Een verbod op Google Analytics? Relax!

UPDATE OKTOBER 2022: Privacy shield 2.0 in zicht. Bekijk hier het laatste nieuws.

UPDATE APRIL 2022: GA3 stopt en GA4 updates. Bekijk hier het laatste nieuws.

Je hebt er ongetwijfeld over gehoord of gelezen: Google Analytics ligt al een hele tijd behoorlijk onder een vergrootglas. De tool stuurt persoonsgegevens naar de VS en kan niet garanderen dat deze daar niet met derden worden gedeeld. Dit is in strijd met de Algemene Verordening Gegevensbescherming (AVG). Wat betekent dit voor de essentiële informatie waar Google Analytics je altijd van voorziet? En hoe staat het er op dit moment voor? Blijf vooral rustig ademhalen, dan vertellen wij je meer in deze blog.

Wat is er nu precies aan de hand?

De Oostenrijkse, Noorse en Franse privacytoezichthouders hebben geconcludeerd dat het gebruik van Google Analytics in strijd is met de Europese wetgeving GDPR (AVG). De tool stuurt gebruikersgegevens zoals IP-adressen naar de VS, waar de NSA het recht heeft ze in te zien. Het verweer van Google dat gebruikersgegevens voldoende worden geanonimiseerd, mocht niet baten. De rechter zei daarop dat alle andere data om die gegevens heen, zoals op welke computer je zit, wat je schermresolutie is en of je op een telefoon of laptop zit, meetellen als Persoonlijk Identificeerbare Informatie (PII). Al die PPI’s bij elkaar kunnen een persoonsgegeven worden. En die delen, dat mag niet.

Nadat het Oostenrijkse nieuws bekend werd, is er een balletje gaan rollen. Richting Nederland, en erna ook richting Noorwegen en Frankrijk. De Nederlandse Autoriteit Persoonsgegevens (AP) stelde een onderzoek in, naar aanleiding van twee klachten over Marktplaats en Thuisbezorgd. Beide door de Oostenrijkse advocaat Max Schrems, die de zaken in de andere landen ook aangespannen heeft. De AP gaf direct aan dat Google Analytics mogelijk binnenkort niet is toegestaan. Een uitspraak die voor veel hysterie zorgt. Niet onbegrijpelijk, want het zou nogal wat teweegbrengen. In februari gebruikt maar liefst 87% van de websites wereldwijd Google Analytics (Universal Analytics of GA4).

“Die oplossing komt er wel”

Ja, het zijn spannende uitspraken die worden gedaan. Maar nee, wij zien Google Analytics echt niet zomaar van het toneel verdwijnen. David Oudejans, onze Data Director, kan hier heel duidelijk over zijn: “Als Google Analytics uit Europa verdwijnt, raakt Google een bak aan Europese data kwijt, waar een groot deel van de bedrijfsvoering op leunt. En het gaat niet alleen om data van Google, er zijn nog veel meer grote namen die persoonlijke gegevens naar de US versturen. Wat dacht je van Facebook? En Amazon? Zullen die dan ook verboden worden? Ik geloof niet dat de EU, Amerika en de grote tech-bedrijven het zover zullen laten komen. De belangen zijn veel te groot. Linksom of rechtsom, die oplossing komt er wel. Van Google Analytics zijn we echt niet zomaar af.”

Mogelijke scenario’s

Wat de oplossing voor het eventueel verdwijnen van Google Analytics zal zijn, is nog moeilijk te zeggen. “Het mooiste zou zijn als Amerika en de EU tot een overeenkomst kunnen komen over het delen van data. Eerder werd dat gedaan in de Privacy Shield, maar deze werd in 2020 opgeheven, omdat de wetten die in Amerika gelden ervoor zorgden dat bedrijven niet aan die overeenkomst konden voldoen. En ook de Standaard Contractuele Clausules (SCC’s) waar Google later op leunde, vindt de rechter nu niet meer voldoende. In de VS kun je data op dit moment nu eenmaal niet beschermen voor de NSA. Hier móeten duidelijke afspraken over worden gemaakt.” Een tweede optie is er volgens David ook: “Er zouden servers in Europa kunnen worden geplaatst om alle data op te slaan. Maar dit is wel echt een tweede keuze, want hier zitten juridisch en financieel gezien wel wat haken en ogen aan. Het vergt serieuze investeringen van Google, want er zou een compleet nieuw bedrijf in Europa moeten worden opgezet. Daarnaast blijft Google een Amerikaans bedrijf, dus je krijgt weer te maken met de NSA die zich data kan toe-eigenen. Of het verplaatsen van de servers een oplossing is, is dus maar de vraag.”

Wat als ze er toch niet uitkomen?

Natuurlijk, wij zijn geen jurist. Wat wij in deze blog beschrijven, is puur onze visie. Deze delen wij niet met oogkleppen op, we weten dat er een kans bestaat dat er geen oplossing wordt gevonden. Hier denken wij dus zeker over na.

En goed nieuws: ook dan is er geen man overboord. Er is een hele rits aan tools die het gat dat Google Analytics bij een verbod achterlaat, kunnen vullen. Het grootste nadeel is dat deze niet zo goed geïntegreerd zijn met overige Google services als Google Ads en Google Tag Manager, het grootste voordeel is dat wij ook met al deze namen ervaring hebben. Een korte opsomming van de analytics suites die wat ons betreft een goede keuze zijn:

Plausible https://plausible.io/

Een tool die is ontwikkeld en wordt gehost in de EU. Volledig volgens de GDPR-richtlijnen, open source en eenvoudig in gebruik. Kosten: vanaf €9,- per maand.

