Naar de inhoud Naar het menu

De strijd van NOYB

Over Google Analytics en 'Schrems II'

nieuws/220114-nyob-google-analytics.png

Gisteren kwam NOYB met heugelijk nieuws: de toezichthouder in Oostenrijk heeft bepaald dat gebruik van Google Analytics de AVG schendt. In de klacht gericht aan de toezichthouder vroeg NOYB of Google en Facebook, na de uitspraak 'Schrems II', persoonsgegevens van Europese burgers mogen doorgeven aan de VS.

Wat houdt die uitspraak 'Schrems II' eigenlijk in?

Lees hieronder meer over de strijd die NOYB al jaren voert en wat dit betekent voor onze privacy.

Wat is NOYB?

NOYB (None of Your Business) is een organisatie in Oostenrijk die actievoert voor privacy. De organisatie heeft geen winstoogmerk en is opgericht door privacy jurist Max Schrems. Hij voert al jaren actie tegen Facebook, Google en andere big tech bedrijven. Dat doet hij (nu met NOYB) door het indienen van klachten en rechtszaken. En met veel succes: NOYB en Schrems hebben een aantal belangrijke uitspraken op hun naam staan, waaronder de uitspraak 'Schrems II'.

Wat er voorafging aan 'Schrems II'

Max Schrems dient in 2013 een klacht in bij de DPC, de Ierse toezichthouder, over Facebook. Volgens Schrems mag Facebook niet zomaar zijn persoonlijke gegevens doorgeven aan de VS. De gegevens worden beschermd door Europees recht. Edward Snowden had eerder dat jaar bekendgemaakt dat Facebook (en andere big tech) gegevens van alle gebruikers moeten afgeven aan de Amerikaanse overheid vanwege Amerikaanse wetgeving. Dat is volgens Schrems strijdig met de gegevensbescherming die in Europa geldt.

De Europese rechter (in dit geval het Hof van Justitie van de EU) verklaart de 'Safe Harbour' regeling ongeldig. Tot dan toe vindt de doorgifte van persoonsgegevens tussen de EU en de VS plaats op grond van o.a. die regeling. Doorgifte mag alleen plaatsvinden als voldoende bescherming is geregeld. En dat blijkt nu, door de onthullingen van Snowden, niet het geval. Deze uitspraak staat nu bekend als 'Schrems I'.

De 'Schrems II' uitspraak

Facebook geeft zich niet gewonnen en verklaart dat zij niet handelt op grond van de 'Safe Harbour' regeling. Er zouden speciale contracten (standard contractual clauses) zijn opgesteld die wél voldoende bescherming bieden. De doorgifte aan de VS gaat dus door.

Opnieuw buigt de Europese rechter zich over het vraagstuk en betrekt de speciale contracten daarbij. Inmiddels is een nieuwe regeling van kracht voor doorgifte naar de VS: 'Privacy Shield'

De rechter komt in 'Schrems II' tot de conclusie dat ook 'Privacy Shield' ongeldig is. De bescherming van Europese persoonsgegevens kan niet worden gegarandeerd. Op grond van die regeling mogen niet langer persoonlijke gegevens worden doorgegeven aan de VS. Ook stelt de rechter dat de doorgifte door bedrijven als Facebook op grond van de speciale contracten moet worden gestopt door de autoriteiten. De grootschalige surveillance door de Amerikaanse overheid maakt dat de Europese persoonsgegevens niet veilig zijn. 

Wat er gebeurde na 'Schrems II'

Nu 'Privacy Shield' ongeldig is verklaard, mag een organisatie de doorgifte van persoonsgegevens van de EU naar de VS niet langer daarop baseren. NOYB onderzocht na de uitspraak 'Schrems II' of verschillende grote Europese bedrijven nog steeds gebruikmaken van de diensten van Google en Facebook. Dit is - je raadt het al - het geval. Daarom heeft NOYB 101 klachten gericht aan verschillende Europese toezichthouders, waaronder ook de Nederlandse toezichthouder, de Autoriteit Persoonsgegevens.

Toezichthouder Oostenrijk over Google Analytics

De toezichthouder in Oostenrijk heeft nu als eerste gereageerd op de klachten. Als een bedrijf Google Analytics gebruikt, schendt het bedrijf de uitspraak 'Schrems II' en de AVG.

Naar 'Schrems II' hebben de bedrijven niet geluisterd. Het is natuurlijk de vraag of ze wel luisteren naar de toezichthouders. Google verschuilt zich, net als alle andere big tech, achter het feit dat ze speciale maatregelen gebruiken in plaats van 'Privacy Shield'.

Max Schrems concludeert zelf: De toezichthouder is duidelijk in haar beslissing. Bedrijven mogen in Europa niet langer gebruikmaken van cloud services uit de VS. De Europese rechter heeft dit nu al twee keer bevestigd. Het wordt tijd dat het recht wordt afgedwongen.