Pagina inhoud

    Breaking news: Google Analytics in strijd met AVG!

    De onvermoeibare strijder voor de bescherming van onze privacy, de Oostenrijker Max Schrems, oprichter en ‘member of the executive board’ van ‘None Of Your Business‘, heeft op 12 januari 2022 een opzienbarende overwinning behaald op Google. In een klachtprocedure bij de Oostenrijkse versie van de Autoriteit Persoonsgegevens, de ‘Datenschutzbehörde’ (DSB niet te verwarren met de Nederlandse gefailleerde bank), over Google Analytics heeft de DSB Schrems in het gelijk gesteld. Dit gaat een enorme impact hebben op alle gebruikers van Google Analytics in de EU. Maar de gevolgen strekken zich uit tot alle techbedrijven die gevestigd zijn in de US.

    Beslissing van Hof van Justitie EU d.d. 16 juli 2020 (Schrems II)

    De beslissing van de Oostenrijkse DSB vloeit voort uit een eerdere beslissing van het HvJEU van 16 juli 2020 (Schrems II). Die kwestie draaide om de uitleg en de geldigheid van uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46 betreffende de effectiviteit van de door het EU-VS-privacyschild geboden bescherming (PB 2016, L 207, blz. 1, met rectificatie in PB 2018, L 262, blz. 90; hierna: „privacyschildbesluit”). Zie ook de pagina Algemene Verordening Gegevensbescherming (AVG).

    Doorgifte data aan landen buiten de EU

    In de kern gaat dit om de vraag, of de privacy van burgers in de EU voldoende beschermd is tegen doorgifte van hun data aan de overheid van de Verenigde Staten. Veel van de grote techbedrijven, zoals Google, Facebook, Amazon, Apple, Microsoft, Mailchimp enzovoort, hebben hun hoofdkantoor in de US. Op basis van lokale wetgeving moeten zij de Amerikaanse overheid toegang geven tot de gegevens die zij verwerken, waaronder ook de gegevens van burgers in de EU. Zodoende is de privacy van de burgers van de EU niet beschermd tegen de datahonger van de Amerikaanse overheid, waaronder ook Diensten zoals de NSA, de CIA en de FBI. De Amerikaanse overheid bekijkt dit vanuit haar eigen veiligheidswetgeving.

    Het HvJ EU besliste in Schrems II voor recht:

    “1. Artikel 2, leden 1 en 2, van de AVG moeten aldus worden uitgelegd, dat de doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde marktdeelnemer aan een andere, in een derde land gevestigde marktdeelnemer binnen de werkingssfeer van deze verordening valt, ook al kunnen deze gegevens tijdens of na die doorgifte door de autoriteiten van het betrokken derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en de veiligheid van de staat.

    2. Artikel 46, lid 1 en lid 2, onder c) AVG moet aldus worden uitgelegd, dat de door deze bepaling vereiste passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen moeten verzekeren dat de rechten van personen wier persoonsgegevens op basis van standaardbepalingen inzake gegevensbescherming naar een derde land worden doorgegeven, in grote lijnen overeenkomen met het beschermingsniveau dat binnen de Europese Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest van de grondrechten van de Europese Unie. Daartoe moet bij de beoordeling van het bij een dergelijke doorgifte gewaarborgde beschermingsniveau rekening worden gehouden met zowel de contractuele bepalingen die zijn overeengekomen tussen de in de Europese Unie gevestigde verwerkingsverantwoordelijke of zijn in de Europese Unie gevestigde verwerker en de in het betrokken derde land gevestigde ontvanger van de doorgifte, als, wat een eventuele toegang van de overheidsinstanties van dat derde land tot de doorgegeven persoonsgegevens betreft, de relevante aspecten van het rechtsstelsel van dat derde land, met name die welke worden vermeld in artikel 45, lid 2, AVG.

    3. Artikel 58, lid 2, onder f) en j) AVG moet aldus worden uitgelegd dat de bevoegde toezichthoudende autoriteit, tenzij de Europese Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, ertoe verplicht is om de doorgifte van gegevens naar een derde land op basis van door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming op te schorten of te verbieden, wanneer deze toezichthoudende autoriteit, gelet op alle omstandigheden van die doorgifte, van oordeel is dat die bepalingen in dat derde land niet worden of niet kunnen worden nageleefd en dat de bescherming van de doorgegeven gegevens, zoals vereist door het Unierecht, inzonderheid door de artikelen 45 en 46 AVG en door het Handvest van de grondrechten, niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker niet zelf de doorgifte heeft opgeschort of beëindigd.

