Autoriteit Persoonsgegevens wijst op mogelijk verbod Google Analytics
Het gebruik van Google Analytics is mogelijk binnenkort in Nederland verboden, zo stelt de Autoriteit Persoonsgegevens (AP) naar aanleiding van de uitspraak van de Oostenrijkse privacytoezichthouder. Gisteren stelde de Datenschutzbehörde (DSB) dat het gebruik van Googles statistiekenprogramma in strijd met de AVG is. Volgens de DSB wordt erbij het gebruik van Google Analytics persoonlijke data naar Google in de Verenigde Staten verstuurd, waaronder user identifiers, ip-adressen en browserparameters
De uitspraak van de Oostenrijkse privacytoezichthouder volgde op een klacht van privacyorganisatie noyb. De organisatie, opgericht door privacyactivist Max Schrems, heeft bij privacytoezichthouders in heel de Europese Unie klachten over onder andere Google Analytics ingediend. De Nederlandse Autoriteit Persoonsgegevens heeft twee klachten over het gebruik van Google Analytics in Nederland ontvangen en is daarop een onderzoek gestart.
Op dit moment gelden er verschillende regels voor het gebruik van Googles statistiekenprogramma. "Gebruikt u Google Analytics, dan verwerkt u met de analytische cookies persoonsgegevens van uw websitebezoekers. Dat heeft dus gevolgen voor hun privacy. U moet hierbij in principe zowel voldoen aan de Telecommunicatiewet (uw bezoekers informeren en om toestemming vragen) als aan de Algemene verordening gegevensbescherming (AVG)", zo laat de AP weten.
De onderzoeken van de Nederlandse privacytoezichthouder lopen nog en zullen begin dit jaar worden afgerond. Pas dan kan de Autoriteit Persoonsgegevens zeggen of Google Analytics is toegestaan of niet. De Nederlandse privacytoezichthouder heeft echter op de informatiepagina over cookies een waarschuwing geplaatst: "Let op: gebruik Google Analytics mogelijk binnenkort niet toegestaan." Noyb stelde gisteren al dat de uitspraak van de DSB gevolgen voor heel veel websites in de EU zal hebben.
Reacties (24)
Heel goed. Nou de rest vaan google nog.
Veesboek er gelijk achteraan. En als we toch bezig zijn... Nou ja, er zijn nog wel wat van die ratten. Goed nieuws! (eindelijk een keer wat zinnigs door de EU)
Veesboek er gelijk achteraan. En als we toch bezig zijn... Nou ja, er zijn nog wel wat van die ratten. Goed nieuws! (eindelijk een keer wat zinnigs door de EU)
Dat GA niet is toegestaan is niks nieuws. Dat weet iedere jurist die zich met gegevensbescherming bezighoud.
Het mooie van de traag draaiende ambtelijke molens van de EU, is dat Google (en de rest van dat Amerikaans geteisem) ruim de tijd heeft gehad om iets beters te bedenken. Voor de rest is het net als dat jochie dat volhoudt geen appeltje gepikt te hebben bij de groentenboer. Terwijl je aan zijn snuitje ziet dat hij dondersgoed weet.
Sinds wanneer is www.security.nl eigenlijk gestopt met google-analytics?
Ik meen toch zeker te weten dat deze site daar ook gebruik van maakte, maar momenteel lijkt het foetsie.
Of ben ik nou abuis?
Ik meen toch zeker te weten dat deze site daar ook gebruik van maakte, maar momenteel lijkt het foetsie.
Of ben ik nou abuis?
De vraag is natuurlijk hoe gaat men dat oplossen als het niet meer mag? Krijgt Google dan de opdracht om alle accounts
die in de EU geregistreerd zijn op te heffen en de functionaliteit van de analytics aanroepen uit te schakelen, of moeten
alle websites dan verplicht die code weghalen en zitten we weer jaren te wachten tot dat een beetje geregeld is?
die in de EU geregistreerd zijn op te heffen en de functionaliteit van de analytics aanroepen uit te schakelen, of moeten
alle websites dan verplicht die code weghalen en zitten we weer jaren te wachten tot dat een beetje geregeld is?
Mensen die reageren zoals hierboven hebben waarschijnlijk nog nooit gezien hoe GA werkt en wat je er mee kunt. Ja je kunt IPadressen zien, maar dat kan ik ook als ik naar de logs van mijn server kijk.
14-01-2022, 11:46 door
Open source gebruiker
Door Anoniem: Dat GA niet is toegestaan is niks nieuws. Dat weet iedere jurist die zich met gegevensbescherming bezighoud.
