Zweedse toezichthouder grijpt in bij bedrijven vanwege Google Analytics

De Zweedse Autoriteit voor Privacybescherming (IMY) heeft gecontroleerd hoe vier bedrijven Google Analytics gebruiken voor webstatistieken. IMY heeft administratieve boetes opgelegd aan twee van de bedrijven. Een van de bedrijven is onlangs op eigen initiatief gestopt met het gebruik van de statistiektool, terwijl IMY de andere drie opdraagt er ook mee te stoppen.

Doorgifte persoonsgegevens

IMY-Zweedse AP toezichthouderIMY heeft gecontroleerd hoe vier bedrijven persoonsgegevens doorgeven aan de VS via Google Analytics, een tool voor het meten en analyseren van verkeer op websites. De gecontroleerde bedrijven zijn CDON, Coop, Dagens Industri en Tele2. De audits hebben betrekking op een versie van Google Analytics vanaf 14 augustus 2020. De audits zijn gebaseerd op klachten van de organisatie None of Your Business (NOYB) in het licht van het Schrems II-arrest van het Europees Hof van Justitie (HvJEU). Volgens de klachten geven de bedrijven in strijd met de wet persoonsgegevens door aan de Verenigde Staten.

Passend beschermingsniveau

Volgens de gegevensbeschermingsverordening GDPR mogen persoonsgegevens worden doorgegeven aan derde landen, d.w.z. landen buiten de EU/EER, als de Europese Commissie heeft besloten dat het land in kwestie een passend beschermingsniveau voor persoonsgegevens heeft dat overeenkomt met dat binnen de EU/EER. Het HvJEU oordeelde echter in het Schrems II-arrest dat de Verenigde Staten ten tijde van de uitspraak geen passend beschermingsniveau kennen. In zijn audits is IMY van mening dat de gegevens die de statistiektool van Google de VS doorgeeft persoonsgegevens zijn. Die gegevens zijn immers te koppelenaan andere unieke gegevens die worden doorgegeven. De autoriteit concludeert ook dat de technische beveiligingsmaatregelen die de bedrijven hebben genomen niet voldoende zijn om een beschermingsniveau te garanderen dat in wezen overeenkomt met het niveau dat binnen de EU/EER wordt gegarandeerd.

Duidelijkheid

Doordat IMY tegelijkertijd over deze zaken heeft besloten, is  duidelijk welke eisen gelden voor technische beveiligingsmaatregelen en andere maatregelen bij de overdracht van persoonsgegevens naar een derde land. In dit geval de Verenigde Staten. Als de Europese Commissie geen besluit neemt over een passend beschermingsniveau, mogen gegevens worden doorgegeven op basis van contractuele standaardclausules waartoe de Europese Commissie heeft besloten. Volgens het HvJEU kan het echter nodig zijn om dergelijke modelcontractbepalingen aan te vullen met extra waarborgen als het nodig is om de bescherming die de bepalingen beogen te bieden in de praktijk te handhaven. Alle vier de bedrijven hebben hun beslissingen over de overdracht van persoonsgegevens via Google Analytics gebaseerd op standaard contractuele clausules. Uit de audits van IMY blijkt dat geen van de aanvullende technische beveiligingsmaatregelen van de bedrijven afdoende is.

Boetes

IMY legt een administratieve boete op van 12 miljoen SEK aan Tele2 en 300.000 SEK aan CDON, dat niet dezelfde uitgebreide beschermingsmaatregelen heeft genomen als Coop en Dagens Industri. Tele2 is onlangs op eigen initiatief gestopt met het gebruik van de statistiektool. IMY beveelt de andere drie bedrijven om te stoppen met het gebruik van de tool. (bron)
Gerelateerde berichten

Vorige week werd bekend dat de oprichter van de Franse telecom- en internetprovider Iliad 16,2 procent van de aandelen van de Vodafone Group heeft gekocht. Dit is meer dan de...

Vijf jaar geleden, midden in de coronaperiode, begon Open Dutch Fiber (ODF) met een klein team in een hotel in Zeist. Inmiddels is het bedrijf uitgegroeid tot de grootste onafhankelijke...

Dinsdagochtend tijdens het versturen van de ITchannelPRO nieuwsbrief kwam het bericht dat de Rechtbank in Rotterdam het verbod op de overname van Solvinity door Kyndryl in stand houdt. Zo kort...

Panik Button is een Nederlands Cyber Resilience (Weerbaarheid) bedrijf dat organisaties helpt wanneer zij worden getroffen door een cyberaanval, zoals een hack, ransomware of een grote IT-storing. Op zo’n moment...

De afgelopen dagen is in de nationale en internationale pers veel aandacht besteed aan gehackte IP-camera’s in Nederland. Het gaat om een grootschalige Russische spionageactie waarvoor een berucht zwakke schakel...

Laatste nieuws
Personalia
Magazine
Evenementen
sep
02
17:00 - 21:30 - La Cantina, Scheveningen
17:00 - 21:30 | La Cantina, Scheveningen
sep
04
09:00 - 17:00 - Online
09:00 - 17:00 | Online
sep
09
13:00 - 21:00 - Mereveld
13:00 - 21:00 | Mereveld
Vacatures
Q data solutions
Den Bosch
TP-Link
Nieuwegein
TP-Link
Nieuwegein