Dossier · AP en Google
De Autoriteit Persoonsgegevens, de Nederlandse privacywaakhond, kreeg in 2020 de vraag op haar bord of Google Analytics nog wel mocht. Bijna elke website gebruikt het. Een Woo-verzoek dwong 1096 pagina’s interne stukken naar buiten. Ik heb ze gelezen. Hieronder leg ik uit wat erin staat, in gewone taal, en waarom het u aangaat.
![Vrijgegeven interne e-mail van het EDPB-secretariaat, 27 oktober 2020, aan de Europese privacytoezichthouders, onderwerp '[TF101] Internal working document and Investigation questions'. Vrijwel alle namen en adressen zijn weggelakt onder vrijstellingsgrond 5.1.2.e.](/images/blog/ap-woo-edpb-taskforce-email.webp)
Even het decor, want zonder dat zegt de rest weinig.
Google Analytics is het meetprogramma dat op een groot deel van alle websites draait. Het registreert wie er langskomt en wat die doet, en stuurt dat naar Google in de Verenigde Staten. In 2020 oordeelde het Europese Hof van Justitie (de zaak die bekendstaat als Schrems II) dat persoonsgegevens doorsturen naar de VS riskant is, omdat Amerikaanse inlichtingendiensten erbij kunnen. Kort daarna diende de privacyorganisatie van Max Schrems 101 klachten in, verspreid over heel Europa, tegen websites die Google Analytics gebruiken. Ook bij de Nederlandse Autoriteit Persoonsgegevens.
De vraag was simpel te stellen en moeilijk te beantwoorden: mag Google Analytics in Nederland nog gebruikt worden, ja of nee?
Wat daarna gebeurde, staat nu zwart op wit. Iemand vroeg via de Wet open overheid (de opvolger van de Wob) om de interne stukken, en de Autoriteit Persoonsgegevens moest leveren: drie PDF-bestanden, samen 1096 pagina’s, 337 losse documenten. E-mails, memo’s, telefoonnotities, vergaderverslagen. Ik heb ze van voor naar achter doorgenomen. Dit is wat eruit komt.
Het kortste antwoord: ze wisten het zelf niet
De rode draad door al die pagina’s is ongemakkelijk. De toezichthouder die moest bepalen of Google Analytics mocht, wist het zelf jarenlang niet.
Het scherpst staat het in een interne nieuwsbrief aan alle medewerkers, augustus 2023, ondertekend door de drie bestuurders Aleid Wolfsen, Monique Verdier en Katja Mur:
“Verder hoopten we op een antwoord op de vraag of Google Analytics nu mag of niet. Maar helaas is dat nog steeds niet echt duidelijk.”
Lees dat nog eens. Drie jaar na de klachten schrijft het eigen bestuur aan de eigen organisatie dat de hoofdvraag onbeantwoord is. En het bleef bij die ene zin overeind: het Nederlandse traject is nooit uitgemond in een helder besluit dat zegt “zo zit het”.
De zin die alles samenvat
Een maand eerder, in juli 2023, schreef een medewerker intern iets wat de hele aarzeling vangt. Het ging over de vraag of Google na een nieuw EU-VS-verdrag (het Data Privacy Framework) weer veilig zat. De medewerker twijfelde of Google daar zelf wel onder viel, en concludeerde:
“Zolang dit niet duidelijk is, moeten wij niet naar buiten brengen dat het wél ok is.”
Dit is het eerlijke hart van het dossier.
De waakhond zei niets, omdat de waakhond het zelf niet zeker wist.
Te verdedigen vanuit voorzichtigheid. Ongemakkelijk voor de miljoenen mensen en de duizenden websites die al die tijd in onzekerheid zaten over wat nu wel en niet mocht.
De lakfout die een naam liet staan
Nu het stuk dat laat zien hoe zo’n vrijgavedossier in elkaar zit, en waar het rammelt.
