Server-side tagging als oplossing voor Schrems II + GA
De nasleep van de uitspraak Schrems II houdt de gemoederen al even bezig. De afgelopen periode stond in het teken van de 101 klachten van NOYB over Google Analytics (en het Facebook Pixel). De Oostenrijkse, Franse, Italiaanse en Europese toezichthouders oordeelden allemaal dat het gebruik van Google Analytics niet is toegestaan. De Franse toezichthouder komt met een oplossing waarmee het gebruik van Google Analytics nog wel mogelijk is: een proxyserver die gegevens filtert voordat ze naar Google (in de VS) gaan.
CNIL: Maatregelen van Google (en website) zijn niet voldoende
In een eerder blog schreef ik al dat bij het gebruik van Google Analytics de doorgifte van gegevens naar de VS onvermijdelijk is. De CNIL (Franse toezichthouder) kwam in februari tot een vergelijkbare conclusie. In de uitspraak stelt de toezichthouder het volgende vast:- Dat de website eigenaar 'verwerkingsverantwoordelijke' is wanneer hij voor webanalyse en -optimalisatie Google Analytics implementeert. Dit is belangrijk omdat de verwerkingsverantwoordelijke kan worden aangesproken op niet naleving van de AVG.
- Online-identifiers zoals het IP-adres, het door Google gegenereerde user-id en andere interne-id’s (bijv. CRM id) zijn herleidbaar naar een websitebezoeker. Het zijn dus persoonsgegevens waarop de AVG van toepassing is.
- Los van de online id's onder 2 is de combinatie van andere met Google gedeelde gegevens (browser, besturingssysteem, herkomst-url etc.) ook herleidbaar naar een individu (ook wel ‘device fingerprinting Bekijk op deze website hoe uniek jouw apparaat is.’). Als een gebruiker bij Google is ingelogd dan kan er bovendien nog meer informatie worden gedeeld.
- De gegevens onder 2 en 3 worden (onder meer) in de VS opslagen. Er is dus sprake van doorgifte. Dit betekent dat een doorgifte-mechanisme vereist is.
- Op de doorgifte zijn de 'standard contractual clauses' (SCC's) van toepassing. Zie ook mijn eerder blog over doorgifte in de cloud, waarin ik de contractuele relatie met Google uitvoeriger beschrijf: "De verwerkersovereenkomst (‘Google Ads Data Processing Terms’) maakt (na acceptatie in het account) onderdeel uit van de overeenkomst. In de verwerkersovereenkomst staan alle afspraken over de rol van Google als verwerker... Voor de VS en andere landen baseert Google zich op de standard contractual clauses."Uit Schrems II volgt dat bij het gebruik van de SCC's voor doorgifte naar de VS technische maatregelen noodzakelijk zijn om tot een ‘passend beschermingsniveau’ te komen. Wat zegt de CNIL hierover?
- Doel: Het doel van die maatregelen is voorkomen dat Google LLC (in de VS) toegang heeft tot de leesbare gegevens (al dan niet via cryptografische sleutels), want anders hebben de Amerikaanse overheidsinstanties (middels wetgeving aldaar) ook toegang tot de informatie.
- Maar: Er kan bij gebruik van Google Analytics niet sprake kan zijn van effectieve pseudonimisering, omdat de gegevens onder 2 en 3 herleidbaar zijn. De gegevens zijn dus zelfs herleidbaar bij gebruik van Google Analytics in overeenstemming met de handleiding van de Autoriteit Persoonsgegevens. Bij het toepassen van de zogenaamde anonimiseringsfunctie is het bovendien niet duidelijk of het laatste octet van het IP-adres al voor doorgifte naar de VS wordt gemaskeerd, of pas op een server in de VS.
- Conclusie: De (door Google) genomen maatregelen zijn niet effectief. Er is dus niet sprake van een 'passend beschermingsniveau'.
