Google Analytics (GA) gebruikt cookies zoals _ga en _gid om individuele gebruikers op een domein te onderscheiden. Deze cookies worden niet als strikt noodzakelijk geclassificeerd, waardoor de vereisten van de Algemene Verordening Gegevensbescherming (AVG/GDPR) en de ePrivacyrichtlijn voor uitdrukkelijke toestemming van de gebruiker van kracht worden voordat ze worden geplaatst. Dit is in lijn met het principe dat alleen strikt noodzakelijke cookies zijn vrijgesteld van toestemmingsverplichtingen (Europees Parlement en de Raad, 2016).
Toestemmingsvereisten verschillen per jurisdictie binnen de EU, zoals blijkt uit de verschillende interpretaties en handhaving door de Gegevensbeschermingsautoriteiten (GBA's/DPA's):
- Het Britse Information Commissioner’s Office (ICO) classificeert analytische cookies als niet-essentieel en vereist uitdrukkelijk toestemming van de gebruiker voordat GA-cookies worden geactiveerd (ICO, 2020).
- De Duitse DPA vereist alleen uitdrukkelijke toestemming voor analytische cookies als gegevens worden doorgegeven aan derden, wat een meer voorwaardelijke aanpak weerspiegelt (BfDI, 2021).
- Autoriteiten zoals de Oostenrijkse DPA, de Franse CNIL en de Italiaanse Garante hebben geoordeeld dat Google Analytics de AVG/GDPR schendt, met name vanwege problemen met gegevensoverdracht en onvoldoende waarborgen (CNIL, 2022; Garante, 2023).
Deze uitspraken richten zich op:
- Gegevensoverdracht naar derde landen, met name de VS, die geen adequaatheidsbesluiten hebben onder de AVG/GDPR.
- Onvoldoende anonimisering of pseudonimisering van persoonsgegevens die naar de servers van Google worden verzonden.
- Het ontbreken van een geldige rechtsgrondslag voor de verwerking van persoonsgegevens via GA zonder uitdrukkelijke toestemming.
De gevolgen voor websitebeheerders zijn aanzienlijk:
- Zij moeten uitdrukkelijke, geïnformeerde toestemming verkrijgen voordat ze GA-cookies plaatsen.
- Zij moeten beoordelen of hun gebruik van GA voldoet aan de specifieke richtlijnen van de DPA van hun jurisdictie.
- Alternatieven of aanvullende maatregelen (bv. server-side tracking, verbeterde anonimisering) kunnen nodig zijn om naleving te garanderen.
Samenvattend, is het gebruik van Google Analytics onder de AVG/GDPR niet vrijgesteld van toestemmingsvereisten, met sterke signalen van meerdere DPA's die de nadruk leggen op uitdrukkelijke toestemming vanwege privacyrisico's die verband houden met het gebruik van cookies en grensoverschrijdende gegevensoverdrachten. Niet-naleving kan leiden tot regelgevende maatregelen, waaronder boetes.
