Gebruikers Google Analytics schenden Nederlandse privacywet

analytics-cookie.pngGebruikers van Google Analytics hebben volgens de wet een aparte bewerkersovereenkomst nodig, maar Google weigert dit, zo las ik bij Webwereld. In een onderzoek van de privacytoezichthouder naar persoonsgegevensverwerkende smart TV’s kwam ook voorbij dat je zo’n overeenkomst moet afsluiten als je met Google Analytics werkt. Niemand doet dat, sterker nog niemand kán dat doen want Google vindt dat er geen sprake is van een privacyschending.

Wanneer je het verwerken van persoonsgegevens uitbesteedt, heet die andere partij een bewerker. De verantwoordelijke bepaalt wat er gaat gebeuren en hoe (doel en middelen), en de bewerker voert dat uit. Dit is geschreven voor situaties waarin je bv. een bedrijf inhuurt om een papieren mailing uit te doen naar je relaties of om een stukje van je dienstverlening uit te kunnen besteden. Maar de definitie past ook prima bij een clouddienst: de cloudgebruiker bepaalt wat er moet gebeuren en kiest de middelen – de clouddienst – en de dienstverlener voert dat simpelweg uit.

De wet schrijft voor dat je verplicht een bewerkersovereenkomst moet sluiten tussen verantwoordelijke en bewerker. Hierin komt te staan wat de bewerker mag doen (en wat vooral niet), welke beveiligingsmaatregelen hij moet nemen en hoe de verantwoordelijke op een en ander toezicht houdt. Dat moet dus ook in de cloud, en daar gaat het al snel mis want geen hond (cloudhond?) die zich daaraan houdt.

Nu zou je zeggen dat een partij als Google dat eenvoudig kan fixen. Maak een standaard bewerkersovereenkomst, zet die naast de gebruikersvoorwaarden (hij mag er niet ín, het moet een aparte overeenkomst zijn) en klaar is Sergey. Maar nee, Googles bedrijfsbeleid is dat Google Analytics geen persoonsgegevens verwerkt en men herkent zich niet in de mening van het Cbp.

Je kunt je afvragen óf er wel persoonsgegevens worden verwerkt met deze dienst. Zoals Webwereld schrijft,

TP Vision gebruikt first party cookies in plaats van third party tracking cookies, verwijdert het laatste octet van alle IP-adressen voordat ze worden opgeslagen, heeft de optie ‘gegevens delen’ in Google Analytics uitstaan en maakt geen gebruik van Google AdWords en AdSense.

Dit is de best practice van hoe je zo privacyvriendelijk mogelijk Google Analytics inzet. Maar nee, aldus het Cbp:

Voor Google zijn deze gegevens op zichzelf persoonsgegevens. De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden.

Het feit dat Google het kán herleiden maakt Analyticsdata dus persoonsgegevens, ook als Google via de uitstaande optie ‘gegevens delen’ belóóft het niet te doen. Tsja. Dan houdt het wel een beetje op inderdaad met dit soort diensten, want herleiden kán vrijwel altijd.

Exit Google Analytics? Nou, dat denk ik niet. Net als met de cookiewet gaat dit massaal genegeerd worden. Het Cbp kan het wel een “waarschuwing aan de hele branche” noemen maar zonder boetes en handhavend optreden is dat geen echt compliance-afdwingende waarschuwing.

Arnoud

23 reacties

    1. Da’s wel een hele leuke ja. Ze handelen in mijn opdracht en jouw IP-adres is een persoonsgegeven. Dus ze zijn bewerker. Volgens die redenering zijn alle internetproviders en hostingproviders óók bewerkers. Dan kunnen we overuren gaan maken als juristen bij ’t verkopen van bewerkersovereenkomsten.