Als dat zo is, waarom dienen die juristen dan daarover geen klachten in bij de AP?Dat GA niet is toegestaan is niks nieuws. Dat weet iedere jurist die zich met gegevensbescherming bezighoud.
Als dat zo is, waarom dienen die juristen dan daarover geen klachten in bij de AP?Dat is dus gebeurd. Door Max Schrems.
https://noyb.eu/nl/101-ingediende-klachten-over-overdrachten-tussen-de-eu-en-de-vs
Dit gebeurde na:
https://autoriteitpersoonsgegevens.nl/nl/nieuws/privacy-shield-voor-doorgifte-naar-vs-ongeldig-verklaard
Door Anoniem: Mensen die reageren zoals hierboven hebben waarschijnlijk nog nooit gezien hoe GA werkt en wat je er mee kunt. Ja je kunt IPadressen zien, maar dat kan ik ook als ik naar de logs van mijn server kijk.
Ja maar "IP adressen zijn persoonsgegevens" "die mag je helemaal niet loggen zonder doelbinding of technisch belang".In je logs naar de IP adressen kijken zonder dat je bezig bent iets netwerktechnisch te debuggen dat mag natuurlijk
HELEMAAL niet!
Door Anoniem: Mensen die reageren zoals hierboven hebben waarschijnlijk nog nooit gezien hoe GA werkt en wat je er mee kunt. Ja je kunt IPadressen zien, maar dat kan ik ook als ik naar de logs van mijn server kijk.
Google Analytics is een gratis tool van Google waarmee je diepgaande en uitgebreide statistieken kunt verzamelen over bezoekers op je website.Je krijgt met Google Analytics niet alleen inzicht in de hoeveelheid bezoekers op je website, maar ook in het gedrag van je bezoekers én hoe deze bezoekers op je website terechtkomen.
Dus IP adressen, referrer URL en verder alles wat de browser prijsgeeft zoals ingestelde taal, timezone etc. etc. etc. Genoeg om een uniek profiel van iemand zijn browser samen te kunnen stellen om met aan zekerheid grenzende waarschijnlijkheid deze info te kunnen linken aan E E N persoon/computer.
Door Anoniem: Mensen die reageren zoals hierboven hebben waarschijnlijk nog nooit gezien hoe GA werkt en wat je er mee kunt. Ja je kunt IPadressen zien, maar dat kan ik ook als ik naar de logs van mijn server kijk.
Google heeft normaal gesproken geen toegang tot de logs van jou server. Als server beheerder mag je niet zomaar het IP adres en allerlei metadata van je bezoekers aan Google doorgeven.
14-01-2022, 14:26 door
karma4
Door Open source gebruiker:
Door Anoniem: Dat GA niet is toegestaan is niks nieuws. Dat weet iedere jurist die zich met gegevensbescherming bezighoud.
Als dat zo is, waarom dienen die juristen dan daarover geen klachten in bij de AP?Omdat die niet de privacy als doel heeft maar uit is open eigen nacht naar een big brother positie.Dit onderwerp is vaak genoeg aangekaart, het is het doel achter de GDPR. De AP lijkt de GDPR niet begrijpen dan wel een eigen verborgen agenda te hebben..
Door karma4:
Omdat die niet de privacy als doel heeft maar uit is open eigen nacht naar een big brother positie.Dit onderwerp is vaak genoeg aangekaart, het is het doel achter de GDPR. De AP lijkt de GDPR niet begrijpen dan wel een eigen verborgen agenda te hebben..
Door Open source gebruiker:
Door Anoniem: Dat GA niet is toegestaan is niks nieuws. Dat weet iedere jurist die zich met gegevensbescherming bezighoud.
Als dat zo is, waarom dienen die juristen dan daarover geen klachten in bij de AP?Omdat die niet de privacy als doel heeft maar uit is open eigen nacht naar een big brother positie.Dit onderwerp is vaak genoeg aangekaart, het is het doel achter de GDPR. De AP lijkt de GDPR niet begrijpen dan wel een eigen verborgen agenda te hebben..
Je troll plaat blijft hangen Karma4. Wat heeft het AP of Aleid Wolfsen jou toch misdaan omdat je dit zo blijft framen?
AP heeft helemaal niet tot doel macht en een BB postitie, het AP wil de privacy van burgers beschermen maar jij ben falikant tegen privacy in welke vorm dan ook. Jij zet privacy voorvechters weg als een stelletje mafkezen die ciriminaliteit willen faciliteren en dat is ABSURD.
