Trans-Atlantic Data Privacy Framework: EU en VS bereiken GDPR principeakkoord
De Europese Commissie en de Verenigde Staten hebben vorige week een principeakkoord bereikt over de verwerking van persoonsgegevens van EU-ingezetenen in de VS binnen de kaders van de GDPR. Dit nieuwe verdrag, genaamd het Trans-Atlantic Data Privacy Framework, volgt op de eerdere Safe Harbor en Privacy Shield verdragen. In dit artikel neem ik je mee in recente ontwikkelingen, maar heb ik ook wat aanbevelingen over vervolgstappen voor jou als marketeer.
Verschil EU GDPR en US wetgeving
De hierboven genoemde verdragen zijn eerder ongeldig verklaard naar aanleiding van diverse zaken die waren aangespannen door NYOB van privacyvoorvechter Max Schrems. Sinds de meest recente beslissing van het Hof van Justitie van de Europese Unie in juli 2020, bekend als de Schrems II uitspraak, was er onduidelijkheid over de mate waarin verwerking van persoonsgegevens van EU-ingezetenen in de VS in overeenstemming was met de Europese privacywetgeving GDPR, in Nederland bekend als de AVG.
Vanwege verschillen tussen de Europese GDPR en de Amerikaanse wetgeving, was het niet mogelijk om de privacy van Europeanen naar Europese maatstaven te borgen wanneer de verwerking plaatsvond door Amerikaanse bedrijven. Dit omdat Amerikaanse inlichtingendiensten ongelimiteerde en ongereguleerde toegang tot data hadden.
Einde aan onduidelijkheid over verbod op Google Analytics
Op grond van deze verschillen oordeelde de Oostenrijkse privacytoezichthouder DSB eerder dit jaar op grond van een eveneens door NOYB aangespannen rechtszaak dat het gebruik van Google Analytics in strijd was met de GDPR. De grondslag voor deze uitspraak lag niet zozeer in het feit dat Google Analytics als product onvoldoende privacywaarborgen zou bieden, of dat persoonsgegevens buiten de EU werden verwerkt. Het belangrijkste argument was gebaseerd op het gegeven dat Google onder de Amerikaanse wetgeving wordt gezien als een ‘provider of electronic communication services’. Als zodanig geeft dit de Amerikaanse inlichtingendiensten de mogelijkheid om persoonsgegevens in te zien, zonder dat sprake is van gericht onderzoek of een aanmerkelijk belang, zoals vereist in de GDPR.
De uitspraak van de Oostenrijkse privacytoezichthouder leidde tot veel onduidelijkheid en onrust. De impact reikte veel verder dan Google of Google Analytics alleen. Zo zou de dienstverlening van alle andere Amerikaanse bedrijven die onder dezelfde classificatie vallen hiermee in strijd zijn met de GDPR. Dus ook het gebruik van bijvoorbeeld Adobe Analytics of bijvoorbeeld CRM-software zoals aangeboden door Microsoft (Dynamics), Salesforce en HubSpot. Het is dan ook aannemelijk dat de uitspraak is gebruikt als pressiemiddel door de EU om tot een nieuw verdrag te komen. Het Trans-Atlantic Data Privacy Framework is daar nu het gevolg van. Hiermee lijkt ook een verbod op Google Analytics dus definitief van de baan.
Uitgangspunten van het Trans-Atlantic Data Privacy Framework
Het Trans-Atlantic Data Privacy Framework is gebaseerd op de volgende uitgangspunten:
- Vrij en veilige data-uitwisseling tussen de EU en Amerikaanse organisaties die deelnemen aan het Trans-Atlantic Data Privacy Framework verdrag;
- Regelgeving die toeziet op de toegang tot persoonsgegevens van EU-ingezetenen door Amerikaanse inlichtingendiensten. Deze regelgeving borgt dat deze toegang noodzakelijk, gericht en proportioneel is in het belang van de nationale veiligheid;
- Nieuwe procedures die betrekking hebben op het onderzoeken en oplossen van klachten van EU-ingezetenen met betrekking tot de verwerking van persoonsgegevens door de Amerikaanse inlichtingendiensten, waaronder de oprichting van een Data Protection Review Board;
- Striktere verplichtingen in lijn met GDPR-regelgeving voor Amerikaanse bedrijven die data uit de EU verwerken onder toezicht door de US Department of Commerce;
- Specifieke monitoring- en beoordelingsmechanismen.
Juridische gevolgen
Met de implementatie van het Trans-Atlantic Data Privacy Framework worden naar verluidt alle grondslagen onder de Schrems II uitspraak van juli 2020 juridisch adequaat ondervangen. Hoewel het Trans-Atlantic Data Privacy Framework nog moet worden omgezet in wetgeving door de Amerikaanse overheid, lijkt dit slechts een formaliteit. Daarmee eindigt eindelijk de onduidelijkheid over de rechtsgeldigheid van het gebruik van Google Analytics en andere software waarmee persoonsgegevens worden verwerkt van Amerikaanse origine. De vraag is echter voor hoe lang. NOYB van Max Schrems zal ongetwijfeld ook de rechtsgeldigheid van het Trans-Atlantic Data Privacy Framework aan de kaak willen stellen.
Aanbevolen vervolgstappen voor marketeers
Met de implementatie van het Trans-Atlantic Data Privacy Framework is er niet langer aanleiding om het gebruik van Google Analytics te heroverwegen. Met de recent aangekondigde uitfasering van de huidige versie van Google Analytics, ‘Universal Analytics’, is het echter wel aanbevolen om actie te ondernemen. De opvolger van Universal Analytics, genaamd Google Analytics 4 (kortweg: GA4) biedt adverteerders veel meer privacy controls en features die standaard ‘actief’ zijn, waaronder IP-anonimisering.
Na 1 juli 2023 wordt sowieso geen data meer verzameld op basis van Universal Analytics, en inzage in historische data is slechts gegarandeerd tot 1 januari 2024 voor gebruikers van de gratis versie van Google Analytics. Adverteerders die gebruik maken van de betaalde versie, Analytics 360, krijgen 3 maanden langer de tijd. Hoe dan ook luidt het advies om snel, in elk geval tijdig, over te stappen naar Google Analytics 4.