  1. Google Analytics verdwijnt niet simpelweg omdat ze vanuit de USA opereren. Wat een Nederlandse organisatie vervolgens beslist deert hen nauwelijks. Hooguit schakelen ze Analytics uit voor alle .nl domeinen en blijven ze de boel verder negeren. Immers, Analytics is buiten Nederland nog gewoon toelaatbaar. Of misschien buiten de EU. Je krijgt dan een situatie zoals met Youtube, waarbij de functionaliteit in sommige landen wel werkt en in andere weer niet. Maar ik ben blij dat Analytics bestaat want dat voorkomt dat anderen dit “wiel” opnieuw uitvinden. Het zou veel vervelender worden indien iedere website hun eigen “Analytics” software gaat inbouwen in hun site en zo nog veel meer gegevens verzamelen dan Google al doet. En daar bovendien veel slordiger mee om gaan. Beter het Kwaad dat je kent dan het Kwaad dat zich verbergt…

    1. Standaard kan een ieder de logfiles van de eigen website verwerken, dit eigenhandig of via de hostingprovider. Het fenomenale en alles bepalende verschil is wel dat die alleen de gegevens van JOUW bezoek aan DEZE website bevatten. Niets meer en niets minder.

      Google heeft de beschikking over heel veel gegevens van wat jij op internet doe. Van iedere website waar analytics in zit krijgen ze alle details, heeft de eigenaar van de website ook de webwinkel van analytics voorzien dan heeft google ook alle gegevens (aantal/product/prijs) van wat jij hebt gekocht. Nu zal jij daar niet mee inzitten, er zijn mensen die daar anders over denken. Het is een schandaal dat sommige uitbaters van websites jou als bezoeker dit door de strot duwen, als je nee zeg stuitert je browser gelijk naar google of wat dan ook.

      Persoonlijk geloof ik absoluut niet dat google niets met de data zal doen, zij zullen dat ongeacht wat je instel maximaal benutten om winst te maken. Het is goud waard voor hen om te weten wat jij heb gekocht om zo de juiste advertenties voor te kunnen schotelen..

      Overigens, als google zich in de EU aan bepaalde regels moet houden en deze google onwelvallig zijn dan kunnen ze uiteraard hun diensten hier staken. Gezien de omzet in de EU zullen ze dat niet zo snel doen. Het wachten is alleen op toezichthouders, beleidsmakers en politici die er echt iets aan durven doen.

      Analytics gratis? Natuurlijk: er is altijd gratis kaas in een muizenval.

      1. Leuk dat je begint over logfiles, maar sowieso is de vraag “Waar staan de IIS/Apache logfiles” een behoorlijk vaak gestelde vraag op Google, wat aangeeft dat er eigenlijk maar weinig gebruik van wordt gemaakt. Daarnaast kunnen deze logfiles uit gezet worden. Daarnaast zijn deze logfiles een enorme verzameling data die al het verkeer naar de server bevatten, zelfs voor triviale zaken zoals het ophalen van de robots.txt en de vele plaatjes. Zonder een goede filter daarbovenop zie je door al deze bomen het bos gewoon niet meer. Het is maar data, geen informatie. Je moet het eerst naar informatie omzetten en dat is wat Analytics eigenlijk doet.

        Google heeft sowieso extreem veel informatie, zeker als je ziet hoe populair Google Chrome en Android zijn op dit moment. Als je een scheet laat dan is dat al bekend bij Google. (En bij de NSA maar dat is een andere discussie.) En als ik bedenk dat ik naast Chrome en Android ook nog eens een Google Apps account heb waarmee ik mijn domeinnamen deels beheer (email) dan denk ik dat Google behoorlijk veel over mij weet. Vind ik dat erg? Niet zo. Er zijn wel meer organisaties wereldwijd die informatie over iedereen verzamelen. En van Google weet ik het dus kan ik rekening houden met wat ik via Google vrij wil geven.

        Wie wat meer paranoide is, die kan beter niet online gaan. Over de spionage-activiteiten van de NSA komen steeds meer gegevens naar buiten, inclusief het vermoeden dat ze ondertussen SSL-verbindingen kunnen hacken en dus zelfs je HTTPS dataverkeer bekeken kan worden. En naast de NSA zullen er vast nog honderden andere organisaties zijn die zo in het geniep en betaald door hun regering het gehele Internet bespieden. China en Rusland zullen zeker ook heel aktief online aan het speuren zijn. Israel heeft ook heel veel beveiligers op Internet-gebied die het nodige kunnen afspeuren, net als de Britten, de Fransen en de Duitsers. Het verschil is dat we het van Google weten, maar hoe zit het met de rest? Tijd voor een aluminium hoed…