Door Anoniem: Dat GA niet is toegestaan is niks nieuws. Dat weet iedere jurist die zich met gegevensbescherming bezighoud.
Onzin GA was gewoon toegestaan mits er stappen werden ondernomen voor anonymisering en expliciete toestemming voor verwerken met mogelijheid tot weigeren zonder toegang ontzegging van gekoppelde dienst.AP heeft zelf daarvoor code voorbeeld in de stappenplan staan.
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id= UA- xxxxxxx-x "></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-xxxxxxx-x', { 'anonymize_ip': true }); // Toelichting AP: Hiermee zet u de IPmaskering aan
</script>
Waar nu sprake van is dat de eerdere uitzonderingen dus blijkbaar toch niet verenigbaar zijn met de GDPR wat betekend dat er een wetswijziging nodig is en mogelijk tijdelijk uitzetten van GA.
Al is de kans dat het laatste werkelijk straks nodig is zeer laag. Dit is niet de eerste keer dat er iets niet volgens de GDPR ging waarna men doodleuk de crititeria heeft aangepast van GDPR in plaats van acties heeft verboden.
GDPR is bedoeld om de spelregels vast te leggen niet om mensen onbeperkt privacy te geven.
Maar enkel positief dat er nu iets vastgelegd staat want tot nu toe was het allemaal ongetoetst en op aannames.
Door Anoniem:
AP heeft zelf daarvoor code voorbeeld in de stappenplan staan.
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id= UA- xxxxxxx-x "></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-xxxxxxx-x', { 'anonymize_ip': true }); // Toelichting AP: Hiermee zet u de IPmaskering aan
</script>
Waar nu sprake van is dat de eerdere uitzonderingen dus blijkbaar toch niet verenigbaar zijn met de GDPR wat betekend dat er een wetswijziging nodig is en mogelijk tijdelijk uitzetten van GA.
Al is de kans dat het laatste werkelijk straks nodig is zeer laag. Dit is niet de eerste keer dat er iets niet volgens de GDPR ging waarna men doodleuk de crititeria heeft aangepast van GDPR in plaats van acties heeft verboden.
GDPR is bedoeld om de spelregels vast te leggen niet om mensen onbeperkt privacy te geven.
Maar enkel positief dat er nu iets vastgelegd staat want tot nu toe was het allemaal ongetoetst en op aannames.
Door Anoniem: Dat GA niet is toegestaan is niks nieuws. Dat weet iedere jurist die zich met gegevensbescherming bezighoud.
Onzin GA was gewoon toegestaan mits er stappen werden ondernomen voor anonymisering en expliciete toestemming voor verwerken met mogelijheid tot weigeren zonder toegang ontzegging van gekoppelde dienst.AP heeft zelf daarvoor code voorbeeld in de stappenplan staan.
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id= UA- xxxxxxx-x "></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-xxxxxxx-x', { 'anonymize_ip': true }); // Toelichting AP: Hiermee zet u de IPmaskering aan
</script>
Waar nu sprake van is dat de eerdere uitzonderingen dus blijkbaar toch niet verenigbaar zijn met de GDPR wat betekend dat er een wetswijziging nodig is en mogelijk tijdelijk uitzetten van GA.
Al is de kans dat het laatste werkelijk straks nodig is zeer laag. Dit is niet de eerste keer dat er iets niet volgens de GDPR ging waarna men doodleuk de crititeria heeft aangepast van GDPR in plaats van acties heeft verboden.
GDPR is bedoeld om de spelregels vast te leggen niet om mensen onbeperkt privacy te geven.
Maar enkel positief dat er nu iets vastgelegd staat want tot nu toe was het allemaal ongetoetst en op aannames.
Er wordt sowieso een IP vastgelegd omdat er een script geladen wordt vanaf Google servers. Je kunt in je eigen script zetten wat je wilt, dat maakt niets uit. Dat is window dressing en een doorzichtige poging van partijen met belangen om het te laten lijken alsof er wel wordt voldaan aan GDPR.
Overigens is het IP niet anoniem gemaakt maar pseudo-anoniem. Dat maakt effectief ook geen verschil.
En daarbij:
De Autoriteit Persoonsgegevens kan onmogelijk toezicht houden op wat deze code precies doet:
https://www.google-analytics.com/ga.js
Google Analytics is spyware. Geldt ook voor al die andere geinclude javascript die je op praktisch elke website tegenkomt.