Voordat de overheid documenten vrijgeeft, lakt ze stukken zwart: namen van gewone ambtenaren, gevoelige passages. Dat hoort zo. Maar het werk is mensenwerk, en dat zie je hier letterlijk.
Eén interne e-mail staat twee keer in het pakket. Op de ene plek is de naam van de afzender netjes weggelakt en vervangen door een wetsartikel-code. Op de andere plek, exact dezelfde zin, bleef de naam gewoon staan: “Tom”.
Geredigeerde versie: “De disclaimer 5.1.2.e (…) lijkt mij nogal belangrijk.”
Niet-geredigeerde versie: “De disclaimer van Tom (…) lijkt mij nogal belangrijk.”
Dezelfde passage, twee keer door de lakmolen, twee verschillende uitkomsten. Het is een klein detail, en tegelijk veelzeggend: het toont dat de zwartlakkerij met de hand en inconsistent gebeurde. Wie wil weten hoe betrouwbaar zo’n vrijgave is, heeft hier het bewijsstuk. Ik laat in het midden wie “Tom” is, want dat doet er niet toe. Dát de lak lekte, is het punt.
De advocaat van Google klopt aan
In het dossier zit ook de post van de andere kant. Brinkhof Advocaten, het kantoor dat Google bijstaat, schreef de toezichthouder op 21 januari 2022 een stevige brief. De kern van het verzoek:
“alle huidige waarschuwingen met de strekking dat Google Analytics mogelijk binnenkort niet is toegestaan te verwijderen.”
Met andere woorden: haal die waarschuwing van uw site af. En uit een interne telefoonnotitie blijkt dat er nog een drukmiddel meespeelde. Google vond een eerdere publicatie van de toezichthouder onrechtmatig, en:
“de AP zou schadeplichtig zijn.”
Dat is de gereguleerde partij die de toezichthouder laat weten dat publiceren geld kan kosten. Belangrijk om er meteen bij te zeggen: de toezichthouder weigerde dat verwijderingsverzoek, een week later. Van toegeven was geen sprake. Maar de druk staat in de stukken, en die druk is echt.
Het idee dat de wenkbrauwen doet fronsen
In diezelfde notitiesfeer staat een zin van een medewerker die je twee keer leest:
“Ik kan mij voorstellen dat een publicatie eerst 24 uur van tevoren naar Google gaat.”
Een toezichthouder die overweegt om een eigen publicatie eerst aan het bedrijf voor te leggen waar het over gaat. Ik zeg er eerlijk bij: dit is één losse gedachte van één persoon, en ik kon in de stukken niet vaststellen dat het ook echt gebeurd is. Het blijft een voorstel op papier. Maar het raakt aan iets wezenlijks, namelijk de vraag hoe onafhankelijk een waakhond opereert van de partij die hij in de gaten houdt.
En er was een keuze om het stil te houden. Op een Europees overleg in december 2021 lag er een persbericht klaar over de Google-kwestie. Dat ging uiteindelijk niet door:
“Met dit in het achterhoofd heeft de Plenaire besloten om toch geen media-aandacht aan dit onderwerp te besteden.”
De redenen daarvoor zijn in het vrijgegeven stuk zwartgelakt. Eerlijkheidshalve: dit speelde op Europees niveau, en volgens de mail kwam de aandrang om het stil te houden niet van de Nederlandse toezichthouder zelf. Maar Nederland bewoog wel mee in dat besluit om de pers niet op te zoeken.
De spionageslides vooraan, en het buitenland als kompas
Twee dingen vallen op aan hoe het dossier is opgebouwd.