        Verder, Google zal best binnen de EU aktief blijven maar indien de wetgeving hen daartoe dwingt stoppen ze gewoon met het leveren van bepaalde diensten binnen de EU. Zo wilden diverse Belgische kranten geld van Google omdat Google een nieuws-aggregator had gemaakt die de online krantenkoppen verzamelden zonder daar een vergoeding voor te betalen. Ze gingen naar de rechter en kregen gelijk, waarop Google deze dienst gewoon stopte voor deze kranten en ze opeens merkten dat ze veel minder bezoekers kregen! Ondertussen is de zaak geschikt, na 6 jaar, waarbij Google opdraait voor de juridische kosten maar nog steeds geen cent gaat betalen voor het overnemen van deze nieuwskoppen. De kranten in Belgie claimen wel gewonnen te hebben maar wat dan? Eerst kregen ze niets, nu krijgen ze niets. En gedurende de 6 jaar procederen kregen ze ook niets. Ze verloren zelfs lezers die niet meer via Google op hun sites kwamen.

        Zo ook met Analytics. Als dat binnen Europa niet meer gebruikt mag worden gaan site-bouwers hun eigen systemen inbouwen, waardoor sites in Europa duurder worden dan sites uit landen waar Analytics wel gebruikt mag worden. De behoefte voor dit soort functionaliteit is er nu eenmaal dus is straks Analytics enkele honderden malen opnieuw uitgevonden. Dat schiet niet op! Dat is net als de stichting BREIN die claimt te hebben gewonnen nu TPB in Nederland wordt geblokkeerd. Ondertussen heeft iedereen nu wel weer een omweg gevonden en zijn er honderden proxies op dit moment aktief die een omweg om de blokkade bieden. Het aantal Nederlandse bezoekers aan TPB is ondertussen alleen maar toegenomen, mede dankzij alle media-aandacht.

        Analytics is gewoon een hulpmiddel om gegevens te verzamelen over alle bezoekers. Voor de site-eigenaar zelf is veel van deze data redelijk geanonimiseerd en wordt deze als bruikbare informatie weergegeven zoals hoeveel bezoekers er zijn geweest, wanneer ze het meest aktief waren, waar ze vandaan komen en hoe lang ze bleven. Dat is ook eigenlijk het meest interessante, zeker bij cloud-oplossingen waarbij je per CPU betaalt. Niemand die geinteresseerd is of Arnoud hun site bezoekt, maar wel hoeveel mensen uit Amsterdam bezoeken zodat ze weten dat ze beter geen Feyenoord-reclames kunnen tonen. 🙂 Maar goed, als Analytics niet is toegestaan dan worden er andere oplossingen opgezocht of gebeuren bepaalde zaken gewoon meer verborgen. Overigens, WordPress heeft zelf al bepaalde Analytics-functionaliteit ingebouwd zodat je bij een WordPress-blog Analytics eigenlijk niet nodig hebt. 😉

        1. Er bestaan voldoende analyse tools die de webserver logs voor jou kunnen analyseren. Als je niet weet waar die staan, dan vraag je het aan de hostingprovider, of je lees de configuratie van je webserver. Als men het niet kan vinden, dan wijst dat wellicht op een ander probleem: mensen die zonder benodigde kennis allerlei zaken pogen te beheren. De hostingprovider zal vaak overigens al analyse tools meeleveren of mee kunnen leveren, kwestie van vragen of een andere provider kiezen als ze dat niet doen.

          In ieder geval is het wegvallen van google analytics, als dat al zou gebeuren, geen enkel argument voor duurdere websites. Het is namelijk niet lastiger dan het inbakken van analytics in een website.. Je moet alleen weten hoe.

          Vergelijking met blokkeren van een of enkele kranten is heel iets anders dan de hele EU. Dat is qua omzet, ook voor google, een zeer fors potentieel. Als google de keus krijgt om zich naar EU wetgeving te voegen of op te krassen zullen zij zich hiernaar voegen.

