Na de recente goedkeuring door de Europese Commissie van het EU-VS-kader voor gegevensprivacy, is Google Analytics 4 een belangrijke ontwikkeling. Het nieuws komt te midden van waarschuwingen van de Zweedse privacyautoriteit (IMY) over mogelijke bewakingsrisico’s in verband met GA4. De juridische status van GA4 in Europa en de IMY-waarschuwing zijn onderling verbonden delen van een groter wereldwijd verhaal over gegevensprivacy, beschermingsregels en transatlantische gegevensoverdrachten.
Goedgekeurd kader voor gegevensprivacy in de EU en de VS
De Europese Commissie heeft het nieuwe kader voor gegevensprivacy tussen de EU en de VS geratificeerd, waarmee wordt bevestigd dat de Verenigde Staten een gelijkwaardige bescherming bieden voor persoonsgegevens die vanuit de EU naar de Unie worden overgedragen. Deze oplossing maakt de veilige overdracht van gegevens van de EU naar Amerikaanse bedrijven die aan het systeem deelnemen mogelijk zonder dat er aanvullende gegevensbeschermingsmaatregelen nodig zijn. Het systeem omvat strikte waarborgen die betrekking hebben op kwesties die eerder door het Europese Hof van Justitie aan de orde zijn gesteld. Deze waarborgen beperken de toegang tot EU-gegevens door Amerikaanse inlichtingendiensten tot wat essentieel en evenredig is en stellen een Data Protection Review Tribunal (DPRC) in. EU-burgers kunnen zich tot deze rechtbank wenden.
Verbeterde waarborgen in vergelijking met eerdere mechanismen
Het nieuwe raamwerk biedt aanzienlijke verbeteringen ten opzichte van het vorige privacyschildmechanisme. Als de DVK bijvoorbeeld vaststelt dat gegevens zijn verzameld in strijd met nieuwe waarborgen, kan het gelasten dat dergelijke gegevens worden verwijderd. Amerikaanse bedrijven die gegevens uit de EU importeren, moeten voldoen aan verplichtingen die een aanvulling vormen op nieuwe waarborgen met betrekking tot overheidstoegang tot gegevens.
Zweedse privacywaakhond waarschuwt tegen Google Analytics.
De aankondiging van het nieuwe EU-VS-kader voor gegevensprivacy valt samen met waarschuwingen van de IMY aan bedrijven die GA4 gebruiken, waarin bezorgdheid wordt geuit over het risico van toezicht door de Amerikaanse overheid. Het onderzoek van de autoriteit naar vier Zweedse bedrijven bracht schendingen van de AVG-vereisten voor toestemming en gegevensoverdracht aan het licht, wat leidde tot boetes en bevelen om te stoppen met het gebruik van Google Analytics. In reactie op het IMY-besluit benadrukte Google dat Google Analytics geen specifieke personen op internet identificeert of volgt. Het bedrijf zei dat website-uitgevers verantwoordelijk zijn voor naleving en ethisch gegevensgebruik, terwijl Google voor beveiligingen, controles en middelen zorgt.
Verklaring van de voorzitter van de Commissie
Ursula von der Leyen, voorzitter van de Europese Commissie, merkte op: “Het nieuwe kader voor gegevensprivacy tussen de EU en de VS zal zorgen voor een veilige gegevensstroom voor Europeanen en rechtszekerheid bieden voor bedrijven aan beide zijden van de Atlantische Oceaan. Vandaag zetten we een belangrijke stap om burgers het vertrouwen te geven dat hun gegevens veilig zijn, om de economische banden tussen de EU en de VS te versterken en tegelijkertijd onze gedeelde waarden te bevestigen.
Amerikaans Enterprise Framework-nalevingsprotocol
Amerikaanse bedrijven kunnen zich bij het raamwerk aansluiten door akkoord te gaan met bepaalde privacyverplichtingen. Dit omvat het wissen van persoonsgegevens wanneer deze niet langer nodig zijn om het oorspronkelijke doel te bereiken en het waarborgen van voortdurende bescherming wanneer gegevens worden gedeeld met derden. EU-burgers hebben verschillende mogelijkheden om verhaal te halen als Amerikaanse bedrijven hun gegevens verkeerd gebruiken. Deze omvatten gratis, onafhankelijke geschillenbeslechtingsmechanismen en een panel van arbiters.
Bescherming van toegang tot overgedragen gegevens
Het Amerikaanse rechtssysteem biedt verschillende waarborgen met betrekking tot toegang tot gegevens door Amerikaanse autoriteiten. Toegang tot gegevens is beperkt voor zover noodzakelijk en evenredig om de nationale veiligheid te beschermen. EU-burgers krijgen toegang tot een onafhankelijk en onpartijdig verhaalmechanisme met betrekking tot het verzamelen en gebruiken van hun gegevens door Amerikaanse inlichtingendiensten, waaronder de nieuw opgerichte DVK. Deze rechtbank behandelt en beslist zelfstandig over de klachten. Deze waarborgen zullen meer algemene transatlantische gegevensstromen vergemakkelijken, aangezien ze van toepassing zijn wanneer gegevens worden overgedragen met behulp van andere middelen, zoals standaardcontractbepalingen en bindende bedrijfsregels.
Toekomstige stappen
Met de goedkeuring van het EU-VS-kader voor gegevensprivacy en het besluit van de Europese Commissie worden de zorgen van de Zweedse autoriteit niet onbelangrijk. De twee evenementen behandelen verschillende aspecten van de bredere kwestie van gegevensprivacy. Het EU-VS-kader voor gegevensprivacy is ontworpen om gemeenschappelijke gegevensbescherming voor EU-burgers te waarborgen wanneer hun gegevens naar de VS worden overgedragen. Het biedt waarborgen en richt een Data Protection Review Tribunal (DPRC) op. Hoewel de nieuwe systemen de gegevensbescherming zouden moeten verbeteren, blijven individuele bedrijven verantwoordelijk om ervoor te zorgen dat hun praktijken voldoen aan de AVG en andere gerelateerde regelgeving. Zelfs met het nieuwe raamwerk moeten bedrijven waakzaam blijven bij het beheren van hun gegevensprivacypraktijken.
samengevat
Hoewel het EU-VS-kader voor gegevensprivacy een belangrijke stap is in de richting van betere gegevensprivacy, lost het niet automatisch specifieke zorgen over individuele bedrijven of diensten op, zoals die van IMY met betrekking tot Google Analytics. De werking van het EU-VS-kader voor gegevensprivacy zal periodiek worden beoordeeld door de Europese Commissie, de Europese gegevensbeschermingsautoriteiten en de bevoegde Amerikaanse autoriteiten. De eerste beoordeling is gepland binnen een jaar na de tenuitvoerlegging van het subsidiabiliteitsbesluit.