EU-VS gegevensoverdrachten, is het de derde keer scheepsrecht?
Een dynamische juridische uitdaging die gegevensverzameling en -gebruik beïnvloedt
- Artikel
- Technical Web Analytics
Juli begon met uitdagingen. Eerst zagen we dat de Zweedse Autoriteit Persoonsgegevens (DPA) een waarschuwing gaf om te stoppen met het gebruik van Google Analytics. Dit vanwege de risico's die het met zich meebrengt voor de privacy, vanwege het ontbreken van een adequaatheidsbesluit voor EU-VS gegevensoverdrachten. In dezelfde week heeft de Europese Commissie voor de derde keer een adequaatheidsbesluit bereikt met de VS. Kun je nu eindelijk persoonsgegevens delen met in de VS gevestigde organisaties voor alle doeleinden, of moet je van koers veranderen?
Wat is er recent gebeurd?
Onlangs hebben we al besproken hoe je de privacy van je gebruikers kunt beschermen, specifiek met betrekking tot Google Analytics en hoe je gegevensverzameling kunt opzetten met privacy in gedachten.
Uitspraak van de Zweedse DPA over Google Analytics
De Zweedse autoriteit voor gegevensbescherming (DPA), IMY, heeft begin juli geoordeeld dat vier in Zweden gevestigde bedrijven moeten stoppen met het gebruik van Google Analytics. De rapporten over deze uitspraak bespreken in detail de implementatie van Google Analytics met betrekking tot de verwerking en internationale overdracht van persoonsgegevens. In de analyse verwijst de IMY naar de zaak Schrems II, die heeft geleid tot de nietigverklaring van het vorige adequaatheidsbesluit voor trans-Atlantische gegevensoverdrachten. De geëxporteerde gegevens van de Zweedse bedrijven naar het in de VS gevestigde Google, die grotendeels gebaseerd waren op standaard contractuele clausules, waren onvoldoende beschermd door technische beveiligingsmaatregelen. De DPA concludeerde met de woorden: "Deze beslissingen hebben niet alleen gevolgen voor deze vier bedrijven, maar kunnen ook leidraad bieden voor andere organisaties die Google Analytics gebruiken," waarmee werd aangegeven dat deze beslissing een bredere impact zou hebben op de EU-VS gegevensoverdrachten.
Nieuw adequaatheidsbesluit van de EU-commissie voor internationale gegevensoverdrachten
Terwijl de beslissing van de IMY veel ophef veroorzaakte, was de Europese Commissie bezig om tot een nieuwe adequaatheidsbeslissing te komen voor internationale gegevensoverdrachten. De Europese Commissie is van mening dat de maatregelen die zijn uiteengezet in Uitvoeringsbesluit 14086 van 7 oktober 2022 voldoende bescherming bieden tegen inmenging door Amerikaanse inlichtingendiensten. De maatregelen die via het Uitvoeringsbesluit zijn ingevoerd, worden ook beschouwd als goede systemen die de rechten van mensen beschermen. De adequaatheidsbeslissing maakt een einde aan een periode van drie jaar onzekerheid die begon met de uitspraak in de zaak Schrems II, waarin er geen adequaatheidsbeslissing van kracht was. Nu hebben organisaties minder beperkingen bij het delen van persoonsgegevens met Amerikaanse organisaties, in de hoop dat de adequaatheid op lange termijn gehandhaafd blijft.
Bezwaren van NOYB tegen het nieuwe adequaatheidsbesluit en wijzigingen in het uitvoeringsbesluit
Ondanks alles, staat nog niets vast. Het Hof van Justitie van de Europese Unie (CJEU) heeft al twee keer eerder adequaatheidsbeslissingen vernietigd. Deze beslissingen waren gebaseerd op uitdagingen die zijn aangespannen door NOYB, een non-profitorganisatie die een lange lijst van directe zaken heeft ingediend tegen particuliere bedrijven en klachten heeft ingediend tegen overheidsinstanties en beslissingen. NOYB heeft al aangekondigd dat zij de nieuwe adequaatheidsbeslissing zullen aanvechten op basis van eerdere bevindingen en uitspraken van het CJEU en de beperkte veranderingen die het nieuwe Uitvoeringsbesluit zou introduceren.
Hoe beïnvloedt dit mij?
Het EU-VS-adequaatheidsbesluit staat toe dat het delen van gegevens met derde partijen in de Verenigde Staten wordt hervat. Hoewel eerdere zaken en uitspraken voornamelijk betrekking hadden op Google Analytics, heeft dit een grotere reikwijdte dan alleen deze enkele tool. Het heeft ook betrekking op andere hulpmiddelen en integraties op je website, app of andere digitale platforms. Het doel van die toepassingen kan ook sterk variëren, van analyse en inzichten, optimalisatie en personalisatie tot marketing en advertenties. Meestal vertrouwen de meeste organisaties op in de VS gevestigde dienstverleners en partners om hun digitale doelen te bereiken en maken zij gebruik van wat bekend staat als internationale gegevensoverdracht.