          1. Het gaat er niet om dat die hulpmiddelen er zijn, maar dat veel systeembeheerders en developers deze gegevens niet eens weten te vinden! Veel ontwikkelaars maken sowieso hun eigen logboeken waarin ze alle bezoekers vastleggen voor de interne administratie, in plaats van dat de op de standaard logfiles vertrouwen. Immers, de logfiles is data, maar wat een web applicatie opslaat is informatie. Analytics is een oplossing om de bezoekers-data te vertalen naar informatie en Google is niet de enige die dit doet. WordPress heeft vergelijkbare hulpmiddelen die al helemaal handig zijn indien je de “Hosted WordPress” hebt gekozen, zoals ik voor mijn blog heb gedaan. Je krijgt ze er gratis bij en de vraag is of deze net zo legaal zijn als Google Analytics of dat ik WordPress moet melden dat deze uit moeten… Het wegvallen van Analytics zal betekenen dat tientallen andere opties in populariteit zullen stijgen, en ontwikkelaars hier een keuze uit moeten maken. Daarbij is vooral ook de betrouwbaarheid belangrijk, maar ook de hoeveelheid data die men vrijgeeft aan de site eigenaar over de bezoekers. Piwik zal zeker populairder worden maar vereist wel dat je het een en ander moet inbouwen in je website. Moet met Google ook, maar de meeste functionaliteit wordt door Google beheerd. Met Piwik moet je zelf meer beheren, wat dus meer werk is. En dus kostbaarder. (Of je neemt Piwik hosting voor $4 per maand.) Maar als je zelf gaat hosten moet je server sowieso PHP kunnen ondersteunen, wat voor .NET ontwikkelaars wel een beetje zot is.

            Maar naast Piwik zullen nog diverse andere opties gaan ontstaan. Alternatieven voor .NET en ColdFusion zullen vrij populair worden. Maar er zijn meer dan genoeg andere ontwikkel-omgevingen voor het hosten van websites. Hoeveel daarvan ook daadwerkelijk worden gebruikt is maar de vraag maar er zullen best nog wel sites zijn die met Perl, Python of C++ zijn geschreven. Google heeft een mooie “een voor allen” oplossing waarbij je als site-bouwer helemaal geen aparte maatregelen hoeft te nemen.

    2. Maar ik ben blij dat Analytics bestaat want dat voorkomt dat anderen dit “wiel” opnieuw uitvinden. Het zou veel vervelender worden indien iedere website hun eigen “Analytics” software gaat inbouwen in hun site en zo nog veel meer gegevens verzamelen dan Google al doet. En daar bovendien veel slordiger mee om gaan.

      Er zijn al verschillende pakketten die analytics kunnen doen zoals Google Analytics. Je moet dat alleen wel even op een server installeren. piwik.org is bijvoorbeeld een vrij alternatief.

      Is het niet veel vriendelijker naar een bezoeker als je zegt “Alleen wij kunnen – ter verbetering van de website – bezoekersstatistieken inzien” in plaats van “Ja, Google doet dat voor ons, maar zij gebruiken het ECHT niet zelf hoor!”

      Bovendien, zoals al is gezegd, IP adressen worden toch al gelogd. Zulke pakketten kunnen de statistieken juist mooi anonimiseren (er vanuit gaande dat ze dat ondersteunen).

      Ik denk dat het voor (Nederlandse) website ontwikkelaars juist een pre is als ze analytics ‘in house’ doen en niet dat van Google gebruiken.

      1. Is het niet veel vriendelijker naar een bezoeker als je zegt “Alleen wij kunnen – ter verbetering van de website – bezoekersstatistieken inzien in plaats van “Ja, Google doet dat voor ons, maar zij gebruiken het ECHT niet zelf hoor!”
        Je kunt bij Piwik ook kiezen voor een gehoste variant. Kost $4 per maand en maakt Piwik beschikbaar voor ieder server-platform. Alleen word je data dan weer beheerd door een buitenlandse organisatie met banden over de gehele wereld. Gelukkig heeft Piwik hun basis nabij Lille, in Frankrijk en niet de USA. Kunnen de Fransen jouw bezoekers bespioneren. 🙂 Mocht je het zelf willen hosten dan zul je de eigen server voor moeten aanpassen. Die zal dus PHP moeten ondersteunen, waarbij ik als .NET programmeur al aardig in verzet kom. En ik kan mij voorstellen dat er diverse bedrijven zijn die geen PHP binnen hun bedrijf willen hebben om wat voor reden dan ook. Misschien kortzichtig, maar het zal zeker voorkomen. Het configureren en uptodate houden van de Piwik code plus de server kost weer extra werk. Niet veel, misschien, maar een bedrijf dat Piwik gebruikt kan er zwaar afhankelijk van worden.

