CBP Handleiding Google Analytics
Bijdrage ingezonden door Polo van der Putt & Herwin Roerdink, Vondst Advocaten. Het CBP heeft op een nog niet veel opgemerkte pagina van haar site een handleiding gepubliceerd voor het privacyvriendelijk gebruik van Google Analytics. De handleiding bevat een aantal opmerkelijke standpunten. Raadpleeg het document hier.
Vier stappen
In de handleiding worden vier stappen besproken om Google Analytics privacyvriendelijk te gebruiken. Deze vier stappen zijn:
1. afsluiten van een bewerkersovereenkomst met Google;
2. ‘anonimiseren’ van het volledige IP-adres (door het laatste octet van het IP-adres te verwijderen);
3. gegevens delen met Google uitzetten; en
4. informeren over het gebruik van Google Analytics en bieden van de opt-out mogelijkheid.
In de handleiding, die alleen te vinden is als specifiek op de naam wordt gezocht en nog niet breed onder de aandacht is gebracht, wordt gedetailleerd uitgelegd hoe deze vier stappen moeten worden doorlopen. De handleiding is overigens zonder enige toelichting op de nieuwe CBP-website gezet en loopt vooruit op het wetsvoorstel voor de wijziging van artikel 11.7a Telecommunicatiewet.
Wijziging cookiewet
Met het wetsvoorstel wordt een versoepeling van de eisen ten aanzien van onder meer analytic cookies voorgesteld. Ook voor cookies die geringe gevolgen hebben voor de persoonlijke levenssfeer hoeft straks geen geïnformeerde toestemming meer te worden gevraagd, waar deze uitzondering op dit moment geldt alleen nog voor puur functionele cookies.
Overigens kan in zijn algemeenheid niet worden gezegd dat alle analytic cookies geringe privacygevolgen hebben. Van belang is wat er met de informatie die via dergelijke cookies wordt verkregen gebeurt. De mate waarin er met het gebruik van analytic cookies inbreuk wordt gemaakt op de persoonlijke levenssfeer bepaalt of de uitzondering uit artikel 11.7a van toepassing is. Het doel van de cookiebepaling is immers steeds de bescherming van de privacy van eindgebruikers.
IP-adres
Opmerkelijk is dat het CBP in de handleiding haar opvatting bevestigt dat IP-adressen, ook als het laatste octet wordt verwijderd, (voor Google) persoonsgegevens zijn, omdat het gaat om een groep van maximaal 256 computers. Het CBP merkt op dat Google dit - in de ogen van het CBP kennelijk onterecht - ‘anonimiseren’ noemt.
Informatieplicht
Een ander interessant punt is de vierde paragraaf over de informatieplicht. De nieuwe cookiewet bepaalt dat ten aanzien van analytische cookies met een lage privacy-impact de informatieplicht uit artikel 11.7a lid 1 Tw niet van toepassing is. Dat neemt niet weg dat via Google Analytics-cookies persoonsgegevens worden verwerkt en in het kader van de belangenafweging uit artikel 8f van de Wbp in samenhang met artikel 33 Wbp over het gebruik daarvan moet worden geïnformeerd.
De invulling die het CBP vervolgens geeft aan de informatieplicht strekt wel erg ver. Zo moet niet alleen worden gemeld dat Google Analytics-cookies worden gebruikt, maar ook dat er een bewerkersovereenkomst is gesloten, dat er gekozen is voor het maskeren van de laatste drie cijfers van het IP-adres, dat ‘gegevens delen’ is uitgezet en dat er geen gebruik wordt gemaakt van andere Google-diensten in combinatie met de Google Analytics-cookies. Dat standpunt van het CBP gaat ver.
Het is dan ook de vraag of het CBP dit overweegt omdat het Google betreft (in november 2014 is aan Google een last onder dwangsom opgelegd), of dat het CBP van mening is dat bij gebruik van bewerkers altijd zeer gedetailleerd geïnformeerd dient te worden. Als dat het geval is, zullen veel privacy statements aangepast moeten worden om aan de eisen van het CBP te voldoen.
Polo van der Putt & Herwin Roerdink
Vondst advocaten, Amsterdam