    4. Bij de toetsing van besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens richtlijn 95/46/EG van het Europees Parlement en de Raad, zoals gewijzigd bij uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016, aan de artikelen 7, 8 en 47 van het Handvest van de grondrechten is niet gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten.

    5. Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming is ongeldig.”

    Het HvJ EU haalde daarmee een streep door de door o.a. de US en de EU afgesproken “Privacy Shield”. De voordien geldende “Safe Harbor Privacy Principles” waren in 2015 afgeschaft, ook na een beslissing van het HvJ EU.

    De techgiganten hebben echter niets ondernomen om hun werkwijze aan deze beslissingen aan te passen. Zij hebben slechts enkele aanpassingen gedaan van hun algemene voorwaarden, in de veronderstelling dat dat voldoende was.

    De klacht van Schrems over Google Analytics

    De klacht van Schrems hield in, dat de door hem ingevoerde persoonsgegevens bij het bezoeken van een Oostenrijkse website, waarop een tracker van Google Analytics was geïnstalleerd, onvoldoende beschermd waren tegen doorgifte aan de US.

    Google voerde aan, dat zij maatregelen getroffen had door afscherming van data centers, herzieningsverzoeken en het gebruik van ‘baseline encryption’. De Oostenrijkse DSB is niet onder de indruk en overweegt (pag. 38):

    “Solange der Zweitbeschwerdegegner sohin selbst die Möglichkeit hat, auf Daten im Klartext zuzugreifen, können die ins Treffen geführten technischen Maßnahmen nicht als effektiv im Sinne der obigen Überlegungen betrachtet werden. “

    en op pag. 39:

    “Als weiteres Zwischenergebnis ist daher festzuhalten, dass die gegenständlichen „zusätzlichen Maßnahmen“ nicht effektiv sind, da diese die im Rahmen des Urteils des EuGH vom 20. Juni 2020 aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von USNachrichtendiensten – nicht schließen.”

    Oftewel de door Google aangevoerde maatregelen ter bescherming van de persoonsgegevens zijn niet effectief om de toegang van de Amerikaanse overheid tot die data te voorkomen, zo lang Google de mogelijkheid heeft die data onversleuteld (‘im Klartext’) in te zien.

    De datalekken waar het HvJ Eu in het arrest Schrems II al de vinger op gelegd had, zijn door Google nog steeds niet afdoende gedicht tegen toegang van de Amerikaanse overheid. Het gaat daarbij om verzoeken van de veiligheidsdiensten op grond van ‘Section 702’, ook wel genoemd de ‘FISA Amendments Act’, en op grond van ‘Executive Order 12333’.

    Overigens denk ik, dat Europese veiligheidsdiensten vergelijkbare bevoegdheden hebben. Dus tegen het opvragen van je data door veiligheidsinstanties binnen de EU ben je niet beveiligd lijkt me zo. In sommige gevallen kan het misschien ook wel wenselijk zijn, dat overheidsdiensten – met name het OM – toegang heeft tot dergelijke data. Denk aan bewijsvergaring in een internationaal kinderpornonetwerk of bij het opsporen van fraudeurs en hackers. En niet te vergeten terroristen.

    Klacht over de COVID-website van het Europees Parlement

    Schrems had ook een klacht ingediend bij de Europese Autoriteit Persoonsgegevens over de COVID-website van de EU, onder meer over het gebruik van Google Analytics. Ook waren de cookie-meldingen onduidelijk. Ook die klacht is gehonoreerd (beslissing van 5 januari 2022).

    Autoriteit Persoonsgegevens wordt ook wakker

    Naar aanleiding van deze uitspraken heeft ook de Nederlandse Autoriteit Persoonsgegevens in de FAQ over het gebruik van cookies een Q&A gewijd aan het gebruik van Google Analytics. Opmerkelijk is dat de AP dit probleem zelf eerder niet had onderkend.

    Concluderend over databescherming en Amerikaanse techbedrijven

    Het door Schrems aangekaarte probleem van het datalek naar Amerikaanse veiligheidsdiensten begint – na een eerdere laconieke reactie op het arrest Schrems II – impact te hebben op de markt. De oplossing kan van twee kanten komen.