        Piwik maakt daarnaast gebruik van MySQL, wat voor ontwikkelaars die Oracle of SQL Server gebruiken ook weer een protest-reden is. Sowieso lastig als je je site laat hosten en de hoster alleen SQL Server aanbiedt bij hun Windows 2012 server-pakket. (Overstappen naar Linux is een optie maar al die Windows ontwikkelaars zul je dan met brandende fakkels aan kunnen zien komen.)

        Waar het om gaat: Google Analytics is een oplossing die in een webpagina maar een paar regels code vereist en daarmee onafhankelijk is van het platform. Mijn Arduino ethernet-bord kan al heel eenvoudig als webserver worden gebruikt inclusief Analytics. Daar hoef ik niets voor te doen. Bij alle andere oplossingen moet er extra functionaliteit aan de server worden toegevoegd, of een andere aanbieder van Analytics functionaliteit worden gevonden. De eerste optie is meer werk en dus kostbaarder. Zal niet populair worden. De tweede optie verschuift het probleem alleen van Google naar een ander bedrijf.

        1. Ik heb niet gekeken of er alternatieven zijn voor Windows Server/SQL. Ik heb sowieso geen idee wat de open vrije alternatieven op allerlei voor dat platform zijn.

          Maar mogelijk is er een gat om in te springen. Maak het en verkoop het (hoeft niet per se gratis te zijn).

          1. Ach, het maken en verkopen is het probleem niet. Probleem is alleen dat het al bestaat en Google veruit de meest favoriete is. Als je daarbij Google Chrome, Android en hun zoekmachine bij optelt is het vrijwel onmogelijk om buiten hen om te gaan. Nou ja, tenzij je volledig de Microsoft of Apple richting uit gaat. Het gaat ook niet om alternatieve oplossingen maar een conflict tussen Google en Nederland over een simpele overeenkomst. Google is van mening dat ze de privacy niet schenden en de privacytoezichthouder denkt daar anders over. Het gaat hierbij dan ook nog om een zeer specifieke situatie waar een Philips Smart TV toevallig van Analytics gebruik maakt. (En Sony dan? LG? Samsung?) Overigens is ook de cookiewetgeving overtreden, maar da’s weer een andere discussie. Dus de gehele discussie is van toepassing op Smart TV’s, die door fabrikanten wereldwijd worden geproduceerd. Alleen Philips is het haasje omdat zij in Nederland gevestigd zijn. Maar hoe zit het dan met al die andere televisiemerken die ook Smart TV’s produceren? Nu Philips het moeilijk krijgt gaan die anderen er gewoon van profiteren. Uiteindelijk gaat het hier om nieuwe IT ontwikkelingen (WebTV) die de wetgever gewoon niet kan bijhouden. Philips is daarbij het slachtoffer omdat het CBP-kastje hen doorstuurt naar de Google-muur en weer terug. Het is ook een probleem voor Philips, niet voor Google. Google werkt alleen niet mee, en dat recht hebben ze.

  2. Het Cbp kan het wel een “waarschuwing aan de hele branche” noemen maar zonder boetes en handhavend optreden is dat geen echt compliance-afdwingende waarschuwing.

    En daarom zal de komende EU-privacyverordening dat gelukkig veranderen.

        1. Het is correct dat de nieuwe bewerkersovereenkomst van Google voldoet aan wat de privacywet eist, het issue uit mijn blog. Alleen, Maarten vroeg, mag je nu Analytics inzetten zonder toestemming te vragen. Het antwoord dáárop is nee, omdat de cookiewet eist dat er toestemming wordt gevraagd alvorens analyticscookies te plaatsen. Die toestemming moet er zijn ongeacht of de cookies de privacy schenden.

  3. En als uiteindelijk de aanpassing van de wet er door is, (verwachting: eind van dit jaar): Aanpassing artikel 11.7a Telecommunicatiewet (Cookiebepaling). Kunnen dan analytische cookies geplaatst worden zonder expliciete toestemming?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.