Schreeuw het van de daken, Google Analytics is verboden in Italië! De tool waarmee bedrijven de activiteit en het verkeer van websitebezoekers kunnen volgen voor marketingdoeleinden zoals SEO, SEA en Social media marketing is niet langer beschikbaar in het land. De gegevensbeschermingsautoriteit van het land heeft besloten dat de overdracht van gegevens van de dienst naar servers in de Verenigde Staten in strijd is met de regels van de Algemene Verordening Gegevensbescherming (AVG), met name de internationale overdracht van gebruikersgegevens. Moeten we maatregelen treffen in Nederland óf valt het voor ons allemaal nog wel een beetje mee?
De beslissing volgt op een aantal gevallen met klachten over het gebrek aan informatiebeveiliging bij het verwerken van de gegevens naar de Amerikaanse servers van Google. In deze gevallen bleek dat Google de IP-adressen van websitebezoekers, mogelijk geïdentificeerd door andere informatie die het bedrijf verzamelt, niet anonimiseert. Met Google Analytics kunnen beheerders volgen wat bezoekers doen op de betreffende website. Dit wordt op een manier gedaan die de identiteit van de bezoeker niet onthult.
De functies zelf kunnen compatibel zijn met elke andere analyseservices, maar niet voldoende voor Google, die gegevens van over het hele internet in hun systeem verzamelt via zijn advertentienetwerken, apps en Cloud services. Het probleem met Google toegang tot het IP-adres is dat het kan worden gekoppeld aan de verkregen gegevens van Google en eventueel de eindgebruiker kan identificeren. Het is duidelijk dat Google dergelijke problemen zal blijven behouden, totdat de VS geen strengere wetten accepteert met betrekking tot het federale gegevens privacy beleid, zoals de AVG. De klacht in kwestie ging met name over het Italiaanse bedrijf “Caffeina Media s.r.l.”. Het bleek dat de gegevens die door het gebruik van cookies werden overgedragen, informatie bevatten zoals het IP-adres van het apparaat van de gebruiker, informatie over de browser, het besturingssysteem, de gekozen taal, evenals de datum en tijd van het paginabezoek.
De klacht in kwestie ging met name over het Italiaanse bedrijf “Caffeina Media s.r.l.”. Het bleek dat de gegevens die door het gebruik van cookies werden overgedragen, informatie bevatten zoals het IP-adres van het apparaat van de gebruiker, informatie over de browser, het besturingssysteem, de gekozen taal, evenals de datum en tijd van het paginabezoek. Het definitieve bevel van de autoriteiten was dat het Italiaanse bedrijf uiterlijk 90 dagen stopte met het gebruik van Google Analytics-services, wat betekent dat andere bedrijven in het land hetzelfde moeten volgen. Als aanvulling op het oordeel van de Italiaanse autoriteiten zullen er aanvullende “ad-hoc” inspecties van websites in het hele land plaatsvinden.
Waar de volledige verantwoordelijkheid ligt, of dit nu Google of het Italiaanse bedrijf Caffeina is, is nog lastig te zeggen. Het houdt in dat er een managementprobleem kan zijn van de kant van het bedrijf bij het afhandelen van de taak. Wat de Italiaanse DPA in feite als een probleem beschouwt, is dat Google de IP-adressen van gebruikers niet volledig anonimiseert, alleen door “pseudonimisering” door een deel van het adres te maskeren dat niet voldoende is. Aan de andere kant kunnen andere bedrijven nauwelijks concurreren met Google in wat zij aanbieden. Hoewel sommigen van hen vergelijkbare gegevensverzamelingscapaciteiten hebben, kan geen van hen concurreren met Google Analytics en hun vermogen om gegevens over verschillende landen over te dragen.
Het is vooralsnog onbekend of Nederland zal volgen. De laatste tijd maken steeds meer landen zich zorgen over de veiligheid van het gebruik van Google Analytics. Andere Europese landen zoals Oostenrijk en Frankrijk hebben het gebruik van de tool verboden. Nadat in Nederland onderzoek was gedaan naar twee mogelijk betrokken websites, uitte de privacy verantwoordelijke zijn bezorgdheid dat Google Analytics in Nederland voor problemen zou zorgen. Het onderzoek is afgerond, maar er zijn nog geen conclusies gedeeld. De resultaten zijn inmiddels bekend bij de afdeling Handhaving, maar AP stelt dat het nog te vroeg is om conclusies te trekken.
Een mogelijk verbod op Google Analytics zou veel bedrijven, namelijk digitale en e-commercebedrijven, enorm beïnvloeden. Google heeft inmiddels aangekondigd dat het aanpassingen gaat doen aan Google Analytics. Het bedrijf heeft erop gewezen dat bedrijven zelf verantwoordelijk zijn voor de keuze van de gegevens die ze via de tool registreren en hoe daarmee verder wordt omgegaan.