In een belangrijke ontwikkeling wordt Google Analytics 4 als legaal beschouwd in Europa na de recente goedkeuring van het EU-VS-kader voor gegevensprivacy door de Europese Commissie.
Het nieuws komt te midden van waarschuwingen van de Zweedse privacyautoriteit (IMY) over mogelijke bewakingsrisico’s in verband met GA4.
De juridische status van GA4 in Europa en de waarschuwing van IMY zijn onderling verbonden delen van een groter wereldwijd verhaal over gegevensprivacy, gegevensbeschermingsregels en transatlantische gegevensoverdrachten.
Het EU-VS-kader voor gegevensprivacy is goedgekeurd
De Europese Commissie heeft het nieuwe kader voor gegevensprivacy tussen de EU en de Verenigde Staten geratificeerd, waarin staat dat de Verenigde Staten een gelijkwaardige bescherming bieden voor persoonsgegevens die vanuit de EU worden overgedragen en aan de Unie worden verstrekt.
Dit besluit maakt de veilige overdracht van gegevens van de EU naar Amerikaanse bedrijven die bij het kader betrokken zijn mogelijk zonder dat aanvullende gegevensbeschermingsmaatregelen nodig zijn.
Het kader introduceert strikte waarborgen die tegemoetkomen aan de zorgen die eerder door het Europese Hof van Justitie naar voren zijn gebracht. Deze waarborgen beperken de toegang van de Amerikaanse inlichtingendiensten tot EU-gegevens, beperken deze tot wat essentieel en evenredig is en richten een Data Protection Review Tribunal (DPRC) op. EU-burgers krijgen toegang tot deze rechtbank.
Verbeterde waarborgen ten opzichte van eerdere mechanismen
Het nieuwe raamwerk biedt aanzienlijke verbeteringen ten opzichte van het vorige Privacy Shield-mechanisme. Als de DPRC bijvoorbeeld vaststelt dat gegevens zijn verzameld in strijd met de nieuwe waarborgen, kan het de verwijdering van die gegevens gelasten.
Amerikaanse bedrijven die gegevens importeren uit de EU moeten voldoen aan verplichtingen die een aanvulling vormen op de nieuwe waarborgen met betrekking tot overheidstoegang tot gegevens.
Zweedse privacywaakhond waarschuwt tegen Google Analytics
De aankondiging van het nieuwe EU-VS-kader voor gegevensprivacy valt samen met waarschuwingen van IMY voor bedrijven die GA4 gebruiken, daarbij verwijzend naar bezorgdheid over toezichtrisico’s van de Amerikaanse overheid.
Het onderzoek van de autoriteit naar vier Zweedse bedrijven bracht schendingen van de vereisten voor gegevensoverdracht en toestemming van de AVG aan het licht, wat leidde tot boetes en bevelen om te stoppen met het gebruik van Google Analytics.
In reactie op de beslissing van de IMY benadrukte Google dat Google Analytics geen specifieke personen op internet identificeert of volgt. Het bedrijf verklaarde dat website-uitgevers verantwoordelijk zijn voor naleving en ethisch gegevensgebruik, terwijl Google voor beveiligingen, controles en middelen zorgt.
Verklaring van de voorzitter van de Commissie
De voorzitter van de Europese Commissie, Ursula von der Leyen, merkte op:
“Het nieuwe kader voor gegevensprivacy tussen de EU en de VS zal zorgen voor veilige gegevensstromen voor Europeanen en rechtszekerheid bieden aan bedrijven aan beide zijden van de Atlantische Oceaan. Vandaag zetten we een belangrijke stap om burgers het vertrouwen te geven dat uw gegevens veilig zijn, om onze economische banden tussen de EU en de VS te verdiepen en tegelijkertijd onze gedeelde waarden opnieuw te bevestigen.”
Framework Compliance Protocol voor Amerikaanse bedrijven
Amerikaanse bedrijven kunnen zich aan het raamwerk houden door zich te committeren aan een specifieke reeks privacyverplichtingen.
Deze omvatten het verwijderen van persoonsgegevens wanneer deze niet langer nodig zijn voor het oorspronkelijke doel en het waarborgen van voortdurende bescherming wanneer gegevens worden gedeeld met derden.
EU-burgers hebben verschillende mogelijkheden om verhaal te halen als Amerikaanse bedrijven hun gegevens verkeerd gebruiken. Dit omvat vrije en onafhankelijke geschillenbeslechtingsmechanismen en een arbitragetribunaal.
Bescherming van toegang tot overgedragen gegevens
Het Amerikaanse rechtskader biedt verschillende waarborgen met betrekking tot de toegang tot gegevens door Amerikaanse overheidsinstanties. Toegang tot gegevens is beperkt tot wat nodig is en wordt verstrekt om de nationale veiligheid te beschermen.
EU-burgers krijgen toegang tot een onafhankelijk en onpartijdig verhaalmechanisme met betrekking tot het verzamelen en gebruiken van hun gegevens door Amerikaanse inlichtingendiensten, waaronder de nieuw opgerichte DPRC. Dit tribunaal zal klachten onafhankelijk onderzoeken en oplossen.
Deze waarborgen zullen meer algemene transatlantische gegevensstromen vergemakkelijken, aangezien deze van toepassing zijn wanneer gegevens worden overgedragen via andere instrumenten, zoals standaardcontractbepalingen en bindende bedrijfsregels.
Toekomstige stappen
De goedkeuring van het EU-VS-kader voor gegevensprivacy en de uitspraak van de Europese Commissie maken de zorgen van de Zweedse autoriteit niet irrelevant. De twee evenementen behandelen verschillende aspecten van de bredere kwestie van gegevensprivacy.
Het kader voor gegevensprivacy tussen de EU en de VS is ontworpen om de algehele gegevensbescherming van EU-burgers te waarborgen wanneer hun gegevens naar de VS worden overgedragen. Het biedt garanties en richt het Data Protection Review Tribunal (DPRC) op.
Hoewel het nieuwe raamwerk de gegevensbescherming zou moeten verbeteren, blijven individuele bedrijven verantwoordelijk om ervoor te zorgen dat hun praktijken voldoen aan de AVG en andere relevante regelgeving.
Zelfs met het nieuwe raamwerk moeten bedrijven waakzaam blijven bij het beheren van hun gegevensprivacypraktijken.
Op te sommen
Hoewel het EU-VS-kader voor gegevensprivacy een belangrijke stap is in de richting van betere gegevensprivacy, lost het niet automatisch specifieke problemen op met betrekking tot individuele bedrijven of diensten, zoals die welke door de IMY aan de orde zijn gesteld met betrekking tot Google Analytics.
De werking van het EU-VS-kader voor gegevensprivacy zal regelmatig worden beoordeeld door de Europese Commissie, de Europese gegevensbeschermingsautoriteiten en de bevoegde autoriteiten van de VS. De eerste toetsing is gepland binnen een jaar na de toepassing van het adequaatheidsbesluit.
Hey, ik ben Brent, en ik speel al een lange tijd mee in de SEO scene. Ik ben vooral heel actief in de Amerikaanse markt, en hou dan ook wel van een uitdaging. Ik ben sinds kort aan het uitbreiden binnenin de Benelux, en besluit hier dan ook te oversharen!
Wil je meer leren, klik dan op lees meer!