Internationale gegevensoverdracht betekent dat je gegevens als gegevensbeheerder (je organisatie) die onder de AVG vallen, worden geëxporteerd naar een andere beheerder of (sub)verwerker buiten de Europese Unie of naar internationale organisaties. In dit geval zijn er drie niveaus binnen het wettelijk kader die je kunt raadplegen als mechanismen voor de gegevensoverdrachten:
- Adequaatheid - de absolute gouden standaard. Op basis van een land wordt besloten dat er adequate beschermingsniveaus zijn voor natuurlijke personen, zoals je klanten, potentiële klanten, bezoekers, werknemers, enzovoort. Dit betekent dat preventieve maatregelen om de rechten van individuen te waarborgen waarschijnlijk beperkt zullen zijn.
- Garanties - Deze gulden middenweg biedt de meeste flexibiliteit. Het resulteert echter ook in minder concrete oplossingen voor het machtigen van gegevensoverdrachten. Enkele voorbeelden van deze oplossingen zijn bindende bedrijfsregels (BCR) voor groepsondernemingen of gezamenlijke economische activiteit. Een andere optie is het gebruik van standaard contractuele clausules (SCC) die zijn goedgekeurd door gegevensbeschermingsautoriteiten. Goedgekeurde gedragscodes en certificeringsmechanismen met bindende toezeggingen zijn ook levensvatbare opties. Ten slotte zijn er "ad hoc" contractuele clausules die door de DPA kunnen worden goedgekeurd.
- Uitzonderingen - Het minst wenselijke mechanisme voor internationale gegevensoverdrachten dat alleen moet worden gebruikt in situaties waarin geen adequate bescherming en garanties mogelijk zijn. Dit leidt tot de vereisten van een nauwer omschreven definitie en specifieke aanvullende vereisten voor de gronden van verwerking.
Voor wat betreft de Verenigde Staten, aan de ene kant stelt de nieuwe adequaatheidsbeslissing organisaties in staat om gegevens te blijven delen met Amerikaanse bedrijven en partners op basis van de gouden standaard. Aan de andere kant bestaat er een kans dat het adequaatheidsbesluit wordt vernietigd, wat zou resulteren in een impasse om te beslissen hoe je verder kunt gaan. Een mogelijke oplossing om de impact te beperken, zou kunnen zijn om de genoemde benaderingen te combineren.
Wat kun je doen?
Uiteindelijk komt het allemaal neer op wat je waardeert en wat past bij je bedrijf in termen van flexibiliteit, risico en prioriteiten. Er zijn stappen die je kunt nemen om te bepalen wat de beste aanpak is voor jouw situatie.
1. Wat past bij jouw organisatie?
Hoewel internationale gegevensoverdrachten waarschijnlijk mogelijk zijn, gaan ze altijd gepaard met een verhoogd risico en vereisen ze extra procedures om te beheren. Het is zinvol om jezelf eerst af te vragen of je een internationale gegevensoverdracht nodig hebt. Heb je die specifieke dienstverlener of tool nodig? Misschien kun je een EU-gebaseerd alternatief vinden voor de functionaliteit die je nodig hebt om je doelen te bereiken. Misschien is het beschermen van persoonsgegevens van je onderwerp waardevoller dan de waarde die je krijgt van de internationale samenwerking.
2. Je hebt die overdracht nodig, wat is ervoor nodig?
Als je moet samenwerken met een organisatie in een derde land, kun je beschermende maatregelen inbouwen, zoals gegevensminimalisatie, om de impact van gegevensoverdrachten te verminderen. Door te voldoen aan privacy-by-design en privacy-by-default kun je de impact van gegevensoverdrachten op de privacy van betrokken personen aanzienlijk verminderen. Misschien is het mogelijk om anonimisering of versleuteling te gebruiken om de impact van de overdracht te verkleinen tot niet-persoonsgegevens. Deze vermindering zou vervolgens de implicaties en beperkingen van de GDPR verminderen. Het is belangrijk op te merken dat de GDPR alleen van toepassing is op gegevens die kunnen worden gekoppeld aan een identificeerbare natuurlijke persoon.
3. Voer een Data Transfer Impact Assessment (DTIA) uit
Er zijn verschillende belangrijke vragen die je moet beantwoorden voordat je kunt beslissen over de best passende oplossing. Eerst identificeer en beoordeel je de relevante gegevensoverdrachten samen met de relevante mechanismen voor deze overdrachten. Vervolgens evalueer je de status van de gegevensbeschermingswetten en -praktijken van het derde land. Daarna bepaal je of aanvullende maatregelen vereist zijn en zo ja, pas je deze toe op passende niveaus terwijl je de procedurele stappen van de implementatie documenteert en uitvoert. Ten slotte stel je een periodiek evaluatieproces in voor de waarborgen.
