Op 25 mei 2018 wordt de AVG (Algemene Verordening Gegevensbescherming of GDPR (General Data Protection Regulation) van kracht. Deze nieuwe privacywet vervangt de huidige Wet bescherming persoonsgegevens (Wbp) en geldt in de hele Europese Unie.

In mijn vorige blog ben ik al ingegaan op wat de AVG in grote lijnen betekent en waar je als organisatie op moet letten. In deze blogpost ga ik in op wat de AVG specifiek betekent voor digital analytics en het gebruik van Google Analytics in het bijzonder.

AVG GDPR data analytics illustratie

De gevolgen van de AVG voor webanalytics

Een gevolg van de AVG is dat je niet zomaar persoonsgegevens mag verzamelen. Dat mag alleen op basis van een specifieke grondslag, zoals toestemming van de gebruiker. Daarnaast ben je verplicht zorgvuldig met de gegevens om te gaan en te registreren hoe je dit aanpakt. Verder hebben gebruikers meer rechten om controle over hun gegevens uit te oefenen, zoals het recht om te wijzigen of het recht om vergeten te worden.

Standaard verzamelt Google Analytics persoonsgegevens van je sitebezoekers, zoals IP-adressen en locatiegegevens. Bovendien worden standaard gegevens met Google gedeeld. Om aan de nieuwe wet te voldoen, zijn dus aanpassingen nodig aan de manier waarop je Google Analytics gebruikt.

Zo maak je Google Analytics AVG-proof

Je kunt Google Analytics zodanig instellen dat je het kunt gebruiken zonder dat je toestemming van gebruikers nodig hebt. Let er wel op dat je geen vorm van profilering toegepast. Als je namelijk gebruik maakt van profilering in de vorm van remarketing, het opbouwen van gebruikersprofielen of gepersonaliseerde content is toestemming wel vereist. Dit soort technieken wordt vooral voor adverteerdoeleinden toegepast. Als je Google Analytics gekoppeld hebt aan Google AdWords en gebruik maakt van remarketing, ben je dus verplicht hiervoor toestemming aan de gebruiker te vragen!

Google Analytics privacyvriendelijk instellen

Als eerste is het nodig om de stappen te doorlopen om Google Analytics privacyvriendelijk in te stellen. De Autoriteit Persoonsgegevens heeft hiervoor een handige handleiding gemaakt. Door deze stappen te doorlopen voldoet Google Analytics aan de Wbp. Hieronder volgen in het kort de daarin beschreven stappen:

  1. Sluit een bewerkersovereenkomst af met Google. Dit kun je in de beheeromgeving van Google Analytics terugvinden onder Accountinstellingen.
  2. Laat Google niet het volledige IP-adres verwerken (Anonymize IP). Door een extra stukje code toe te voegen in je trackingcode van Google Analytics wordt het laatste gedeelte van het IP-adres van websitebezoekers verwijderd.
  3. Zet het delen van gegevens met Google uit. Dit doe je door de vinkjes te verwijderen bij de Instellingen voor gegevens delen onder de Accountinstellingen.
  4. Schakel het delen van gegevens met Google voor advertentiedoeleinden uit. Vink de opties uit bij Gegevensverzameling onder Trackinginfo. Dit vind je bij de property-instellingen.
  5. Controleer of de functie voor user ID’s uitgeschakeld is. Hiermee kan surfgedrag van verschillende apparaten en meerdere sessies gekoppeld worden, wat niet is toegestaan zonder toestemming. Schakel dit uit bij de Property-instellingen, Tracking info en dan Gebruiker-ID (user ID).
  6. Informeer over het gebruik van Google Analytics en opt-out. Dit kun je doen via je privacyverklaring. Neem hierin op dat je bovenstaande stappen hebt uitgevoerd. Verder adviseert de AP dat je jouw bezoekers een opt-out mogelijkheid biedt voor Google Analytics.

 

Google Analytics beheeromgeving en privacy instellingen voor de AVG

Bovengenoemde privacy instellingen voor de AVG vind je hier in de Google Analytics beheeromgeving.

Houd er wel rekening mee dat door het anonimiseren van IP-adressen locatiedata minder nauwkeurig is en je ook geen IP-adressen meer kunt filteren om intern verkeer uit te sluiten.

Nieuwe instellingen in Google Analytics voor de AVG

Google heeft recent een aantal nieuwe instellingen geïntroduceerd in Google Analytics voor de AVG. Mogelijk heb je hierover een mail ontvangen van Google als je beheerder bent van een Google Analytics account. Hieronder zet ik uiteen om welke instellingen het gaat, wat ze betekenen en hoe je ze aanpast.

Gegevensbehoud in Google Analytics

Met de instelling gegevensbehoud kun je de tijdsduur instellen voordat de gegevens op gebruikersniveau en gebeurtenisniveau die zijn opgeslagen door Google Analytics worden verwijderd van de servers van Analytics. Dit is van toepassing op gegevens die zijn gekoppeld aan cookies, gebruikers-ID’s en advertentie-ID’s.

