Een verbod op Analytics en het einde der tracking cookies?
Er zijn de laatste tijd veel nieuwe ontwikkelingen op het gebied van privacy, tracking, en het gebruik van cookies.
Dit leidt tot veel onzekerheid en onduidelijkheid in de online marketingwereld.
In dit blog leggen we je kort uit wat er momenteel speelt en wat je hier op korte termijn mee moet.
Wat is er precies aan de hand?
De Belgische DPA heeft IAB Europe opgelegd functionaliteiten toe te voegen aan haar Transparency & Consent Framework (TCF).
Het CNIL (Franse Autoriteit Persoonsgegevens) heeft een uitspraak gedaan tegen een implementatie van Google Analytics, die weinig ruimte laat voor een functionele implementatie van een Analytics oplossing, dit in opvolging van een eerdere uitspraak van de Oostenrijkse DPA die grofweg tot dezelfde conclusie kwam.
Transparency & Consent Framework
De uitspraak van de Belgische DPA (APD) gaat specifiek in op één deel van de TCF oplossing zoals deze momenteel door het IAB geboden wordt.
Het gaat hierbij om ‘TC strings’. Deze strings worden door CMP’s gegenereerd, en kunnen door vendors worden ontvangen om de keuzes van data subjects over dataverwerking te ontvangen.
Deze strings worden als zodanig niet als personal data beschouwd, maar het standpunt van de APD is dat deze data in combinatie met een IP adres tot een identifiable user kan leiden.
Wat moet ik doen als TCF gebruiker?
Momenteel lopen gebruikers van TCF geen risico i.v.m. hun lokale DPA.
Procedureel gezien heeft het IAB nog twee maanden de tijd om een alternatieve oplossing te presenteren, en 6 maanden om deze te implementeren.
Daarnaast heeft het IAB ook nog de mogelijkheid in beroep te gaan. Zolang deze wegen nog openstaan is de zaak dus nog niet afgerond.
Legaal gezien concludeert het APD niet dat het algemene gebruik van TC strings of het TCF illegaal is. Deze zaak ligt dus zowel procedureel als technisch gezien nog open.
In het kort: De zaak omtrent het TCF is nog niet afgerond, en er is momenteel geen actie vereist voor gebruikers van het TCF.
Google Analytics
In de recente uitspraak van de Franse en Oostenrijkse DPA wordt bevonden dat bepaalde implementaties van Google Analytics (GA) het niet volledig onmogelijk maken voor inlichtingendiensten uit de VS om data van websitebezoekers in te zien.
Deze uitspraken vallen zowel de verzamelde data (van user Id’s, apparaat- en browser kenmerken, tot geanonimiseerde IP-adressen), als de locatie van opslag (VS) aan.
Wat moet ik doen als Google Analytics gebruiker?
Het is momenteel niet nodig om alternatieve oplossingen te verkennen, wel is het van belang te zorgen dat de huidige implementatie zo goed mogelijk rekening houdt met de richtlijnen uit de GDPR. Denk hierbij aan een goed geïntegreerde cookiebanner, waarbij i.g.v. geen consent dataverzameling zoveel mogelijk wordt ingeperkt. Abovo Maxlead heeft zelf een cookiebanner en oplossing ontwikkeld die volledig GDPR-proof is, en inmiddels al door vele klanten in meerdere landen wordt gebruikt. Zie voor meer informatie over deze oplossing: https://www.cookieconsent.io/ of neem even contact ons op.
Er vinden de komende weken een paar ontwikkelingen plaats die meer duidelijkheid zullen verschaffen in de kwestie.
Google is al in bezwaar gegaan tegen de Oostenrijkse beslissing, en heeft een brief gestuurd naar de European Data Protection Board om haar zienswijze over alle DPA’s te delen.
Daarnaast worden er momenteel oplossingen ontwikkeld die GA gebruikers de mogelijkheid zullen bieden veel meer controle uit te oefenen op de verzamelde user-level data.
Welke oplossingen dit precies zijn weten we nog niet, wel weten we dat we hier op 9 maart 2022 in veel meer detail op in kunnen gaan.
Als laatste zien we tot nu toe dat de partijen waartegen zaken zijn aangespannen altijd 30 dagen de tijd krijgen om te voldoen aan de uitspraak. Er worden dus niet direct boetes gegeven.
In het kort: Er worden momenteel oplossingen ontwikkeld die GA gebruikers meer controle gaan geven over de verzameling van user-level data. Ook loopt er een bezwaar vanuit Google. We verwachten binnen enkele weken met meer zekerheid te weten wat de juiste actie is. Momenteel zien we geen risico in het gebruik van een privacyvriendelijke implementatie van Google Analytics.