    Maatregelen van techbedrijven om ‘GDPR-compliant’ te worden

    Amerikaanse bedrijven kunnen dit oplossen door zich te vestigen in de EU, waardoor zij niet meer onderworpen zijn aan de Amerikaanse wetgeving. Mailchimp heeft over deze kwestie een publicatie online gezet.

    Saillant detail in die publicatie is de vermelding van het gebruik van ‘subcontractors’, die ook data voor hen verwerken. Daarvan zijn de meeste volgens de lijst van Mailchimp ook in de US gevestigd. Daar zou dus zogezegd het risico van een secundair lek kunnen zitten. Als Europese providers met buiten de EU gevestigde ‘subcontractors’ werken, dan speelt dat probleem ook.

    Mailchimp is bezig het probleem te tackelen. Mailchimp heeft aan zijn Mailchimp Pro Partners het volgende bericht gestuurd:

    “We’re excited to share that we’re on track to establish an EU data center and welcome new EU users to make choices about local data storage starting in 2022. We know how important regional data storage is to our community around the world—we’ve heard your feedback loud and clear—and wanted to let you know about the work we’ve been doing that’s led up to this announcement and our plans moving forward.

    We’ve been working to make foundational changes to our data infrastructure that will allow us to establish local data centers, including in the EU, for more than two years. As stated above, we expect to have at least one data center in the EU in 2022, with more to come. Scaling the infrastructure is highly complex, difficult work that we expect to take another two years or more to complete, so we’ll be sharing more details as we make further progress. We’re also working on a plan to offer the ability for our existing customers to migrate their data at a later date, so we’ll keep you informed about our timeline and your options. For now, we want to make sure you know how important our EU Mailchimp & Co community and customers are, and that we’re committed to serving you for the long term.

    Overstap Europese websites naar Europese providers

    Nederlandse en andere Europese websites zullen zich rekenschap moeten geven van de gevolgen van deze beslissingen en zullen moeten bezien of het gebruik van diensten als Google Analytics nog door de beugel kan.

    Alternatief is een andere vorm van tracking te gebruiken, van een bedrijf dat niet in de US (en bij voorkeur dus binnen de EU) gevestigd is.

    Maatregelen van de Autoriteit Persoonsgegevens

    De verschillende Autoriteiten Dataprotectie in de EU – waaronder de AP – zullen ook in actie moeten komen om toe te zien op het voldoen aan de eisen van Schrems II.

    MdV, 16 januari 2022

    PS-I

    Inmiddels heeft de Belgische Autoriteit – als voortrekker van 27 Autoriteiten binnen de EU – op 2 februari 2022 een beslissing genomen, waarbij het gebruik van Transparancy and Consent Framework (TCF) door IBA Europe, een leverancier van onder meer Google, Amazon en Microsoft, wordt beboet met een bedrag van EUR 250.000. Deze beslissing werkt rechtstreeks in alle lidstaten van de EU. Hiermee is IBA Europe met een hamer op de vingers getikt. Dit raakt ook de online veiling van advertenties. Zie de (Engelstalige) mededeling op de website van de Irisch Council for Civil Liberties (één van de klagers) en de pagina Algemene verordening gegevensbescherming.

    MdV, 3 februari 2022

    PS-II

    Lawyrup heeft inmiddels – na onderzoek naar de verschillende alternatieven – ervoor gekozen de statistieken van het bezoek van haar website te laten analyseren met de betaalde open source tool Plausible Analytics gevestigd in Estland.

    MdV, 19-05-2022

    Pagina inhoud

      Breaking news: Google Analytics in strijd met AVG!

      De onvermoeibare strijder voor de bescherming van onze privacy, de Oostenrijker Max Schrems, oprichter en ‘member of the executive board’ van ‘None Of Your Business‘, heeft op 12 januari 2022 een opzienbarende overwinning behaald op Google. In een klachtprocedure bij de Oostenrijkse versie van de Autoriteit Persoonsgegevens, de ‘Datenschutzbehörde’ (DSB niet te verwarren met de Nederlandse gefailleerde bank), over Google Analytics heeft de DSB Schrems in het gelijk gesteld. Dit gaat een enorme impact hebben op alle gebruikers van Google Analytics in de EU. Maar de gevolgen strekken zich uit tot alle techbedrijven die gevestigd zijn in de US.

