American cookies, zoals de bekende chocolate chip cookies, zijn echt fantastisch. Veel mensen zijn er dol op. Niet alleen zijn deze lekkernijen in de thuissfeer populair, ook in het bedrijfsleven kunnen ze er geen genoeg van krijgen! Ik heb het dan natuurlijk niet over de met chocolade gevulde koekjes, maar over die kleine tekstbestandjes die door websites worden geplaatst op apparaten van gebruikers. De digitale (American) cookies!
Tekst: Ruben van der Geest
Online cookies zijn er natuurlijk in allerlei soorten, maten en van elke origine. Toch zijn de Amerikaanse cookies bij veel bedrijven het populairst. Neem bijvoorbeeld Google Analytics. Veel webdevelopers kunnen zich niet eens voorstellen hoe een website zonder Google Analytics eruit zou moeten zien. Ondanks dat Amerikaanse cookies alom vertegenwoordigd zijn in het digitale domein, ziet de toekomst er voor deze cookies niet zo rooskleurig uit. Het begon allemaal met de privacy toezichthouder in Oostenrijk.
De AVG en de VS
Om direct al even terug te komen op het voorgaande, eigenlijk begon het al wat eerder. Het zit namelijk zo: het verwerken van persoonsgegevens in de VS is sinds de val van het Privacy Shield een hot topic in privacy-land. In het kort: het Privacy Shield bestond uit een set afspraken die ervoor zorgde dat de rechten van Europeanen op het gebied van privacy gewaarborgd werden. Door deze bescherming mochten gegevens verwerkt worden in de VS. Na de val van het Privacy Shield door privacy-activist Max Schrems, zijn er nog wat pogingen geweest om het verwerken van persoonsgegevens in de VS mogelijk te maken. Tot nu toe is daar nog geen allesomvattende oplossing voor gevonden. Gegevens verwerken in de VS kan dus wel, maar dat gaat niet zomaar. Er moeten passende maatregelen genomen worden om de persoonsgegevens te beschermen.
En dat brengt ons weer bij de Oostenrijkse toezichthouder. Die heeft recent aangegeven dat het gebruik van Google Analytics verboden is. De reden hiervoor: er worden persoonsgegevens in de VS verwerkt zonder passende waarborgen. De toezichthouder acht het mogelijk dat de Amerikaanse inlichtingendiensten toch toegang krijgen tot de persoonsgegevens, ondanks de maatregelen die Google neemt of zou kunnen nemen. Dit oordeel werd al snel gevolgd door de Franse toezichthouder. De toezichthouder uit Noorwegen en de Nederlandse Autoriteit Persoonsgegevens hebben aangegeven dat ze ook onderzoek doen naar het gebruik van Google Analytics.
De Autoriteit Persoonsgegevens heeft op haar website al een waarschuwing geplaatst dat het gebruik van Google Analytics mogelijk in strijd is met de Algemene verordening gegevensbescherming (AVG). Het is uitzonderlijk dat de Autoriteit Persoonsgegevens al een waarschuwing plaatst voordat het onderzoek afgerond is, maar de verwachting is dat het oordeel van haar collega-toezichthouders gevolgd gaat worden.
Impact
De persoonsgegevens die via Google Analytics (in strijd met de AVG) in de VS worden verwerkt, zijn onder andere IP-adressen en apparaatgegevens. Dit zijn gegevens die bijna alle cookies verwerken, dus ook alle Amerikaanse cookies. De uitleg van de verschillende toezichthouders zijn dan ook vrijwel een-op-een toepasbaar op alle Amerikaanse cookies. Een Europees verbod op Google Analytics zal dan ook hoogstwaarschijnlijk leiden tot een algeheel verbod op Amerikaanse cookies. Zelfs als de gegevens enkel op Europese bodem worden verwerkt, dus niets naar de VS wordt verstuurd, is dit waarschijnlijk nog in strijd met de AVG. Bedrijven in de VS moeten namelijk, wanneer de inlichtingendiensten dit vereisen, toegang verschaffen tot alle data, ook als die data op een server in Europa staan. Zelfs als die server van een Europese dochter is (zoals Google Ireland Ltd.) dan is de data van Europese burgers niet veilig, aldus de Oostenrijkse toezichthouder.
Hoe nu verder?
Uitspraken van toezichthouders gelden alleen in het land van de toezichthouder. Verder kan een oordeel van een toezichthouder ook nog teruggedraaid worden door een (Europese) rechter. Er is echter een grote kans dat de Nederlandse toezichthouder snel eenzelfde standpunt in gaat nemen en de kans dat een rechter dit terugdraait is daarentegen klein. De argumenten van de toezichthouders zijn sterk en wie de AVG erop naslaat kan bijna niet anders dan instemmen. Wat het wel ingewikkeld maakt, is de impact van een eventueel algeheel verbod op Amerikaanse cookie-dienstverleners.
Mocht er een algeheel verbod komen, dan moeten veel bedrijven aan de bak. Het alternatief is om te zorgen dat er geen persoonsgegevens worden verzameld door de Amerikaanse bedrijven of om over te stappen op een Europese aanbieder van een soortgelijke dienst. Het is aan te raden om vast onderzoek te doen naar alternatieven, zodat snel geschakeld kan worden als dit nodig blijkt. De Franse toezichthouder heeft een lijst gepubliceerd met alternatieven voor Google Analytics. De kans dat handhaving snel zal volgen is groot. Controleren of een website Google Analytics gebruikt is, zelfs voor de drukke en onderbezette Autoriteit Persoonsgegevens, een fluitje van een cent. Het kan zelfs geautomatiseerd worden.
Mogelijk gaat het gebruik van alle Amerikaanse cookies (behalve de chocolate chip variant uit de supermarkt) dus in de ban. Het is nog niet zover, maar het kan snel gaan. Houd de website van de Autoriteit Persoonsgegevens dus goed in de gaten en oriënteer je vast op alternatieven.
Ruben van der Geest is juridisch adviseur bij ICTRecht.
Er is op dit moment 0 keer gereageerd op:
American Cookies in de ban?
Je kunt niet meer reageren op dit artikel.