De Zweedse toezichthouder heeft vier bedrijven waaronder de Zweedse tak van Tele2 een boete opgelegd en gesommeerd om het gebruik van Google Analytics per direct te staken. Dat las ik bij AG Connect. De inzet van de Standard Contractual Clauses is onvoldoende om de veiligheid van persoonsgegevens te borgen. In Nederland blijft men maar om de hete brij heen draaien, dus waar staan we nu?
Ik zou maar vast een alternatief voor Google Analytics gaan zoeken als ik jou was, blogde ik dapper in februari vorig jaar. In Oostenrijk was Analytics toen al verboden, de Noren zaten het te overwegen (ondertussen ook verbod) en er waren er meer, zoals de Duitse rechter. Opmerkelijke uitzondering was Spanje, dat in december een klacht afwees – zij het mede omdat de betrokken website was gestopt met de tool.
Het leek erop dat Nederland ook tot een verbod zou komen: de AP kondigde in datzelfde jaar een onderzoek aan en voegde een omineus zinnetje toe aan haar handleiding “Privacyvriendelijk Google Analytics”. Dat er nog steeds staat, tot grote ergernis van velen.
De Fransen kwamen met een technische oplossing, zij het technisch wat ingewikkelder namelijk een anonimiserende proxy. Dat lost het onderliggende probleem inderdaad op. Het gaat er immers om dat iedereen die de Analyticstool inzet, persoonsgegevens overbrengt naar de VS en dat doet met enkel de schaamlap van de Standard Contractual Clauses als onderbouwing. Dat mag niet, want er is geen daadwerkelijk toezicht.
Ondertussen is het dus juli 2023, gebruiken velen nog Google Analytics en is het alles bij elkaar bepaald onduidelijk te noemen. Waardoor je je afvraagt, die AVG is een Europese wet, hoezo is het zo moeilijk om daar als Europa één uitspraak over te doen?
Het probleem zit hem in de fundamentele keuze destijds in 2016 om geen centrale Europese handhaver aan te stellen. Er is wel de EDPB, maar dat is een samenwerkingsverband van toezichthouders. Die moet “consequente toepassing” van de AVG bevorderen en samenwerking regelen, maar kan niet afdwingen dat toezichthouders allemaal hetzelfde besluiten.
Daardoor ontstaat het beeld dat we toch per land anders kunnen bepalen wat de AVG wel of niet toestaat. Er is dan alleen nog een uitspraak van het Hof van Justitie die duidelijkheid kan brengen, maar dat duurt normaal nogal lang.
Arnoud
Onze AP heeft de “kwestie GA” ook al geruime tijd in onderzoek, kan jij speculeren over waarom het maar duurt en duurt om tot een conclusie te komen? Waar ik werk wordt het nog gebruikt, maar intern loopt de discussie er over nu al een jaar, waar sommige mensen GA willen verbannen maar daar geen budget voor kunnen krijgen omdat GA immers al is ingericht, voldoet, en (nog) niet verboden is.
Gegeven de jurisprudentie die er nu is in andere landen waar dezelfde Europese wetgeving van kracht is zou het toch relatief simpel moeten zijn. Wat GA doet is ook niet bijzonder complex, de casus lijkt me eigenlijk zelfs vrij simpel (maar misschien zie ik dat als leek totaal verkeerd).
Dat dit maar duurt en duurt voedt allerlei theorieen over hoe de AP eigenlijk niet de producten van die hele grote techreuzen wil aanpakken. Noyb heeft zelf ook al, geheel terecht, geklaagd over wetgeving in Ierland die het de toezichthouder aldaar mogelijk maakt om procedures geheim te houden. Al deze onzekerheid lijkt me zeer onwenselijk. Als bedrijf weet je nu bijvoorbeeld niet of het de moeite waard is om te investeren in het ontwikkelen van privacy-vriendelijke alternatieve software die wel aan de regels voldoet of niet. Als Google’s GA gebruikt mag blijven worden is de businesscase daarvoor heel anders dan als daar een verbod op komt.
Maarre, met de nieuwe EU-US Data Privacy Framework en de bijbehorende adequaatheidsbeslissing is nog maar de vraag hoeveel van dit verbod overeind blijft staan.
Ten minste, tot Schrems III.
Arnoud
Het gaat niet alleen over GA, maar ook over google fonts. Ik zie geen verschil. Voor beide zijn goede en eenvoudige alternatieven. Fonts zelfs poepsimpel, zelf hosten.
