Google Analytics is volgens de Oostenrijkse privacyregulator in strijd met de GDPR, de Europese privacyrichtlijn. De waakhond doet de uitspraak in de nasleep van een reeks klachten ingediend door noyb, de privacygroep rond Max Schrems.

De dienst Google Analytics stuur IP-adressen en contactgegevens van Europese gebruikers door naar de Verenigde Staten. Dat valt echter onder persoonlijke gegevens, en die mogen onder GDPR Europa niet verlaten, zo oordeelt de Oostenrijkse privacytoezichthouder. Volgens Google worden de gegevens voldoende versleuteld, maar de regulator gaat dus niet in die argumentatie mee.

Wat nu?

De zaak is een eerste in wat wel eens een lange reeks kan zijn. Noyb diende in augustus 2020 bij verschillende privacyregulatoren klacht in tegen 101 Europese websites, waaronder vier Belgische, rond datatransfers van Europese gebruikersgegevens naar de Verenigde Staten. Het gaat dan bijvoorbeeld over sites als Bpost en Neckermann, die via diensten als Facebook Connect en Google Analytics data overdragen.

Die datatransfers werden voordien geregeld door een verdrag tussen de EU en de VS genaamd Safe Harbour, dat in 2015 werd geschrapt. Ook een nieuw verdrag, Privacy Shield, werd in 2020 door het Europees Hof vernietigd, waardoor er in principe geen datatransfers meer mogen gebeuren tussen deze landen. Sites en diensten die het nog wel doen, kunnen dus een privacyklacht verwachten.

Een en ander heeft trouwens niet alleen gevolgen voor websites. Ook enkele clouddiensten die in de VS zijn gevestigd, worden zo onbruikbaar voor Europese bedrijven die zich aan de regels willen houden. 'Dat toezichthouders nu gaandeweg diensten uit de VS illegaal verklaren, zorgt ervoor dat EU-bedrijven en VS-providers meer druk zullen voelen om veilige en legale opties te gaan gebruiken, zoals hosten buiten de VS', zegt Max Schrems in een mededeling. De noyb-klacht bij de Belgische Privacycommissie, tegen een viertal sites, is nog lopende.

Google Analytics is volgens de Oostenrijkse privacyregulator in strijd met de GDPR, de Europese privacyrichtlijn. De waakhond doet de uitspraak in de nasleep van een reeks klachten ingediend door noyb, de privacygroep rond Max Schrems. De dienst Google Analytics stuur IP-adressen en contactgegevens van Europese gebruikers door naar de Verenigde Staten. Dat valt echter onder persoonlijke gegevens, en die mogen onder GDPR Europa niet verlaten, zo oordeelt de Oostenrijkse privacytoezichthouder. Volgens Google worden de gegevens voldoende versleuteld, maar de regulator gaat dus niet in die argumentatie mee. Wat nu?De zaak is een eerste in wat wel eens een lange reeks kan zijn. Noyb diende in augustus 2020 bij verschillende privacyregulatoren klacht in tegen 101 Europese websites, waaronder vier Belgische, rond datatransfers van Europese gebruikersgegevens naar de Verenigde Staten. Het gaat dan bijvoorbeeld over sites als Bpost en Neckermann, die via diensten als Facebook Connect en Google Analytics data overdragen. Die datatransfers werden voordien geregeld door een verdrag tussen de EU en de VS genaamd Safe Harbour, dat in 2015 werd geschrapt. Ook een nieuw verdrag, Privacy Shield, werd in 2020 door het Europees Hof vernietigd, waardoor er in principe geen datatransfers meer mogen gebeuren tussen deze landen. Sites en diensten die het nog wel doen, kunnen dus een privacyklacht verwachten.Een en ander heeft trouwens niet alleen gevolgen voor websites. Ook enkele clouddiensten die in de VS zijn gevestigd, worden zo onbruikbaar voor Europese bedrijven die zich aan de regels willen houden. 'Dat toezichthouders nu gaandeweg diensten uit de VS illegaal verklaren, zorgt ervoor dat EU-bedrijven en VS-providers meer druk zullen voelen om veilige en legale opties te gaan gebruiken, zoals hosten buiten de VS', zegt Max Schrems in een mededeling. De noyb-klacht bij de Belgische Privacycommissie, tegen een viertal sites, is nog lopende.