De Autoriteit Persoonsgegevens kan onmogelijk toezicht houden op wat deze code precies doet:
https://www.google-analytics.com/ga.js
Google Analytics is spyware. Geldt ook voor al die andere geinclude javascript die je op praktisch elke website tegenkomt.
15-01-2022, 12:10 door
Briolet
Door Anoniem:…Er wordt sowieso een IP vastgelegd omdat er een script geladen wordt vanaf Google servers.
Precies,, het gaat al mis in deze regel:<script async src="https://www.googletagmanager.com/gtag/js?id= UA- xxxxxxx-x "></script>
<script>
Google weet nu al precies welk IP welke website bezoekt. Als je wilt anoniemiseren, moet je dat script op je eigen website zetten en goed bestuderen of de anonimiseringsfunctie in het script ook doet wat hij belooft.<script>
Door Anoniem:
Er wordt sowieso een IP vastgelegd omdat er een script geladen wordt vanaf Google servers. Je kunt in je eigen script zetten wat je wilt, dat maakt niets uit. Dat is window dressing en een doorzichtige poging van partijen met belangen om het te laten lijken alsof er wel wordt voldaan aan GDPR.
Overigens is het IP niet anoniem gemaakt maar pseudo-anoniem. Dat maakt effectief ook geen verschil.
Oh dat het hier om window dressing gaat en pseudo gedrag was me allang bekend het gaat mij enkel erom dat vanuit AP het gebruik van GA op aannames gewoon legaal was en dat hun de verkeerde terminologie gebruiken zegt al genoeg over hoe goed er nagedacht is over de implementatieDoor Anoniem:
AP heeft zelf daarvoor code voorbeeld in de stappenplan staan.
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id= UA- xxxxxxx-x "></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-xxxxxxx-x', { 'anonymize_ip': true }); // Toelichting AP: Hiermee zet u de IPmaskering aan
</script>
Waar nu sprake van is dat de eerdere uitzonderingen dus blijkbaar toch niet verenigbaar zijn met de GDPR wat betekend dat er een wetswijziging nodig is en mogelijk tijdelijk uitzetten van GA.
Al is de kans dat het laatste werkelijk straks nodig is zeer laag. Dit is niet de eerste keer dat er iets niet volgens de GDPR ging waarna men doodleuk de crititeria heeft aangepast van GDPR in plaats van acties heeft verboden.
GDPR is bedoeld om de spelregels vast te leggen niet om mensen onbeperkt privacy te geven.
Maar enkel positief dat er nu iets vastgelegd staat want tot nu toe was het allemaal ongetoetst en op aannames.
Door Anoniem: Dat GA niet is toegestaan is niks nieuws. Dat weet iedere jurist die zich met gegevensbescherming bezighoud.
Onzin GA was gewoon toegestaan mits er stappen werden ondernomen voor anonymisering en expliciete toestemming voor verwerken met mogelijheid tot weigeren zonder toegang ontzegging van gekoppelde dienst.AP heeft zelf daarvoor code voorbeeld in de stappenplan staan.
<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id= UA- xxxxxxx-x "></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-xxxxxxx-x', { 'anonymize_ip': true }); // Toelichting AP: Hiermee zet u de IPmaskering aan
</script>
Waar nu sprake van is dat de eerdere uitzonderingen dus blijkbaar toch niet verenigbaar zijn met de GDPR wat betekend dat er een wetswijziging nodig is en mogelijk tijdelijk uitzetten van GA.
Al is de kans dat het laatste werkelijk straks nodig is zeer laag. Dit is niet de eerste keer dat er iets niet volgens de GDPR ging waarna men doodleuk de crititeria heeft aangepast van GDPR in plaats van acties heeft verboden.
GDPR is bedoeld om de spelregels vast te leggen niet om mensen onbeperkt privacy te geven.
Maar enkel positief dat er nu iets vastgelegd staat want tot nu toe was het allemaal ongetoetst en op aannames.
Er wordt sowieso een IP vastgelegd omdat er een script geladen wordt vanaf Google servers. Je kunt in je eigen script zetten wat je wilt, dat maakt niets uit. Dat is window dressing en een doorzichtige poging van partijen met belangen om het te laten lijken alsof er wel wordt voldaan aan GDPR.
Overigens is het IP niet anoniem gemaakt maar pseudo-anoniem. Dat maakt effectief ook geen verschil.
Het hele internet is niet geschreven met privacy in mind die illusie heb ik ook nooit gehad zelf.