Het allereerste inhoudelijke document is een verrassing: de geheime PRISM-slides uit de onthullingen van klokkenluider Edward Snowden, compleet met de stempel “TOP SECRET”. Een Nederlandse memo had je vooraan verwacht; in plaats daarvan opent het dossier met materiaal van een Amerikaanse inlichtingendienst. Dat zijn de presentaties die lieten zien hoe de Amerikaanse inlichtingendienst toegang had tot data bij Google, Microsoft, Yahoo en Facebook. Ze staan er als feitelijke onderbouwing voor de zorg waar alles om draait: gegevens die naar de VS gaan, kunnen daar worden ingezien.
Het tweede: honderden pagina’s van het dossier zijn Nederlandse vertalingen van besluiten van buitenlandse toezichthouders. Oostenrijk, Italië, Spanje, Zweden. Die landen hádden namelijk wél een inhoudelijk besluit genomen. De Nederlandse toezichthouder leunde zichtbaar op wat de buren al hadden uitgezocht, terwijl een eigen Nederlands oordeel uitbleef.
En de uitkomst?
Na vier jaar kwam er één concrete actie. In augustus 2024 kreeg Takeaway, het bedrijf achter Thuisbezorgd.nl, een “berisping”. Dat is de lichtste tik op de vingers die er bestaat: geen boete, en de toezichthouder maakte het zelf niet eens bekend.
Zet het naast de buurlanden, en het contrast is scherp. Oostenrijk, Frankrijk, Italië, Spanje, Zweden en Noorwegen kwamen tot echte, inhoudelijke besluiten over Google Analytics. Nederland eindigde met de lichtste uitkomst van het stel: een ongepubliceerde berisping voor één bedrijf.
Wat dit u zegt, en wat het niet zegt
Waarom zou u dit moeten weten? Omdat de Autoriteit Persoonsgegevens de enige instantie is die namens u kan optreden als uw gegevens verkeerd worden gebruikt. Als die instantie jaren nodig heeft en dan blijft steken op “nog steeds niet echt duidelijk”, dan zegt dat iets over hoe goed u beschermd bent op het moment dat het ingewikkeld wordt en er een groot bedrijf tegenover staat.
Ik wil ook eerlijk zijn over wat hier níét staat. Er is geen bewijs van een complot tussen de toezichthouder en Google. De advocaat deed een verzoek, en dat werd geweigerd. Dat de uiteindelijke Nederlandse lijn dicht bij Google’s wens uitkwam is zichtbaar in de stukken, maar dat is iets anders dan een afspraak onder de tafel, en dat laatste blijkt nergens. Geen enkele individuele medewerker deed aantoonbaar iets onrechtmatigs; wat je ziet is een traject zonder duidelijke eigenaar, waarin niemand de knoop doorhakte. En dit dossier gaat over hóé de toezichthouder de zaak behandelde, niet over de vraag of Google Analytics nu wel of niet door de beugel kan. Dat oordeel hebben andere landen geveld, niet Nederland.
Wat overblijft is een eenvoudig, ongemakkelijk beeld. De vraag was helder. Het antwoord kwam nooit. En de stukken die dat aantonen, moesten via een omweg worden afgedwongen voordat u ze kon lezen.
Mick Beer doet onafhankelijk privacyonderzoek op mickbeer.com. Volledig self-hosted: geen trackers, geen cookies, geen advertenties. Dit artikel is gebaseerd op de openbaar gemaakte stukken van de Autoriteit Persoonsgegevens zelf. Onderzoek kost tijd. Als dit werk u iets oplevert, kunt u een koffie geven.
Bron
Autoriteit Persoonsgegevens, Woo-besluit “Informatie Google Analytics”, gepubliceerd 22 juli 2025. Drie PDF-bestanden, samen 1096 pagina’s, 337 dossierstukken. De geciteerde passages komen uit deze openbaar gemaakte stukken. Een publieke kopie van de drie bestanden is read-only beschikbaar via: drive.proton.me
Alle citaten zijn letterlijk overgenomen uit het dossier, met vermelding van het bron-document. De uitkomst (berisping Takeaway, augustus 2024) is bevestigd via de publicatie van die zaak.