Let's Analyse!

We zijn 2022 nog maar koud gestart of ons mooie tijdschrift bevestigt maar weer eens haar bestaansrecht. Mijn redactionele oog viel op twee  interessante ontwikkelingen: (i) het rapport1 van de CNIL over hergebruik van data door technologie-providers, en (ii) de verschillende besluiten2 inzake Google Analytics.

CNIL over hergebruik

De CNIL heeft in mijn ogen een hoge gunfactor, want durft ook naar de geest van de AVG te handelen. In een eerder rapport3 over het gebruik de blockchain bijvoorbeeld, komt de CNIL niet met de dooddoener dat de blockchain per definitie in strijd is met de AVG omdat gegevens niet permanent verwijderd kunnen worden, maar komt de CNIL met de lijn om de blockchain dan ontoegankelijk te maken. En maakt hiermee vereisten onder de AVG praktisch uitvoerbaar. Ik hou daar wel van.

Maar nu over dat rapport van de CNIL omtrent hergebruik. Het rapport is relevant voor vragen als "mag een leverancier data gebruiken om haar artificial intelligence of machine learning algoritmes te verbeteren". CNIL stelt dat hergebruik mag, edoch onder strikte voorwaarden. Belangrijkste: toestemming van de verantwoordelijke, en de verantwoordelijke moet vaststellen dat hergebruik "compatible" is – verenigbaar dus. De CNIL komt in dit kader met het volgende voorbeeld:

"in a case where a processor wants to reuse data for the purpose of improving its cloud computing services, such reuse could be considered compatible with the initial processing, subject to appropriate guarantees such as the anonymization of the data if this identifying data is not necessary." "

Maar volgens de CNIL zal bijvoorbeeld hergebruik voor marketing doeleinden deze 'compatibility test' niet mogen doorstaan.

En de CNIL schept, last but not least, duidelijkheid over de nieuwe rol van de verwerker: de verwerker wordt verwerkingsverantwoordelijke voor deze nieuwe verwerking. Kijk, duidelijkheid op een punt waarover best wat discussie over bestaat. Als deze lijn wordt gevolgd, dan betekent dit wel - schat ik zo in - dat er nogal wat verwerkersovereenkomsten opengebroken of aangepast moeten gaan worden, alsmede dat er nagedacht moet worden over de invulling van de plichten (zoals de informatieplicht) die de verwerker als verantwoordelijke voor deze verwerking heeft.

De besluiten inzake Google Analytics

Dan naar de Google Analytics besluiten. Het gaat onder meer om een besluit van de Oostenrijkse privacy-waakhond ("Datenschutzbehörde", "DSB") en om een besluit van de EDPS, beide naar aanleiding van klachten van Max Schrems (via zijn vehikel None Of Your Business). In beide besluiten wordt geoordeeld dat Google Analytics in strijd is met de AVG. Uit het persbericht van NOYB inzake het besluit van de EDPS:

"De EDPS wijst erop dat het gebruik van Google Analytics (…) in strijd was met het "Schrems II"-arrest van het Hof van Justitie (HJEU) over de doorgifte van gegevens tussen de EU en de VS. Het arrest is een van de eerste besluiten waarbij "Schrems II" in de praktijk wordt gebracht en kan de weg wijzen voor honderden andere zaken die bij regelgevende instanties aanhangig zijn."

Ik voorspel dat het probleem echter (veel) verder reikt dan alleen Google Analytics. Het raakt mijns inziens élke doorgifte van persoonsgegevens vanuit de EU naar de VS, die aldaar onder 'surveillance' wetgeving vallen. Het Europees Hof geeft hiertoe al een sterke aanwijzing in Schrems II: namelijk dat uitvoeringsbevel van de Amerikaanse surveillanceprogramma's "evenmin rechten verschaft die voor de rechtbanken tegenover de Amerikaanse overheidsdiensten afdwingbaar zijn".4

In de zaak in Oostenrijk tussen de DSB en Google, benadrukt Google in haar verweer dat zij, conform de Schrems II uitspraak, aanvullende technische maatregelen heeft genomen, zoals pseudonimisering en encryptie. Maar de DSB oordeelt dat dat deze 'aanvullende maatregelen' helemaal niet effectief zijn, omdat deze niet het gat dichten zoals door het Hof vastgesteld. Te weten: de toegang- en monitoringsmogelijkheden van de Amerikaanse geheime diensten op data.

Kortom, over internationale doorgiftes is het laatste woord nog niet gezegd.

Op het moment van het schrijven van dit redactioneel is de AP inhoudelijk nog aan zet in verband met een onderzoek naar aanleiding van ingediende klachten. Tot nu toe blijft het bij een waarschuwing dat het gebruik van Google Analytics mogelijk binnenkort niet meer is toegestaan.5 Maar die uitkomst van dit onderzoek laat zich wat mij betreft makkelijk raden. En ik hoop dat de AP met name ook een stap verder durft te zetten en duidelijkheid creëert omtrent de doorgifte naar de VS in het algemeen.

Wel is inmiddels de DPIA tbv de Rijksoverheid gepubliceerd inzake de gegevensverwerking via Microsoft Teams, OneDrive en SharePoint Online.6 Ook hier wordt de SchremsII-lijn doorgetrokken: geen doorgifte van gevoelige en/of bijzondere persoonsgegevens.

Voor wat betreft het besluit van onze eigen waakhond inzake Google Analytics, ben ik benieuwd of ik gelijk heb gekregen op het moment dat u dit redactioneel leest.

Ik wens u ten slotte veel leesplezier met deze eerste uitgave van 2022. Dat er nog vele uitgaven en jaren van dit tijdschrift mogen volgen!