Maar belangrijkste is nu wat de spelregels gaan worden met gebruik van GA want je kan er gif opnemen dat GA straks gewoon weer mogelijk is door te grote economische impact voor bedrijven en gelobby van Google, adverteerders en er alleen op papier effectief wat gaat veranderen.
GDPR zou de doodsteek zijn van tracking cookies, technieken en analytics werdt ons voorgehouden als doem scenario of privacy hype voor de gene die erop hoopten. Wel net als het einde van IPv4 is daar nog zeer weinig van gekomen.
15-01-2022, 13:24 door
karma4
Door Anoniem: Je troll plaat blijft hangen Karma4. Wat heeft het AP of Aleid Wolfsen jou toch misdaan omdat je dit zo blijft framen?
Ik stel een feit vast uit uitlating en acties. - Dat met die analytics en doorsturen naar derde partijen is als jaren bekend. Nooit een reactie van de AP.
- Grote acties naar de media over foto's op kinderfeestjes als het privacy probleem.
- De grens met defibrillators was bereikt omdat hulp inroepen als privacy schenden iets te cru was.
Helaas met covid toch weer de uitlatingen van de AP dat de vele doden geen privacy probleem is. het voorkomen ook niet.
AP heeft helemaal niet tot doel macht en een BB postitie, het AP wil de privacy van burgers beschermen maar jij ben falikant tegen privacy in welke vorm dan ook. Jij zet privacy voorvechters weg als een stelletje mafkezen die criminaliteit willen faciliteren en dat is ABSURD.
Nee ik ben voor privacy en wel zoals het bedoeld is .
Dus niet de vorm van privacy uit 1984 waar de AP zo graag naar toe lijkt te willen werken
Helaas niet Absurd...
We zien met alle demonstratie de doxing en bedreigingen het resultaat van de vri heid en privacy geroep
Duidelijk geen afkeuring of optreden van de AP, dus faciliterend. Gezien bepaalde contacten verbaasd met dat niet.
Door Anoniem: Je troll plaat blijft hangen Karma4. Wat heeft het AP of Aleid Wolfsen jou toch misdaan omdat je dit zo blijft framen?
Toevoeging een bloemlezing:- https://autoriteitpersoonsgegevens.nl/nl/nieuws/websites-moeten-toegankelijk-blijven-bij-weigeren-tracking-cookies
“Het digitaal volgen en vastleggen van surfgedrag op internet via volgsoftware of andere digitale methodes is een van de grootste verwerkingen van persoonsgegevens, omdat vrijwel iedereen op internet actief is. Ter bescherming van de privacy is het daarom van belang dat partijen aan websitebezoekers op een goede manier toestemming vragen”, aldus Aleid Wolfsen, voorzitter van de AP.
Dit is slecht, enkel gericht op een techniek, niet de aanpak. We hadden eerder de hele discussie al met facebooek pixel
- https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/internet-telefoon-tv-en-post/cookies#hoe-kan-ik-bij-google-analytics-de-privacy-van-mijn-websitebezoekers-beschermen-4898"
Andere analytics-programma’s & privacy
De AP gaat hier specifiek in op Google Analytics, omdat dit de meest gebruikte analytics-dienst is op websites in Nederland. De AP wil hiermee geen oordeel geven over andere marktpartijen.
Er bestaat ook software die websitehouders op hun eigen webserver kunnen installeren, waarbij de privacyrisico's veel geringer zijn.
- de link naar het facebook pixel gebeuren staat er bij.
"Persbericht AP 16 mei 2017
AP: Facebook handelt in strijd met privacywetgeving
Facebook handelt in strijd met de Nederlandse privacywetgeving. Dat is de conclusie van de Autoriteit Persoonsgegevens (AP) na onderzoek naar de verwerking van persoonsgegevens van zo’n 9,6 miljoen Nederlandse Facebook-gebruikers. Facebook overtreedt onder meer de wet door gebruikers onvolledig te informeren over het gebruik van persoonsgegevens
Met andere woorden ze hebben het 5 jaar bewust laten liggen totdat er in Oostenrijk iemand is die wel actie onderneemt en waar mogelijk een gevolg aan gegeven wordt. Dat is niet hoe de GDPR de toezichthouders bedacht heeft.
Het is reageren op media aandacht, eigen machtspositie versterking en niet op het doel van privacy gericht.
Met het tracken van reizigers van begin tot eindpunt zie je dezelfde lakse houding en het laten doormodderen van een ongewenste situatie.
Met het rekeningrijden wat op afstand en reis gedacht is zal dat tracken van personen wel terug komen en gewoon doorgaan..
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
