NoGA project (SIDN fonds)
by Arjen P. de Vries
Update: collega prof. Frederik Zuiderveen Borgesius heeft een zeer duidelijke gastblog aangeleverd met meer achtergrond en verdere duiding van de regels rond Web Analytics, Cookies en de Wet.
Google Analytics werkt met het plaatsen van analytics cookies en in bepaalde gevallen ook van tracking cookies:
Een veel gestelde vraag is of het volgen van websurfers nu eigenlijk consent vereist van de bezoeker van de site. Helaas leiden verschillende bronnen tot andere antwoorden, en het is ons niet 100% duidelijk of de Nederlandse situatie verschilt van die in andere Europese landen.
Elk Europees land heeft een eigen data protection authority (DPA), die advies kan geven over de juiste interpretatie van de wetgeving. Die adviezen liggen alleen niet in een lijn: GB is duidelijk veel strenger dan NL, bijvoorbeeld.
De Britse DPA (de UK Information Commissioner’s Office, ICO) is heel duidelijk: geen Google Analytics zonder consent.
“You must tell people if you set cookies, and clearly explain what the cookies do and why. You must also get the user’s consent. Consent must be actively and clearly given. There is an exception for cookies that are essential to provide an online service at someone’s request.”
Analytics is niet essential en vereist dus consent.
Uit hun online Frequently Asked Questions (.pdf document):
Q: Do the rules still apply if the data is anonymous?
A: Yes. Although cookies that process personal data give rise to greater privacy and security risks than those that process anonymous data, PECR apply to all cookies. If your cookie data is not anonymous, note that you will also need to comply with the Data Protection Act and the GDPR. (Continues with warnings about collecting personal data.)
Meer achtergrond informatie van de ICO:
De Nederlandse DPA, de Autoriteit Persoonsgegevens (AP), is veel minder expliciet en lijkt in de 2019 gepubliceerde normuitleg bewust een uitzondering te maken voor het gebruik van cookies voor web analyse. De AP schreef daarvoor ook al een instructie Handleiding privacy-vriendelijk instellen google analytics (augustus 2018). Ze staat dus Google Analytics toe, onder voorwaarde dat de instelling van de analytics software “privacy friendly” is.
Na een recent oordeel van het Europees hof (oktober 2019) lijkt de autoriteit wel iets te zijn opgeschoven als het om tracking cookies gaat; de AP heeft recent 175 organisaties aangeschreven om ze te waarschuwen dat ze zich niet aan de wet houden als ze geen expliciete instemming vragen aan de website bezoeker voor het plaatsen van tracking cookies. De AP laat zich daarentegen niet expliciet uit over het wel/niet toestaan van analytics cookies zonder consent.
Dat Nederland zich anders lijkt op te stellen wordt ook zo omschreven in een juridisch blog over het plaatsen van cookies: In Nederland geldt dat voor het gebruik van Google Analytics geen toestemming nodig is, mits de cookie privacyvriendelijk is ingesteld. In een handleiding van de Autoriteit Persoonsgegevens is te lezen op welke manier je de cookie privacyvriendelijk kunt instellen. Helaas geldt deze regel niet in alle EU-landen. Een ouder maar recent ge-update artikel over analytics en cookiewetgeving komt tot een vergelijkbare conclusie dat Google Analytics in Nederland onder voorwaarden wordt toegestaan.
Het verschil in implementatie van de Europese richtlijn in nationale wetgeving ligt in de Nederlandse keuze om een extra uitzondering toe te voegen op het toestemmingsvereiste voor het verkrijgen van de kwaliteit of effectiviteit van de dienst, onder de extra voorwaarde dat dit “geen of zeer beperkte” privacy-impact heeft (met dank aan prof. Frederik Zuiderveen Borgesius voor de formulering). Ook een Italiaanse juridische adviesorganisatie wijst op dit verschil in uitzonderingen per regio; de uitzondering voor statistical cookies managed directly by you (not third-parties), providing that the data is not used for profiling en anonymized statistical third-party cookies (e.g. Google Analytics), maar, expliciet met een voetnoot dat This exemption may not be applicable for all regions and is therefore subject to specific local regulations. En, even verderop: even where this exception to the consent requirement applies, you’ll still need to inform the user of your use of cookies via a cookie policy.