      Beslissing van Hof van Justitie EU d.d. 16 juli 2020 (Schrems II)

      De beslissing van de Oostenrijkse DSB vloeit voort uit een eerdere beslissing van het HvJEU van 16 juli 2020 (Schrems II). Die kwestie draaide om de uitleg en de geldigheid van uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46 betreffende de effectiviteit van de door het EU-VS-privacyschild geboden bescherming (PB 2016, L 207, blz. 1, met rectificatie in PB 2018, L 262, blz. 90; hierna: „privacyschildbesluit”). Zie ook de pagina Algemene Verordening Gegevensbescherming (AVG).

      Doorgifte data aan landen buiten de EU

      In de kern gaat dit om de vraag, of de privacy van burgers in de EU voldoende beschermd is tegen doorgifte van hun data aan de overheid van de Verenigde Staten. Veel van de grote techbedrijven, zoals Google, Facebook, Amazon, Apple, Microsoft, Mailchimp enzovoort, hebben hun hoofdkantoor in de US. Op basis van lokale wetgeving moeten zij de Amerikaanse overheid toegang geven tot de gegevens die zij verwerken, waaronder ook de gegevens van burgers in de EU. Zodoende is de privacy van de burgers van de EU niet beschermd tegen de datahonger van de Amerikaanse overheid, waaronder ook Diensten zoals de NSA, de CIA en de FBI. De Amerikaanse overheid bekijkt dit vanuit haar eigen veiligheidswetgeving.

      Het HvJ EU besliste in Schrems II voor recht:

      “1. Artikel 2, leden 1 en 2, van de AVG moeten aldus worden uitgelegd, dat de doorgifte van persoonsgegevens voor commerciële doeleinden door een in een lidstaat gevestigde marktdeelnemer aan een andere, in een derde land gevestigde marktdeelnemer binnen de werkingssfeer van deze verordening valt, ook al kunnen deze gegevens tijdens of na die doorgifte door de autoriteiten van het betrokken derde land worden verwerkt ten behoeve van de openbare veiligheid, defensie en de veiligheid van de staat.

      2. Artikel 46, lid 1 en lid 2, onder c) AVG moet aldus worden uitgelegd, dat de door deze bepaling vereiste passende waarborgen, afdwingbare rechten en doeltreffende rechtsmiddelen moeten verzekeren dat de rechten van personen wier persoonsgegevens op basis van standaardbepalingen inzake gegevensbescherming naar een derde land worden doorgegeven, in grote lijnen overeenkomen met het beschermingsniveau dat binnen de Europese Unie wordt gewaarborgd door die verordening, gelezen in het licht van het Handvest van de grondrechten van de Europese Unie. Daartoe moet bij de beoordeling van het bij een dergelijke doorgifte gewaarborgde beschermingsniveau rekening worden gehouden met zowel de contractuele bepalingen die zijn overeengekomen tussen de in de Europese Unie gevestigde verwerkingsverantwoordelijke of zijn in de Europese Unie gevestigde verwerker en de in het betrokken derde land gevestigde ontvanger van de doorgifte, als, wat een eventuele toegang van de overheidsinstanties van dat derde land tot de doorgegeven persoonsgegevens betreft, de relevante aspecten van het rechtsstelsel van dat derde land, met name die welke worden vermeld in artikel 45, lid 2, AVG.

      3. Artikel 58, lid 2, onder f) en j) AVG moet aldus worden uitgelegd dat de bevoegde toezichthoudende autoriteit, tenzij de Europese Commissie op geldige wijze een adequaatheidsbesluit heeft vastgesteld, ertoe verplicht is om de doorgifte van gegevens naar een derde land op basis van door de Commissie vastgestelde standaardbepalingen inzake gegevensbescherming op te schorten of te verbieden, wanneer deze toezichthoudende autoriteit, gelet op alle omstandigheden van die doorgifte, van oordeel is dat die bepalingen in dat derde land niet worden of niet kunnen worden nageleefd en dat de bescherming van de doorgegeven gegevens, zoals vereist door het Unierecht, inzonderheid door de artikelen 45 en 46 AVG en door het Handvest van de grondrechten, niet kan worden gewaarborgd met andere middelen, indien de in de Unie gevestigde verwerkingsverantwoordelijke of zijn in de Unie gevestigde verwerker niet zelf de doorgifte heeft opgeschort of beëindigd.