Vreemd genoeg worden Google fonts op deze blog gebruik:
https://fonts.googleapis.com/css?family=Open+Sans%3A400%2C400i%2C700%2C700i&ver=6.2.2 en https://fonts.gstatic.com/s/opensans/v35/memvYaGs126MiZpBA-UvWbX2vVnXBbObj2OVTS-muw.woff2 en https://fonts.gstatic.com/s/opensans/v35/memtYaGs126MiZpBA-UFUIcVXSCEkx2cmqvXlWqWuU6F.woff2
Wat heeft het ophalen en laten cachen van een fontfile met privacy te maken? Dat begrijp ik echt niet. Er wordt iets opgehaald, niet iets gestuurd toch? En persoonsgegevens komen er ook al niet bij kijken.
Privacy kan ook doorschieten. Dat doet het volgens mij al heel lang. En ondertussen blijven ALLE sites m.i. volkomen onnodige cookies zetten, al die overtrokken privacyregels hebben NIETS geholpen. Dat is twee keer fout, als je het mij vraagt.
Maar niemand vraagt het mij, dat weet ik ook wel, en misschien is dat ook maar beter.
De zorg over Google Fonts is dat met zulke requests alsnog bij een bezoek aan je site, de naam van je site + het IP-adres van de bezoeker naar Google gestuurd wordt dus dat ze dan alsnog weten dat die user op jouw site was. Op dit moment zetten ze geen cookies op de fonts. Maar er is geen harde garantie dat Google dat niet gaat doen en daarmee nog meer informatie verzamelt. Door de fonts lokaal te hosten zorg je dat er niet van elke websitebezoeker van jou er alsnog een seintje naar Google gaat. Lijkt mij een “quick win”.
Ja, is ook zo, dank voor de uitleg.
Ik heb overigens zelf alle fonts (niet van Google, wel veel van SIL) lokaal gehost. (Gehost? Is het dan carnaval? ;)) Kost wat dataverkeer, maar het wordt allemaal gecachet, en woff neemt niet zoveel ruimte in.
https://rudhar.com/fonts/ O ja, toch een paar van Google, was ik vergeten. Maar die worden zelden gebruikt.
Nog steeds geen wijziging, ondanks dat dit eenvoudig kan.
Als je een Nederlandstalige site hebt, vertelt Google Analytics je dat die vooral gelezen wordt in Nederland en Vlaanderen, en af en toe ook vanuit Canada en Australië. Goh, wat verrassend, wie had dat nou gedacht!
Hoezo zijn de cookies daarvoor nodig om “een goed werkende site te maken”, zodat heel veel cookiebanners de bezoekers schaamteloos voorliegen?
Ik vind dat echt ergelijk.
Dat hele GA is gewoon flauwekul. En SEO idem dito. Mijn mening.
Google Analytics doet natuurlijk wel heel veel meer dan alleen vertellen waar je bezoekers vandaan komen.
Je analyseert er redelijk gedetailleerd mee hoe bezoekers als groep zich op je website gedragen: op welke pagina’s komen ze op je website terecht, op welke pagina’s verlaten ze je website? Haken mensen op een bepaald punt in je bestelproces af? Komen mensen die eigenlijk op zoek zijn naar X op pagina Y terecht en gaan ze dan maar weer weg? Blijkt dat mensen jouw nieuwe optie A grotendeels niet kunnen vinden omdat de link niet duidelijk genoeg is?
Met die analyses kun je je website wel degelijk verbeteren door relevante informatie beter aan te duiden, de navigatie duidelijker te maken, of andere aanpassingen te doen.
Maar ook informatie over waar je bezoekers vandaan komen kan relevant zijn. Zie je dat je heel veel bezoekers uit Duitsland op je website hebt? Wellicht kan het interessant zijn om ook daar te gaan leveren als je iets verkoopt, of informatie ook in het Duits aan te gaan bieden. Zie je dat veel van je bezoekers van bepaalde websites komen? Wellicht handig om daar gericht te adverteren, of juist op plaatsen waar ze niet vandaan komen.
Vrijwel alle genoemde zaken zaken om de site te verbeteren kunnen eigenlijk ook prima zonder privacyschending. Het is niet nodig om een digitale identiteit van een website bezoeker te bewaren om iemand gedrag te analyseren.