KeenR-blog

Sinds 25 mei 2018 is de privacywet Algemene verordening gegevensbescherming (AVG) ingevoerd. Gebruik jij ook Google Analytics voor het monitoren en analyseren van je websitebezoekers? Dan verwerk je persoonsgegevens van deze bezoekers en zul je hiervoor dus toestemming aan de bezoeker moeten vragen. Inmiddels is wel gebleken dat de meeste bezoekers niet echt happig zijn om jouw cookies te accepteren, met als gevolg dat jij een groot deel van je websitebezoekers niet kunt meten. Dit wil je natuurlijk niet en daarom geven we je een stappenplan om Google Analytics volledig privacyvriendelijk in te stellen, zodat je zónder toestemming het bezoekersgedrag mag meten.

Stap 1: Bewerkersovereenkomst met Google afsluiten

Op grond van artikel 28 van de AVG moet je als verantwoordelijke een verwerkersovereenkomst afsluiten met Google. Hierin is vastgelegd dat Google alleen als verwerker optreedt bij de verwerking van de persoonsgegevens van jouw websitebezoekers. Je kunt deze overeenkomst aangaan onder Accountinstellingen in Google Analytics.

Klik op Aanpassing bekijken en sla de nieuwe voorwaarden op. Indien je al een verwerkersovereenkomst vóór december 2016 hebt geaccepteerd, krijg je een verzoek om de gewijzigde overeenkomst te accepteren.

Stap 2: Gegevens delen met Google uitzetten

In de standaardinstellingen van Google Analytics is aangevinkt dat je gegevens deelt met Google voor de volgende 5 doelen:

  • producten en services van Google;
  • benchmarking;
  • technische ondersteuning;
  • accountspecialisten;
  • Google-verkopers/salesexperts.

Zorg ervoor dat alle opties uit onderstaande afbeelding zijn uitgevinkt (ook onder Accountinstellingen):

Als je deze opties niet hebt uitgevinkt, geef je Google toestemming om de persoonsgegevens van jouw websitebezoekers voor eigen doeleinden te gebruiken. Hierdoor treedt Google niet alleen meer op als de bewerker, maar ook als verantwoordelijke. In dit geval zul je dus toestemming moeten vragen aan je bezoekers.

Stap 3: Gegevens delen met Google voor advertentiedoeleinden uitzetten

Als je stap 2 hebt voltooid, kan Google nog steeds gegevens van je websitebezoekers gebruiken. Namelijk voor advertentiedoeleinden. Deze optie moet je ook uitschakelen en dat doe je onder Property-instellingen. Ga vervolgens naar Trackinginfo > Gegevensverzameling: hier vind je twee opties (Remarketing en Rapportagefuncties voor advertenties) die je uit moet schakelen:

Stap 4: Schakel de User ID-functie uit

Google biedt de mogelijkheid om surfgedrag van verschillende apparaten en meerdere sessies te koppelen. Dit mag alleen met toestemming van de bezoeker. Controleer daarom of deze instelling niet staat ingeschakeld:

Stap 5: IP-adressen anonimiseren

IPv4-IP-adressen bestaan uit 4 zogeheten octetten van elk 3 cijfers. Google biedt de mogelijkheid om het laatste octet van het IP-adres van je websitebezoekers te verwijderen. Dit gebeurt in tijdelijk geheugen, nog voordat het IP-adres door Google wordt opgeslagen. Google noemt dit ‘anonimiseren’. De Autoriteit Persoonsgegevens (AP) vindt dat het resterende deel van het IPv4-adres nog steeds een persoonsgegeven is en dat het verwijderen van het laatste octet wél een belangrijke maatregel is om de risico’s voor je websitebezoekers te verkleinen.

Dit kun je doen door een kleine aanpassing te maken aan je trackingcode: voeg de geelgemarkeerde configuratie-optie toe aan jouw trackingcode in de website zoals in onderstaand voorbeeld:

Een alternatieve en makkelijkere manier is om dit te implementeren met Google Tag Manager. Indien je Analytics al hebt geïmplementeerd via Tag Manager, voeg je simpel een veldnaam toe aan de Analytics-tag. Open je Analytics-tag, klik op Meer instellingen en dan onder ‘Velden die moeten worden ingesteld’ selecteer je anonymizeIp en geef deze als waarde ‘true’. Publiceer je container en je bent klaar!

Tot slot: informeer je bezoekers

Je mag op basis van bovenstaande stappen de persoonsgegevens van je websitebezoekers verwerken zonder hun toestemming. Belangrijk is dat je de bezoekers hierover wél informeert, bijvoorbeeld in je privacybeleid. Vermeld hierin duidelijk dat je:

  • Google Analytics-cookies gebruikt;
  • Een bewerkersovereenkomst met Google hebt gesloten;
  • Het laatste octet van het IP-adres hebt gemaskeerd;
  • Gegevens delen met Google hebt uitgezet;
  • Geen gebruik maakt van andere Google-diensten in combinatie met de Google Analytics-cookies.

Meer informatie over het gebruik van cookies vind je op de website van Autoriteit Persoonsgegevens.