      4. Bij de toetsing van besluit 2010/87/EU van de Commissie van 5 februari 2010 betreffende modelcontractbepalingen voor de doorgifte van persoonsgegevens aan in derde landen gevestigde verwerkers krachtens richtlijn 95/46/EG van het Europees Parlement en de Raad, zoals gewijzigd bij uitvoeringsbesluit (EU) 2016/2297 van de Commissie van 16 december 2016, aan de artikelen 7, 8 en 47 van het Handvest van de grondrechten is niet gebleken van feiten of omstandigheden die de geldigheid van dat besluit kunnen aantasten.

      5. Uitvoeringsbesluit (EU) 2016/1250 van de Commissie van 12 juli 2016 overeenkomstig richtlijn 95/46/EG van het Europees Parlement en de Raad betreffende de gepastheid van de door het EU-VS-privacyschild geboden bescherming is ongeldig.”

      Het HvJ EU haalde daarmee een streep door de door o.a. de US en de EU afgesproken “Privacy Shield”. De voordien geldende “Safe Harbor Privacy Principles” waren in 2015 afgeschaft, ook na een beslissing van het HvJ EU.

      De techgiganten hebben echter niets ondernomen om hun werkwijze aan deze beslissingen aan te passen. Zij hebben slechts enkele aanpassingen gedaan van hun algemene voorwaarden, in de veronderstelling dat dat voldoende was.

      De klacht van Schrems over Google Analytics

      De klacht van Schrems hield in, dat de door hem ingevoerde persoonsgegevens bij het bezoeken van een Oostenrijkse website, waarop een tracker van Google Analytics was geïnstalleerd, onvoldoende beschermd waren tegen doorgifte aan de US.

      Google voerde aan, dat zij maatregelen getroffen had door afscherming van data centers, herzieningsverzoeken en het gebruik van ‘baseline encryption’. De Oostenrijkse DSB is niet onder de indruk en overweegt (pag. 38):

      “Solange der Zweitbeschwerdegegner sohin selbst die Möglichkeit hat, auf Daten im Klartext zuzugreifen, können die ins Treffen geführten technischen Maßnahmen nicht als effektiv im Sinne der obigen Überlegungen betrachtet werden. “

      en op pag. 39:

      “Als weiteres Zwischenergebnis ist daher festzuhalten, dass die gegenständlichen „zusätzlichen Maßnahmen“ nicht effektiv sind, da diese die im Rahmen des Urteils des EuGH vom 20. Juni 2020 aufgezeigten Rechtsschutzlücken – also die Zugriffs- und Überwachungsmöglichkeiten von USNachrichtendiensten – nicht schließen.”

      Oftewel de door Google aangevoerde maatregelen ter bescherming van de persoonsgegevens zijn niet effectief om de toegang van de Amerikaanse overheid tot die data te voorkomen, zo lang Google de mogelijkheid heeft die data onversleuteld (‘im Klartext’) in te zien.

      De datalekken waar het HvJ Eu in het arrest Schrems II al de vinger op gelegd had, zijn door Google nog steeds niet afdoende gedicht tegen toegang van de Amerikaanse overheid. Het gaat daarbij om verzoeken van de veiligheidsdiensten op grond van ‘Section 702’, ook wel genoemd de ‘FISA Amendments Act’, en op grond van ‘Executive Order 12333’.

      Overigens denk ik, dat Europese veiligheidsdiensten vergelijkbare bevoegdheden hebben. Dus tegen het opvragen van je data door veiligheidsinstanties binnen de EU ben je niet beveiligd lijkt me zo. In sommige gevallen kan het misschien ook wel wenselijk zijn, dat overheidsdiensten – met name het OM – toegang heeft tot dergelijke data. Denk aan bewijsvergaring in een internationaal kinderpornonetwerk of bij het opsporen van fraudeurs en hackers. En niet te vergeten terroristen.

      Klacht over de COVID-website van het Europees Parlement

      Schrems had ook een klacht ingediend bij de Europese Autoriteit Persoonsgegevens over de COVID-website van de EU, onder meer over het gebruik van Google Analytics. Ook waren de cookie-meldingen onduidelijk. Ook die klacht is gehonoreerd (beslissing van 5 januari 2022).