Server-side tagging (‘proxyserver’) als ‘technische maatregel’
In juli kwam de CNIL met een voorstel voor een maatregel die mogelijk wel voldoet: een proxyserver waar de gegevens eerst naartoe gaan, voordat deze naar de Google Analytics servers worden verstuurd. Op de proxyserver worden de gegevens zoveel als mogelijk van herleidbare elementen ontdaan. Er blijft dan een pseudonieme dataset over. De gegevens zijn in handen van Google niet herleidbaar naar individuele websitebezoekers. Dit ziet er visueel als volgt uit:
De logica van verschillende tags verplaats je met 'server-side tagging' van de browser (client) naar een server. Dit heeft een aantal voordelen. Google beschrijft server-side GTM als volgt:"Server-side tagging allows you to move measurement tag instrumentation from your website or app to a server-side processing container on Google Cloud Platform (GCP), or any other platform of your choosing. Server-side tagging offers a few advantages over client-side tags:
(GTM) als zo'n proxyserver kan functioneren. Als ik let op de hoge lat van de CNIL, dan vermoed ik echter dat ‘GTM off-the-shelf’ niet de oplossing kan zijn. Standaard wordt GTM namelijk op Google Cloud Platform (GCP) gehost. Bij het gebruik van GCP bestaat daarom altijd nog de mogelijkheid voor Google (LLC) om de gegevens in leesbare tekst in te zien. Google beheert immers de servers en cryptografische sleutels. Het is daarom noodzakelijk om een andere hosting provider te gebruiken. Bij voorkeur zelfs een Europese en één zonder Amerikaans moederbedrijf (zie ook deze publicatie van het NCSC). Google stelt gelukkig een Docker image beschikbaar waarmee je de containerversie van GTM op een ‘eigen’ server kan hosten. Wil je een andere optie in plaats van een eigen GTM server? Die zijn er uiteraard ook. Je zou ook met het Google Analytics Measurement Protocol aan de slag kunnen gaan. Ook zijn er meer kant en klare oplossingen beschikbaar, zoals bijvoorbeeld TraceDock. Genoeg mogelijkheden in ieder geval.Dan heb je in feite stap één voltooid: een eigen ‘proxyserver’ waarmee je überhaupt gegevens kan filteren voordat deze naar Google gaan. Om te voldoen aan de eisen van de CNIL moet je het volgende resultaat bereiken:"(1) the absence of transfer of the IP address to the servers of the analytics tool. If a location is transmitted to the servers of the measurement tool, it must be carried out by the proxy server and the level of precision must ensure that this information does not allow the person to be re-identified (for example, by using a geographical mesh ensuring a minimum number of Internet users per cell);(2) the replacement of the user identifier by the proxy server. To ensure effective pseudonymisation, the algorithm performing the replacement should ensure a sufficient level of collision (i.e. a sufficient probability that two different identifiers will give an identical result after a hash) and include a time-varying component (adding a value to the hashed data that evolves over time so that the hash result is not always the same for the same identifier) ;(3) the removal of external referrer information from the site;(4) the removal of any parameters contained in the collected URLs (e.g. UTMs, but also URL parameters allowing internal routing of the site);(5) reprocessing of information that can be used to generate a fingerprint, such as user-agents, to remove the rarest configurations that can lead to re-identification;(6) the absence of collection of cross-site or lasting identifiers (CRM ID, unique ID);(7) the deletion of any other data that could lead to re-identification."Onder deze voorwaarden mag je volgens de CNIL Google Analytics blijven gebruiken, maar dat betekent dat je een niet ‘off-the-shelf’ oplossing moet implementeren en je er minder nauwkeurige datapunten voor terugkrijgt.- Improved performance: Fewer measurement tags in your website or app means less code to run on the client side.
- Better security: Visitor data is better protected and more secure when collected and distributed in a customer-managed server-side environment. Data is sent to a cloud instance where it is then processed and routed by other tags."