4. Bespreek, beslis, documenteer
Het ergste wat je als gegevensbeheerder kunt doen, is beslissingen nemen zonder er goed over na te denken of de schijn wekken dat je dat doet. Het zorgvuldig uitvoeren van je verplichtingen en ervoor zorgen dat je dit documenteert, is van essentieel belang wanneer een DPA of DPO informatie opvraagt. Zelfs het documenteren van tegenstrijdige zaken of grijze beslissingsgebieden kan je organisatie helpen. Zo laat je zien at je bereid bent verantwoordelijkheid te nemen om betrokkenen te beschermen.
Conclusie
Zelfs na een adequaatheidsbeslissing blijft de verantwoordelijkheid om te handelen met betrekking tot het delen van persoonsgegevens internationaal van belang. Beoordeel de opties, waarden, kosten, impact en toekomstige acties om je verantwoordelijkheid als gegevensbeheerder of verwerker goed uit te voeren. Overweeg lokale alternatieven en beginselen van gegevensminimalisatie om internationale gegevensoverdrachten te verminderen en zo de overhead en vereisten die van toepassing zijn als gevolg van de GDPR te verminderen.
Kun je hulp gebruiken bij het waarborgen van de privacy van eindgebruikers en tegelijkertijd te voldoen aan de wetgeving? Neem contact met ons op en wij helpen je graag verder! Wij begrijpen dat het analyseren van gegevens op een privacyvriendelijke manier van cruciaal belang is voor het verbeteren van je diensten.
Dit is een artikel van Bram Ooms
Bram begon in 2019 als Technisch Webanalist, waar hij zich richtte op data-implementaties bij klanten als Univé, DPG Media, Boels en Vodafone. Door zijn ervaringen met de impact van wetgeving op het mogelijk maken van datastromen ontwikkelde hij een interesse in dataprivacy, waar hij nu actief mee bezig is binnen Digital Power.
1x per maand data insights, praktijkcases en een kijkje achter de schermen ontvangen?
Meld je aan voor onze maillijst en blijf 'up to data':
Dit vind je misschien ook interessant:
Hoe verzamel je data terwijl je de privacy van EU-burgers beschermt?
De wereld van webanalyse verandert voortdurend door technologische en juridische ontwikkelingen. Een belangrijke gebeurtenis op het gebied van technische webanalyse is de introductie van server-side tagging, waarmee bedrijven volledige controle hebben over hun gegevensstromen.
Wat te doen met defecte Looker Studio dashboards?
Is jou vorige week misschien het volgende overkomen? Onder het genot van een lekker bakje koffie keek je nog eens naar wat je met veel zweet en tranen bouwde: een prachtig Looker Studio dashboard gebouwd met de GA4 connector. Je wreef de slaap uit je ogen en zag tot je schrik dat alle grafieken het niet meer deden. Collega’s belden je in paniek op. Wat is er allemaal gaande? In dit artikel leggen we je uit wat de gevolgen zijn van de door Google ingevoerde quota op de Google Analytics Data API.
Hoe gebruik je Google Analytics 4?
Ontdek de kracht van Google Analytics 4 (GA4), een geavanceerd webanalyseplatform van Google. Wil je inzicht krijgen in de verschillende functies en het volledige potentieel van de tool benutten? Lees hier uitgebreide informatie over GA4 en de functies.
Jouw Technical Web Analytics partner
Implementeer online analytics en andere digitale tracking om te kunnen meten wat je wilt weten.
Integratie web- en appdata draagt bij aan 360 graden klantbeeld
Univé is een Nederlandse verzekeraar die verzekeringen, financiële producten en diensten aanbiedt voor consumenten en bedrijven. Het bedrijf richt zich op het bieden van een hoogwaardige service en het helpen van klanten bij het maken van verantwoorde financiële beslissingen. Sinds 2014 werken we intensief samen met Univé.
Google Analytics 4 versus Google Analytics 3: wat zijn de voor- en nadelen?
Wanneer je gratis statistieken over websitebezoekers en hun gedrag op je website wilt bijhouden, kom je al snel uit bij Google Analytics. Het kost met de gratis versie Universal Analytics (beter bekend als GA3) maar een paar minuten om basismetingen als gebruikers, sessies en paginaweergaven in te richten. Voor uitgebreidere analyses is er de betaalde versie Google Analytics 360. Vanaf juli 2023 wordt GA3 niet meer ondersteund door Google. Tijd om over te stappen op het nieuwe GA4. Lees alles over de voor- en nadelen van het nieuwe Google Analytics in dit artikel.
Implementatie van Google Analytics 4
Een belangenvereniging voor woningeigenaren biedt op haar website een ruim aanbod aan content en diensten die online afgesloten kunnen worden. Om haar websitebezoekers zo goed mogelijk te kunnen bedienen, moeten interacties met de diensten, funnels en contentpagina’s goed gemeten worden. Dit deden ze al met onze ondersteuning, met Universal Analytics (GA3). Om goed voorbereid te zijn op de toekomst, vroegen ze ons Google Analytics 4 te implementeren.