Je kunt instellen hoe lang Analytics gegevens bewaart voordat deze automatisch worden verwijderd. Hiervoor kun je kiezen uit periodes van:

  • 14 maanden
  • 26 maanden
  • 38 maanden
  • 50 maanden
  • Niet automatisch verwijderen

Je vindt deze instelling bij de property-instellingen. Vervolgens ga je naar Trackinginfo en kies je voor Gegevensbehoud. Houd er wel rekening mee dat deze instellingen pas van kracht worden op 25 mei 2018 (dus als de AVG van kracht wordt).

Verwijderen van gebruikersdata in Google Analytics

Een andere wijziging die Google gaat doorvoeren is de mogelijkheid om data van een specifieke gebruiker te verwijderen. Deze functie wordt voor 25 mei a.s. beschikbaar gesteld. Deze geautomatiseerde tool zal data op basis van de Analytics-client-ID (standaard Google Analytics first party-cookie), gebruiker-ID (indien ingeschakeld) of app-instance-ID (bij gebruik van Google Analytics voor Firebase).

Wat er in je privacyverklaring moet staan

De privacyverklaring (ook wel privacy statement genoemd) moet eenvoudig te vinden zijn voor je bezoekers. Er zijn een aantal standaard onderdelen die hierin moeten staan:

  • Identiteit (bedrijfsnaam, adres en contactgegevens)
  • Doeleinden (waarvoor persoonlijke gegevens verwerkt worden)
  • Gebruik van cookies (welke je gebruikt en met welk doel. Hierbij vermeld je ook welke aanpassingen je bijv. hebt gedaan aan de instellingen van Google Analytics zoals hierboven beschreven).
  • Nieuwsbrieven (mogelijkheid voor gebruiker voor inzage van gegevens, correctie of verwijdering ervan)
  • Beveiliging (toelichting van genomen technische en organisatorische maatregelen om persoonsgegevens te beveiligen).

De privacyverklaring is dus bedoeld om transparant te zijn over welke persoonsgegevens je verwerkt, hoe je ermee omgaat en met welke doeleinden je dat doet. Tevens moet het gebruikers informeren over hoe ze hun rechten kunnen uitoefenen.

Het gebruik van andere cookies onder de AVG

Als je de stappen hebt uitgevoerd voor het privacyvriendelijk maken van Google Analytics en dit toelicht in je privacyverklaring, hoef je geen toestemming hiervoor te vragen. Dat geldt ook voor functionele cookies die noodzakelijk zijn voor de werking van je website. Als je echter cookies inzet voor andere doeleinden, zoals (conversie)optimalisatie, profilering van gebruikers en remarketing, is toestemming wel nodig. Je mag immers niet zomaar persoonsgegevens gebruiken zonder toestemming van de gebruiker of andere geldige grondslag. Bovendien ben je verplicht om een afweging te maken tussen de impact op de privacy voor de gebruiker en het door jou beoogde doel. Daarom is dataminimalisatie een belangrijk principe onder de AVG. Het valt onder het principe Privacy by design. Dit betekent dat je als organisatie al tijdens de ontwikkeling van producten en diensten ten eerste aandacht besteedt aan privacyverhogende maatregelen.

Kortom, de privacy van gebruikers moet dienen als leidraad bij het gebruik van (online) tools. In de meeste gevallen gaat het gebruik van online tools samen met het verwerken van persoonsgegevens, waarvoor toestemming nodig is. Gebruik online tools die gebruik maken van trackers dus alleen met toestemming van de gebruiker. Dat betekent dat deze trackers niet mogen worden geladen als de gebruiker (nog) geen toestemming heeft gegeven! Stel de tools die je gebruikt zo privacyvriendelijk als mogelijk in om je doel te bereiken in het kader van dataminimalisatie.

Technische aanpassingen voor het gebruik van trackers onder de AVG

Controleer welke trackers en cookies je op je website gebruikt. Browserextensies als Ghostery geven hier inzicht in. Simpele toevoegingen als social media buttons gebruiken vaak tracking pixels. Dit soort trackers zie je snel over het hoofd, maar in die gevallen is dus toestemming nodig. Zo lang je die niet hebt, mogen die cookies niet worden geladen. Als je wilt voldoen aan de AVG zal je dus een technische oplossing moeten implementeren waarbij die cookies worden geladen nadat toestemming is gegeven. Voor WordPress zijn diverse plugins te vinden, maar deze zijn lang niet allemaal volledig en goed genoeg om compliant te zijn. Een veelbelovende plugin is GDPR. Een voorbeeld van een oplossing die specifiek gericht is op het geven van toestemming voor cookies is Cookie Consent van Insites.

Zorg ervoor dat je weet wat de AVG betekent, welke data je verzamelt via je site en bepaal met de interne verantwoordelijken welke acties moeten worden ondernomen.

Over de schrijver