Het volgen van gebruikers online kan ook door andere technieken in te zetten dan het plaatsen van cookies. De consumentenbond schreef bijvoorbeeld een toegankelijk artikel over browser fingerprinting, en je zou ook kunnen proberen om de cookie te vervangen door data op te slaan in HTML5 local storage. Het inzetten van zogenaamde similar technologies wordt echter expliciet genoemd in de wetgeving, en de aanwijzingen van de ICO zijn dan ook wederom uitermate duidelijk: If you use device fingerprinting for analytics instead of or alongside cookies, you should note that doing so is not exempt from the consent requirements either (uit de guidance).
Enigszins verrassend stelt een andere post op de juridische ICTrecht blog dat voor device fingerprinting voor trackingdoeleinden en analytische inzichten toestemming nodig is volgens de Nederlandse regelgeving. De minister heeft in antwoord op kamervragen verklaard dat device fingerprinting onder hetzelfde regime valt als cookies; je zou dan alleen ook kunnen redeneren dat het voor analytische doeleinden in die interpretatie eveneens onder de uitzonderingen zou moeten vallen.
Het lijkt voor een internationaal gerichte site niet verstandig om Google Analytics in te zetten zonder expliciet te vragen om consent. In de Nederlandse situatie lijkt het (oogluikend?) wel toegestaan, maar de autoriteit in GB denkt er zeker anders over. Meer onderzoek naar de regelgeving is nodig om in kaart te brengen hoe de verschillende regios zich opstellen.
De AP stelt in haar instructies voor gebruik Google Analytics helder dat bezoekers informatie moeten krijgen over deze analyse, bijvoorbeeld via het privacybeleid. Hier moet dan achtereenvolgens in staan dat de dienst:
Overigens lijkt de Radboud Universiteit (waar project NoGA wordt uitgevoerd) zich niet correct te houden aan de instructie van de AP. Het onderdeel Privacy & Cookies in de privacy-verklaring vermeldt dat we zowel Google Analytics als Google AdWords gebruiken: Wij delen op geen andere dan voor bovengenoemde redenen gegevens met Google en maken tevens geen gebruik van andere Google-diensten in combinatie met de Google Analytics-cookies, behalve voor het wederzijds uitwisselen van webstatistieken en campagnestatistieken met ons Google AdWords account, teneinde websitegebruik en conversiegebeurtenissen bij te houden. De universiteit voegt daaraan toe dat het op deze wijze uitwisselen van meetgegevens geen tot zeer beperkte invloed op uw privacy heeft, dezelfde positie als de Nederlandse AP inneemt om af te wijken van de Britse.
De publieke opinie richt zich steeds meer tegen de mass surveillance en het daarop gebouwde surveillance capitalism. Tegelijkertijd begrijpen instituten en bedrijven vaak helemaal niet dat ze mass surveillance faciliteren - zo rapporteerde de Volkskrant begin 2020 dat veel gemeenten tracking cookies plaatsen (artikel), maar wordt uit interviews duidelijk dat dit tracken niet altijd een bewuste keuze is. Soms ligt het in gebrek aan kennis van gebruikte technologie, soms aan het onkundig opereren van toeleveranciers.
Als de Nederlandse autoriteit Google Analytics een uitzonderingspositie geeft, komt die interpretatie van de wet niet tegemoed aan de publieke wens online vrij te kunnen bewegen. Je zou zelfs kunnen zeggen dat de AP het de facto monopolie van Google op web analytics faciliteert. Wat dat betreft spreekt de stellingname van de ICO ons veel meer aan: als je gebruik van online services niet zelf in kaart brengt, dan moet je de bezoeker vragen om consent om zijn of haar informatie te delen met een derde partij. Zo ontstaat er tenminste een incentive om de web analyse zelf te regelen, en bezoekersdata niet door te schuiven naar derden.
tags: NoGA - "Web - analytics"