      Autoriteit Persoonsgegevens wordt ook wakker

      Naar aanleiding van deze uitspraken heeft ook de Nederlandse Autoriteit Persoonsgegevens in de FAQ over het gebruik van cookies een Q&A gewijd aan het gebruik van Google Analytics. Opmerkelijk is dat de AP dit probleem zelf eerder niet had onderkend.

      Concluderend over databescherming en Amerikaanse techbedrijven

      Het door Schrems aangekaarte probleem van het datalek naar Amerikaanse veiligheidsdiensten begint – na een eerdere laconieke reactie op het arrest Schrems II – impact te hebben op de markt. De oplossing kan van twee kanten komen.

      Maatregelen van techbedrijven om ‘GDPR-compliant’ te worden

      Amerikaanse bedrijven kunnen dit oplossen door zich te vestigen in de EU, waardoor zij niet meer onderworpen zijn aan de Amerikaanse wetgeving. Mailchimp heeft over deze kwestie een publicatie online gezet.

      Saillant detail in die publicatie is de vermelding van het gebruik van ‘subcontractors’, die ook data voor hen verwerken. Daarvan zijn de meeste volgens de lijst van Mailchimp ook in de US gevestigd. Daar zou dus zogezegd het risico van een secundair lek kunnen zitten. Als Europese providers met buiten de EU gevestigde ‘subcontractors’ werken, dan speelt dat probleem ook.

      Mailchimp is bezig het probleem te tackelen. Mailchimp heeft aan zijn Mailchimp Pro Partners het volgende bericht gestuurd:

      “We’re excited to share that we’re on track to establish an EU data center and welcome new EU users to make choices about local data storage starting in 2022. We know how important regional data storage is to our community around the world—we’ve heard your feedback loud and clear—and wanted to let you know about the work we’ve been doing that’s led up to this announcement and our plans moving forward.

      We’ve been working to make foundational changes to our data infrastructure that will allow us to establish local data centers, including in the EU, for more than two years. As stated above, we expect to have at least one data center in the EU in 2022, with more to come. Scaling the infrastructure is highly complex, difficult work that we expect to take another two years or more to complete, so we’ll be sharing more details as we make further progress. We’re also working on a plan to offer the ability for our existing customers to migrate their data at a later date, so we’ll keep you informed about our timeline and your options. For now, we want to make sure you know how important our EU Mailchimp & Co community and customers are, and that we’re committed to serving you for the long term.

      Overstap Europese websites naar Europese providers

      Nederlandse en andere Europese websites zullen zich rekenschap moeten geven van de gevolgen van deze beslissingen en zullen moeten bezien of het gebruik van diensten als Google Analytics nog door de beugel kan.

      Alternatief is een andere vorm van tracking te gebruiken, van een bedrijf dat niet in de US (en bij voorkeur dus binnen de EU) gevestigd is.

      Maatregelen van de Autoriteit Persoonsgegevens

      De verschillende Autoriteiten Dataprotectie in de EU – waaronder de AP – zullen ook in actie moeten komen om toe te zien op het voldoen aan de eisen van Schrems II.

      MdV, 16 januari 2022

      PS-I

      Inmiddels heeft de Belgische Autoriteit – als voortrekker van 27 Autoriteiten binnen de EU – op 2 februari 2022 een beslissing genomen, waarbij het gebruik van Transparancy and Consent Framework (TCF) door IBA Europe, een leverancier van onder meer Google, Amazon en Microsoft, wordt beboet met een bedrag van EUR 250.000. Deze beslissing werkt rechtstreeks in alle lidstaten van de EU. Hiermee is IBA Europe met een hamer op de vingers getikt. Dit raakt ook de online veiling van advertenties. Zie de (Engelstalige) mededeling op de website van de Irisch Council for Civil Liberties (één van de klagers) en de pagina Algemene verordening gegevensbescherming.

      MdV, 3 februari 2022

      PS-II

      Lawyrup heeft inmiddels – na onderzoek naar de verschillende alternatieven – ervoor gekozen de statistieken van het bezoek van haar website te laten analyseren met de betaalde open source tool Plausible Analytics gevestigd in Estland.

      MdV, 19-05-2022

      Meer actualiteiten