Iedereen die Google Analytics gebruikt, schendt volgens waakhond CBP de privacywet. Die conclusie is te trekken uit de recente beslissing (pdf) van de toezichthouder in een onderzoek naar smart-tv maker TP Vision. Het CBP constateerde dat de fabrikant de wet bescherming persoonsgegevens (Wbp) op verschillende manieren overtrad, onder meer door het gebruik van Google Analytics zonder aparte ‘bewerkersovereenkomst’ zoals artikel 14 vereist.

Zelfs dichtgetimmerde Analytics geen excuus

Het probleem is: door deze conclusie zijn in principe alle gebruikers van Google Analytics in overtreding, constateert Mark Jansen, advocaat bij Dirkzwager. Niet alleen TP Vision heeft namelijk geen bewerkersovereenkomst met Google, niemand heeft dat. Sterker nog, Google “weigert een dergelijke overeenkomst aan te gaan omdat het volgens Google geen persoonsgegevens betreft”, staat in het rapport. Andere databasepartijen die TP Vision gebruikt, zoals IBM en Gracenote, waren wel bereid tot het opstellen van een aparte bewerkersovereenkomst.

Het CBP gaat er vanuit dat al deze partijen persoonsgegevens verwerken, ook in het geval de Google Analytics-gebruiker de software zoveel mogelijk heeft dichtgetimmerd, zoals TP Vision doet. TP Vision gebruikt first party cookies in plaats van third party tracking cookies, verwijdert het laatste octet van alle IP-adressen voordat ze worden opgeslagen, heeft de optie 'gegevens delen' in Google Analytics uitstaan en maakt geen gebruik van Google AdWords en AdSense.

Standaard Google-voorwaarden veel te vaag

Desondanks is een aparte bewerkersovereenkomst met Google vereist, de standaard gebruiksvoorwaarden van Google Analytics voldoen volgens het CBP geenszins. “Uit de overeenkomst moet blijken wat de doeleinden van en de middelen voor de verwerking van persoonsgegevens zijn, welke soort gegevens wordt verwerkt, de duur van de opslag van de gegevens, het gebruik van de gegevens, alsmede eventuele verstrekking aan derden. Maar ook in welke mate de bewerker zeggenschap heeft, dat wil zeggen, in welke mate hij de details van de verwerkingswijze van persoonsgegevens kan bepalen. Dergelijke belangrijke elementen van de gegevensverwerking dienen in de bewerkersovereenkomst voldoende gedetailleerd te zijn opgenomen. In ieder geval zodanig dat de bewerker daadwerkelijk op instructie van de verantwoordelijke kan handelen en de verantwoordelijke daadwerkelijk toe kan zien op de feitelijke naleving daarvan”, eist het CBP.

Waarschuwing aan de hele branche

Het CBP benadrukt in een reactie aan Webwereld dat formeel de conclusies alleen gelden voor TP Vision. “We hebben TP Vision onderzocht, niet Google of andere gebruikers van Google Analytics”. Wel vindt de waakhond het een “wake up call” voor andere partijen die Google Analytics gebruiken om de kwestie zelf te onderzoeken en beoordelen. “Je kan het zien als een waarschuwing aan de hele branche.”

Het CBP doet momenteel overigens wel onderzoek naar Google, maar dat gaat over de omstreden consolidatie van de gebruiks- en privacyvoorwaarden van verschillende Google-diensten.

Reactie Google

Google Nederland stelt in een verklaring: “We bestuderen de beslissing [over TP Vision]. We hebben er vertrouwen in dat onze producten voldoen aan de EU wetgeving, maar we zullen samenwerken met onze partners om mogelijke volgende stappen te bekijken.”