Matomo https://matomo.org/

Een tool die ook wordt gebruikt door de UN en Europese Commissie. GDPR-proof, historische Google Analytics-data kunnen worden overgezet en open source. Kosten: gratis bij installatie op eigen servers. Hosting op de Matomo-servers: vanaf €19,- per maand.

Fathom https://usefathom.com/

Fathom is gevestigd in Canada, waar wel een dataprotectie-akkoord is, en gebruikt voor de EU-klanten Duitse servers. Bij deze snelle tool staat digitale privacy voorop. Ze zeggen zelfs geen persoonlijke data nodig te hebben, waardoor cookiemeldingen overbodig zijn. Kosten: vanaf €12 per maand.

Piwik PRO https://piwikpro.nl/

Deze tool, die de nadruk legt op privacy en gegevensbescherming, wordt ook gebruikt door de Nederlandse overheid. Betrouwbaar voor analytische gegevens op grote schaal. Kosten: een basispakket is gratis. Wil je er ook een Customer Data Platform bij, dan moet je een offerte opvragen.

Simple analytics https://simpleanalytics.com/

De naam zegt het al: analytics die simpel zijn in gebruik. En ook de interface is simpel en clean, waardoor heel klantvriendelijk. Simple analytics is een Nederlands bedrijf dat GDPR-proof is en haar servers in Europa heeft staan. Kosten: vanaf €19,- per maand.

Passend advies

Bovenstaande is een beknopte omschrijving van de tools. Mocht het zover komen dat we er gebruik van moeten maken, dan adviseren we je graag over welke tool het beste bij jouw bedrijf en online doelstellingen past. Voor nu is het afwachten wat er uit het onderzoek van de AP komt. Daarna kijken we samen verder.

UPDATE 6 april 2022: Stappen in de goede richting

Sinds de publicatie van deze blog is er veel gebeurd. Stappen in de goede richting, door zowel Google zelf als op politiek gebied. Ten eerste stopt Google per 1 juli 2023 met Universal Analytics (GA3). Hiermee duwt Google haar gebruikers richting de meer privacy-vriendelijke versie van Google Analytics; GA4. Binnen deze versie zijn alle IP-adressen standaard geanonimiseerd en wordt data in eerste instantie alleen verwerkt op Europese servers, waarna ze verstuurd worden naar Amerikaanse servers. Upgrades die laten zien dat Google het vinden van een oplossing serieus neemt.

Ten tweede lijkt een Privacy Shield 2.0 in aantocht. Toen president Biden onlangs een bezoek bracht aan Europa, hebben hij en Ursula von der Leyen, de voorzitter van de Europese Commissie, hierover gesproken. Het is nog niet zover, als er een voorstel is geschreven, zal het eerst moeten worden getoetst aan het Europees recht. Maar de geluiden zijn positief. Mooi nieuws dus, er zijn oplossingen onderweg. Ons advies op dit moment blijft daarom relaxed: ga vooral verder met GA4, dan zit je de komende periode sowieso goed.

UPDATE 28 oktober 2022: Privacy Shield 2.0 nu dan echt in aantocht

Mooi nieuws! Er zijn nieuwe, serieuze stappen gezet richting het Trans-Atlantic Data Privacy Framework, oftewel de Privacy Shield 2.0 waar we het eerder over hadden. Op 7 oktober heeft president Biden een ‘Executive Order’ ondertekend, met daarin aanvullende beloftes voor veilige datadoorgifte naar de VS. Er staan dwingende instructies in waar overheidsinstanties in de VS zich aan moeten houden en waar ze hun beleid op dienen aan te passen. Persoonsgegevens moeten op deze manier aan hetzelfde beschermingsniveau gaan voldoen als in de Europese privacywetgeving is bepaald.

Een kwestie van maanden
Is de ondertekening van de Executive Order dan ook dé oplossing? Nee, nog niet direct. Het is nog maar zien hoe de instructies die erin staan worden opgevolgd en of ze werkelijk het beschermingsniveau kunnen garanderen dat we binnen de EU verlangen. Wel heeft de Europese Commissie aangekondigd een conceptvoorstel van het nieuwe Privacy Shield voor te bereiden. Deze moet vervolgens weer worden bekeken door de Europese koepel van privacytoezichthouders (EDPB). Dus voor er goedkeuring is, zijn we op z’n minst een half jaar verder. Maar er is een begin! Wij durven wel te stellen dat die Privacy Shield er nu dan echt komt.

Ook nieuw Privacy Shield onder vuur
Zonder voor zuurpruim te spelen, moeten we wel eerlijk bekennen: komt het Privacy Shield 2.0 erdoor, dan is het wel afwachten voor hoe lang. Onder andere de privacystichting van privacyactivist Max Schrems (NOYB) heeft al laten weten geen oplossing te zien in de Executive Order die is getekend. Grote kans dus dat een nieuw Privacy Shield opnieuw zal worden aangevochten tot aan het Hof. Maar goed, die behandelingsprocedure duurt meestal minimaal twee jaar, dus tot die tijd bieden de nieuwe afspraken dan even houvast.

Nu horen we je denken: wat is naar aanleiding van bovenstaande dan jullie advies voor mij? Dat is eigenlijk onveranderd. GA4 is nog steeds je grootste vriend, ga daar net zo relaxed mee door als je al deed. En houd onze blog in de gaten, waarin wij je op de hoogte blijven houden van alle ontwikkelingen.