In de handleiding Google Analytics van de Autoriteit Persoonsgegevens verscheen opeens een extra, geel gearceerde, zin: “Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan.” Tot nu toe mocht van de de Autoriteit Persoonsgegevens wel, wanneer je instelde dat de IP-adressen maar voor een deel werden verwerkt. Waarom mag je Google Analytics niet meer gebruiken?
Geen persoonsgegevens naar de VS
De Oostenrijkse privacytoezichthouder deed eerder een uitspraak over Google Analytics, waarin het gebruik hiervan verboden werd, omdat hiermee persoonsgegevens worden doorgegeven naar de VS. Die doorgifte van persoonsgegevens naar de VS kan niet meer, sinds Privacy Shield ongeldig is verklaard door het Hof van Justitie EU.
De Autoriteit Persoonsgegevens (AP), de Nederlandse privacytoezichthouder, volgt deze uitspraak en doet nu zelf onderzoek naar Google Analytics. Op basis van de uitkomst van dat onderzoek, wordt Google Analytics mogelijk ook in Nederland verboden.
De AP houd je via haar eigen website hiervan op de hoogte.
Niet alleen de IP-adressen, maar de cookies zijn het probleem
Welke persoonsgegevens verzamel je nou helemaal met Google Analytics? Zeker als je het volgens de handleiding van de AP hebt ingesteld, en maar een deel van IP-adressen verwerkt.
Jijzelf niet zoveel. Maar Google wel. Uit de uitspraak van de Oostenrijkse toezichthouder blijkt dat, ongeacht of je bent ingelogd in je Google account, die toch veel mensen hebben, er door Google cookies geplaatst worden, die alsnog gekoppeld worden aan je Google account.
IP-Anonymisierung war hier wegen einem technischen Fehler deaktiviert und später aktiviert. DSB meinte das ist egal, weil Cookies (GA…) und Google-Account verknüpft werden können.
— Max Schrems 🇪🇺 (@maxschrems) January 13, 2022
Problem (US-Recht) nicht spezifisch für Google Analytics, sondern bei allen US-Diensten.. 😐
Jouw Google account zit natuurlijk barstensvol met persoonsgegevens. Bovendien heeft Google, mede op basis van dat account, een profiel van je gebouwd. Met het gebruik van Google Analytics gaat er dus informatie over jou en je surfgedrag naar Google, ook als je uitgelogd bent.
Overigens werden in dit geval wel de volledige IP-adressen met Google gedeeld. Bovendien werd er wel een unieke ID aan elke bezoeker meegegeven.
Lees ook eens dit draadje van de Oostenrijkse privacy-activist Max Schrems op Twitter.
Kies voor een Europees alternatief
Zoals voor alle software geldt, kun je het beste kiezen voor software van Europese bedrijven, die ook de data opslaan in de EU/EER of ander door de Europese Commissie aangewezen adequaat land. Software uit de VS, waarmee je persoonsgegevens verwerkt, zijn namelijk bijna nooit privacy proof.
7 AVG proof alternatieven voor Google Analytics
Matomo (voorheen Piwik) is een populair alternatief. Met name wanneer je voor de self-hosted variant kiest, en je een server in de EU kiest, lijk je een goed alternatief te pakken te hebben. Het is dan bovendien gratis.
Piwik Pro is een afscheiding van wat vroeger Piwik was en is gevestigd in Polen en Duitsland. Zij maken wel gebruik van verschillende Amerikaanse diensten, maar als je kiest voor self-hosted is dit ook een goed alternatief.
Ook Simple Analytics, een Nederlands bedrijf, lijkt een goed alternatief te zijn, dat in elk geval belooft alle data in de EU op te slaan en verder ook zorgvuldig met privacy om zegt te gaan.
Plausible is een bedrijf dat in Estland gevestigd is en ook belooft volledig AVG proof te zijn. Ook zij houden de data binnen de EU. Net als bij Matomo kun je hier kiezen voor een gratis self-hosted versie of neem je een versie af waarbij zij de hosting regelen.
Fathom Analytics is gevestigd in Canada. Dat is wel buiten de EU, maar Canada is door de Europese Commissie aangewezen als adequaat land, dus dit kan prima voldoen aan de AVG. Ze waren er in een Twitterconversatie over Matomo snel bij om zichzelf aan te raden.
Splitbee is weer een Europees initiatief. Zij maken overigens wel gebruik van cookies, dus let daarop wanneer je een cookieverklaring maakt. Heb je een website met weinig verkeer is het nog gratis ook: tot 2.500 pageviews per maand.
Microanalytics is gratis tot 10.000 bezoekers per maand. Dit lijkt een Frans bedrijf te zijn en belooft in elk geval alle data in Frankrijk op te slaan. Ze publiceren verder weinig over wie ze zijn of wat hun adres is en dat staat me eerlijk gezegd niet zo aan.
Encryptie en pseudonomisering zijn niet genoeg
Volgens de Oostenrijkse toezichthouder, is pseudonomisering niet voldoende beveiliging, omdat zo’n gegeven een eerste puzzelstukje kan zijn voor de Amerikaanse inlichtingendiensten om iemand te identificeren.
Ook encryptie is niet genoeg, wanneer die partij die de encryptie verzorgt, zoals Google in dit geval, zelf ook weer kan decrypten.
Onder de FISA wetgeving kunnen Amerikaanse intelligentiediensten zichzelf toegang verlenen tot alle data uit het buitenland, zonder vervolgens rechten te verlenen om daartegen in bezwaar te gaan. Extra technische en organisatorische maatregelen zijn pas voldoende, als daarmee de data niet bij de Amerikaanse overheid terecht kan komen.
Andere lezenswaardige stukken hierover bij Techcrunch / The Register / GDPRhub
