Oostenrijkse toezichthouder: gebruik Google Analytics in strijd met AVG
Het gebruik van Google Analytics is in strijd met de AVG, zo heeft de Oostenrijkse privacytoezichthouder DSB geoordeeld. De uitspraak kan gevolgen voor zeer veel websites in de Europese Unie hebben. Volgens de DSB wordt erbij het gebruik van Google Analytics persoonlijke data naar Google in de Verenigde Staten verstuurd, waaronder user identifiers, ip-adressen en browserparameters. Dat is het oordeel over een klacht die noyb, de privacyorganisatie van de bekende activist Max Schrems, had ingediend.
Een maand na de Schrems II-uitspraak diende noyb 101 klachten in over het uitwisselen van persoonsgegevens met Facebook en Google. Het Europees Hof van Justitie verklaarde in 2020 het Privacy Shield-verdrag tussen de Europese Unie en de Verenigde Staten ongeldig. Het verdrag moest de uitwisseling van persoonsgegevens tussen bedrijven in de Europese Unie en de VS regelen.
Volgens de rechter zijn gegevens die onder het verdrag werden uitgewisseld niet goed beschermd in de Verenigde Staten. Door de uitspraak van het hof mogen bedrijven in de EU op grond van het Privacy Shield-verdrag geen persoonsgegevens meer aan de VS doorgeven. Een mogelijke oplossing om toch persoonsgegevens door te geven zou het gebruik van modelcontracten kunnen zijn.
Eén van de klachten die noyb indiende was tegen een Oostenrijkse website die van Google Analytics gebruikmaakte. Zowel de website als Google stelden dat er geen sprake was van doorgifte van persoonsgegevens. Daarnaast waren erin het geval van het toch versturen van persoonlijke data aanvullende maatregelen getroffen en was er een kleine kans dat de klager doelwit van Amerikaanse surveillance was geworden. Verder stelde Google dat de betreffende AVG-regel alleen voor de partij geldt die de data aanlevert, in dit geval de website, en niet de partij die de data ontvangt, te weten Google.
De Oostenrijkse toezichthouder kon zich deels in het verweer vinden en besloot de klacht tegen Google af te wijzen. In het geval van de website oordeelt de DSB dat er wel degelijk persoonsgegevens naar Google zijn verstuurd, het gebruikte modelcontract geen voldoende bescherming biedt en de website ook niet op andere mechanismes kan terugvallen die onder de AVG zijn toegestaan. Daardoor heeft de website geen voldoende beschermingsniveau geboden zoals onder de AVG is verplicht.
De uitspraak van de DSB is de eerste in de 101 door noyb ingediende klachten. Volgens de organisatie zal de beslissing gevolgen voor bijna alle EU-websites hebben, aangezien Google Analytics het meestgebruikte statistiekenprogramma is. "Veel websites vertrouwen op Google en sturen hun gebruikersdata door naar de Amerikaanse multinational", aldus noyb. "Het feit dat privacytoezichthouders nu Amerikaanse diensten illegaal kunnen verklaren zal extra druk op Europese bedrijven en Amerikaanse providers zetten om voor veilige en juridische opties te kiezen, zoals het hosten buiten de VS."
Privacy-activist Max Schrems verwacht dat soortgelijke uitspraken ook in andere EU-lidstaten zullen volgen, aangezien in bijna alle lidstaten privacyklachten zijn ingediend. De rechter besloot nog geen boete op te leggen. Daarnaast is de website samengegaan met een Duits bedrijf. De Oostenrijkse toezichthouder had alleen jurisdictie voor overtredingen begaan in het verleden.
Het pakket is ook helder bruikbaar genoeg voor klanten. Met name bij laag traffic sites kan het heel nuttige verkoop informatie geven. Als je ziet dat, bijvoorbeeld bij een huizensite, iemand uit Zwolle al tien keer naar één huis heeft gekeken. En altijd maar naar de foto van de tuin. En er belt dan iemand uit Zwolle. Dan weet je al waar je het over moet gaan hebben. De prachtige tuin. Dat mag ook allemaal. Net als wanneer je een winkel hebt, en iemand ziet die al tien keer in je etalage naar een koekpan heeft gekeken. Als die naar binnen loopt weet je dan ook al dat je niet over wasmachines moet beginnen. Ik heb klantjes die erg blij zijn met hun statistiekpakketje op die manier.
Er zullen overigens vast wel meer van die open source pakketten bestaan.
Wordt er onder scholieren die gebruik maken van hun systeem ook Analytics gebruikt? Of in applicaties?
Was ik zo even nieuwschierig naar..
