de aanbevelingen 01/2020 van het Europees Comité voor gegevensbescherming, punt 84 ).
 

Verschil tussen anonimisering en pseudonimisering

Pseudonimisering is het zodanig verwerken van persoonsgegevens, dat gegevens die betrekking hebben op een natuurlijk persoon niet meer kunnen worden herleid zonder aanvullende informatie. In de praktijk bestaat pseudonimisering uit het vervangen van de direct identificerende gegevens (achternaam, voornaam, etc.) in een dataset door indirect identificerende gegevens (alias, volgnummer, etc.).

Anonimisering houdt in dat een reeks technieken zodanig wordt gebruikt dat in de praktijk elke identificatie van de persoon op welke manier dan ook onomkeerbaar wordt uitgesloten. Geanonimiseerde gegevens vallen niet meer onder de AVG.

Hoe verder?

Zijn er voldoende aanvullende waarborgen om alleen de Google Analytics-tool te blijven gebruiken?

Geen van de aanvullende garanties die aan de CNIL zijn gegeven als onderdeel van de formele kennisgeving, zouden de toegang van Amerikaanse inlichtingendiensten tot de persoonlijke gegevens van Europese gebruikers verhinderen of ondoeltreffend maken wanneer alleen de Google-tool wordt gebruikt.

Er kan echter een oplossing worden overwogen die het mogelijk maakt om een proxyserver (of "  proxy  ") in te schakelen om elk rechtstreeks contact tussen de computer van de internetgebruiker en de servers van het meetinstrument te vermijden. Er moet echter voor worden gezorgd dat deze server aan een reeks criteria voldoet om te kunnen beoordelen of deze aanvullende maatregel in overeenstemming is met wat door de EDPS is bepaald in zijn aanbevelingen van 18 juni 2021.

Is het mogelijk om gegevens door te geven met de uitdrukkelijke toestemming van individuen?

De uitdrukkelijke toestemming van de betrokkenen is een van de mogelijke afwijkingen waarin in bepaalde specifieke gevallen artikel 49 van de AVG voorziet. Zoals aangegeven in de richtsnoeren van het Europees Comité voor gegevensbescherming over deze afwijkingen, kunnen ze echter alleen worden gebruikt voor niet-systematische doorgiften en kunnen ze geen duurzame en langetermijnoplossing vormen; het gebruik van een afwijking mag niet de algemene regel worden.

Hoe kunnen we ervoor zorgen dat instrumenten voor het meten van doelgroepen geen gegevens doorgeven aan een ongepast derde land?

In het geval dat de beoogde tool gegevens doorgeeft buiten de Europese Unie of wanneer het bedrijf dat de tool publiceert economische of organisatorische banden heeft met een moedermaatschappij die is gevestigd in een land, dat de inlichtingendiensten voorziet in een mogelijkheid om toegang te eisen tot persoonsgegevens die zich op het grondgebied van een ander land bevinden, is het noodzakelijk om het juridische kader van het derde land te beoordelen.

Deze beoordeling kan gebaseerd zijn op:

  • de uitspraken van het HvJ-EU of het Europees Hof voor de Rechten van de Mens, die hebben kunnen beoordelen of bepaalde wetgeving voldoet aan de Europese normen op het gebied van gegevensbescherming.
  • de aanbevelingen van de Europese CNIL, die bijvoorbeeld de essentiële waarborgen hebben beschreven die op het gebied van toezicht in het derde land moeten worden gevonden bij de beoordeling van het niveau van gegevensbescherming.

Het kan ook worden overwogen om de proxy-methode te gebruiken, waarmee, wanneer deze goed is geconfigureerd, alleen gepseudonimiseerde gegevens naar een server buiten de Europese Unie kunnen worden verzonden.
 

Kunnen gegevensbeheerders een risicogebaseerde benadering hanteren, rekening houdend met de waarschijnlijkheid van verzoeken om toegang tot gegevens door buitenlandse inlichtingendiensten?

Neen.

Persoonsgegevens die naar een land buiten de Europese Unie worden overgedragen, moeten een beschermingsniveau genieten dat "wezenlijk gelijkwaardig" is aan het niveau dat in de EU wordt gegarandeerd.

Met name de mogelijkheid van onrechtmatige toegang tot persoonsgegevens die verder gaat dan wat nodig en evenredig is in een democratische samenleving door overheidsinstanties, ondermijnt ernstig de fundamentele rechten en vrijheden van betrokkenen.

In het geval dat deze toegang mogelijk is (en niet alleen wanneer toegang waarschijnlijk is) en dat de garanties voor de afgifte van verzoeken om toegang tot gegevens het niet mogelijk maken om een niveau van gegevensbescherming te garanderen dat in wezen gelijkwaardig is aan het niveau dat wordt gegarandeerd in de Europese Unie (zie de EDPS-aanbevelingen over essentiële waarborgen ), is het noodzakelijk aanvullende technische maatregelen te nemen om deze toegang onmogelijk of ondoeltreffend te maken.

Deze maatregelen zijn opgenomen in de aanbevelingen over aanvullende maatregelen bij doorgifte van het Europees Comité voor gegevensbescherming.

Onze belofte

Wat mag je van ons verwachten als je kiest voor TrustBound GRC voor het registreren van je verwerkers?

  1. Meetbaar resultaat binnen enkele weken

    Ons platform werkt als een vliegwiel. Met pasklare templates heb je in korte tijd de basis op orde. Realtime rapportages geven bovendien snel zicht op de grootste risico’s.

  2. Samenwerken wordt vanzelfsprekend

    TrustBound GRC is gericht op samenwerken. Medewerkers uit verschillende teams en disciplines worden verbonden door de eenduidige structuur en gemeenschappelijke doelen.

  3. Je staat er niet alleen voor

    We staan voor je klaar, tijdens de implementatiefase én daarna. Bovendien wordt het TrustBound GRC Platform gedragen door een netwerk van gespecialiseerde Kennispartners, waardoor altijd hoogwaardige kennis beschikbaar is voor inhoudelijke vraagstukken.

  4. Verrassend doordacht

    Wij maken al 20 jaar software om het werk van professionals effectiever en leuker te maken. Niet met een eindeloze rij knoppen en schermen, maar met doordachte functies die verrasssen door eenvoud en bijdragen aan de verbetering van je aanpak.