Had dit al wel zelf gevonden, oud artikel
https://tweakers.net/nieuws/185478/google-moet-in-nederland-andere-chromeos-versie-leveren-aan-onderwijs-na-akkoord.html
Dat Google wèl het volledig IP adres verwerkt wordt voor het gemak maar even aan voorbij gegaan. En hoe dat bij IPv6 geregeld is komt ook nooit een antwoord op. Blij dat er dankzij NOYB nu eindelijk iets lijkt te gaan gebeuren.
Volgens Webbkoll één cookie op security.nl: https://webbkoll.dataskydd.net/en/results?url=http%3A%2F%2Fsecurity.nl#cookies
Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan
De Oostenrijkse privacytoezichthouder rondde in januari 2022 een onderzoek af naar het gebruik van Google Analytics door een Oostenrijkse website. Google Analytics blijkt volgens de Oostenrijkse toezichthouder in dit onderzochte geval niet aan de AVG te voldoen.
De AP onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet.
Ja, en als ergens gaat klagen vinden ze je een zuurpruim.
Mooi dat het nu verboden is. Nu nog "hotjar, "google fonts" en dergelijke. Alle geïnjecteerde javascriptcode moet in de ban.
Wordt er onder scholieren die gebruik maken van hun systeem ook Analytics gebruikt? Of in applicaties?
maar als je klanten wil blijven houden lijkt mij dat niet de juiste wijze.
En wat Google doet is gewoon stalken, geen fatsoenlijk mens zal dit doen, zij moeten zich gewoon rot schamen. Maar
ja de maatschappij is nu eenmaal zo, respect voor je medemens bestaat niet meer wel hebberigheid. En de slachtoffers
weten helaas niet beter.
Dat Google wèl het volledig IP adres verwerkt wordt voor het gemak maar even aan voorbij gegaan. En hoe dat bij IPv6 geregeld is komt ook nooit een antwoord op. Blij dat er dankzij NOYB nu eindelijk iets lijkt te gaan gebeuren.
Aanvulling: De ""privacy-vriendelijke"" optie lijkt nuttig maar dat is het totaal niet. Aangezien vaak nog andere diensten van Google op dezelfde site gebruikt worden. Deze verzamelt dan alsnog al jouw data. Aangezien Google alles wat ze verzamelen op één hoop gooien en toevoegen aan jouw (schaduw-)profiel, zoals vaag omschreven staat in hun voorwaarden.
Bedrijven dit duidelijk maken, onbegonnen werk.
PS Nog afgezien van dat je Google sowieso anno nu niet meer zou moeten vertrouwen, al helemaal niet met de data van een ander...
Kijk in je browser, dan weet je het. (-:
Bij ons staat google analytics op de dns blocklist. En omdat het benodigde js script doorgaans vanaf dat domein opgehaald wordt, kunnen sites dit script niet gebruiken bij bezoeken van zo'n site.
Maar goed, als iedereen dat zou blokken, zal google wel vragen om dat script op de site zelf te plaatsen.
Het pakket is ook helder bruikbaar genoeg voor klanten. Met name bij laag traffic sites kan het heel nuttige verkoop informatie geven. Als je ziet dat, bijvoorbeeld bij een huizensite, iemand uit Zwolle al tien keer naar één huis heeft gekeken. En altijd maar naar de foto van de tuin. En er belt dan iemand uit Zwolle. Dan weet je al waar je het over moet gaan hebben. De prachtige tuin. Dat mag ook allemaal. Net als wanneer je een winkel hebt, en iemand ziet die al tien keer in je etalage naar een koekpan heeft gekeken. Als die naar binnen loopt weet je dan ook al dat je niet over wasmachines moet beginnen. Ik heb klantjes die erg blij zijn met hun statistiekpakketje op die manier.
Je maakt jezelf en je "klantjes"[*] dingen wijs die niet kloppen. De wetgeving is veel strenger. Het gaat niet alleen om wat je verkoopt maar ook om wat je er zelf mee doet. Ga je eens in de wet verdiepen voor je een boete krijgt of een schadeclaim van een klant die er een krijgt omdat jij hem helemaal verkeerd hebt voorgelicht.
[*] Als ik een klant van je was en zou weten dat je het denigrerende "klantje" gebruikt om over me te praten dan zou ik heel hard gaan uitkijken naar een aanbieder die meer respect opbrengt voor klanten.
Kijk in je browser, dan weet je het. (-:
Goedemorgen. Zou de redactie van Security.NL soms voorkennis hebben gehad? :-)
Autoriteit Persoonsgegevens wijst op mogelijk verbod Google Analytics
vrijdag 14 januari 2022, 08:09 door Redactie
https://www.security.nl/posting/738272/
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
