013 369 9 367 info@kwalitiv.nl

Het is je vast niet ontgaan dat op 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) in werking is getreden. Heb je het niet gehoord of gelezen, dan zul je wel diverse verwerkersovereenkomsten hebben ontvangen of sindsdien een stuk meer cookiebanners voorbij hebben zien komen. De verordening heeft in de praktijk dan ook consequenties voor vrijwel iedere organisatie. Al is het maar omdat een organisatie een website heeft. Op een site worden in de meeste gevallen namelijk persoonsgegevens verwerkt. Denk daarbij niet alleen aan contactformulieren waar bezoekers onder andere hun naam en e-mailadres invullen, maar ook aan het meten van bezoekers met Google Analytics. Dat tweede lijkt vrij anoniem, maar standaard voldoet een Google Analytics implementatie niet aan de AVG. Waarom dan niet? En hoe zorgen we er eenvoudig voor dat de privacy van je bezoekers bij het gebruik van Google Analytics wel gewaarborgd wordt?

Je Google Analytics implementatie voldoet niet aan de AVG

Hoewel je het misschien niet beseft, verwerk je met de analytische cookies van Google Analytics persoonsgegevens. Dat is op zichzelf in principe geen probleem. Het ‘probleem’ ontstaat pas bij het feit dat je daar toestemming voor moet vragen. Waarschijnlijk doe je dat momenteel nog niet of deel je het gebruik van Google Analytics simpelweg mede. Vraag je wél om toestemming, dan zul je intussen al gemerkt hebben dat maar weinig bezoekers zich geroepen voelen om die daadwerkelijk te verlenen. En dat terwijl je met Google Analytics toch echt álle bezoekers wilt meten, niet enkel diegenen die toestemming geven. Gelukkig is er een oplossing…

De oplossing: Google Analytics privacyvriendelijk instellen

Het is mogelijk om de gegevens van je bezoekers te ‘anonimiseren’. Tevens kun je voorkomen dat hun gegevens gedeeld worden. Als je dat op de juiste manier doet, dan wordt – ondanks het gebruik van Google Analytics – de privacy van je bezoekers gewoon gewaarborgd. Het is echter wel de bedoeling dat je hen hierover informeert, bijvoorbeeld in je privacyverklaring. Geef daarbij aan dat je:

  1. cookies van Google Analytics gebruikt;
  2. een verwerkersovereenkomst met Google hebt gesloten;
  3. het laatste octet van IP-adressen maskeert;
  4. ‘gegevens delen’ hebt uitgezet;
  5. geen andere diensten van Google gebruikt in combinatie met cookies van Google Analytics.

Hoe je puntje 2 t/m 5 daadwerkelijk inregelt, laat ik zien in het stappenplan dat nu volgt.

Stappenplan Google Analytics AVG-compliant implementeren

1. Verwerkersovereenkomst sluiten met Google

Bij het gebruik van Google Analytics ben jij volgens de AVG de ‘verwerkingsverantwoordelijke’ en dien je een verwerkersovereenkomst te sluiten met de ‘verwerker’, Google. Gelukkig is dat erg eenvoudig te regelen:

  1. Klik binnen de juiste dataweergave links onderaan op ‘BEHEERDER’
  2. Klik in de eerste kolom bovenaan op ‘Accountinstellingen’
  3. Scroll naar beneden tot het kopje ‘Aanpassing van de gegevensverwerking’
  4. Klik op ‘Aanpassing bekijken’ óf ‘Geüpdatet amendement’ gevolgd door ‘Akkoord’

Verwerkersovereenkomst sluiten met Google

Stap 1 – Verwerkersovereenkomst sluiten met Google

 

2. Geen gegevens delen met Google

Standaard worden er de nodige gegevens gedeeld met Google. Wijzig je deze standaardinstellingen niet, dan treedt Google niet meer alleen op als verwerker, maar ook als verwerkingsverantwoordelijke. En dan is er toestemming nodig van je bezoekers. Om dat te voorkomen, vink je in dezelfde ‘Accountinstellingen’ tab alle opties uit en klik je op ‘Opslaan’.

Geen gegevens delen met Google

Stap 2 – Geen gegevens delen met Google

 

3. Geen gegevens delen voor advertentiedoeleinden

Zelfs nu de betreffende opties zijn uitgevinkt, kan Google nog steeds gegevens van je bezoekers gebruiken. Niet voor de hierboven genoemde doeleinden, maar voor advertentiedoeleinden. Ook dat is te voorkomen:

  1. Klik wederom links onderaan op ‘BEHEERDER’
  2. Klik in de tweede kolom op ‘Trackinginfo’ gevolgd door ‘Gegevensverzameling’
  3. Zet beide opties uit en klik op ‘Opslaan’

Geen gegevens delen voor advertentiedoeleinden

Stap 3 – Geen gegevens delen voor advertentiedoeleinden

 

4. Niet de functie voor User ID’s inschakelen

Het is mogelijk om het surfgedrag van je bezoekers over verschillende sessies en apparaten te koppelen. Ook daar moeten zij echter toestemming voor geven. Dit kun je gemakkelijk voorkomen:

  1. Klik twee regels onder ‘Gegevensverzameling’ op ‘Gebruiker-ID’
  2. Zorg ervoor dat deze optie uit staat

Niet de functie voor User ID’s inschakelen

Stap 4 – Controleren of de functie voor User ID’s is uitgeschakeld

 

5. IP-adressen laten anonimiseren door Google

Je hebt inmiddels de nodige privacy-maatregelen getroffen binnen Google Analytics. Daarmee zijn we er helaas nog niet. Hiervoor moet eerst op je site zelf een klein stukje code worden toegevoegd aan het ‘trackingcodefragment’. Standaard geeft dat codefragment namelijk het volledige IP-adres van je bezoekers door aan Google Analytics. Volgens de AVG is dit echter een persoonsgegeven, dus willen we voorkomen dat de complete IP-adressen zomaar met Google worden gedeeld. Gelukkig is het mogelijk om het vierde (en laatste) ‘octet’ van een IP-adres te verwijderen, nog vóórdat het wordt doorgegeven. Hoewel het resterende ‘geanonimiseerde’ deel in principe nog steeds een persoonsgegeven is, verkleint deze maatregel de risico’s dusdanig dat je geen toestemming nodig hebt van je bezoekers. Om hun IP-adres inderdaad te anonimiseren, hoef je enkel als volgt het vetgedrukte deel toe te voegen aan je trackingcodefragment:

<!– Global Site Tag (gtag.js) – Google Analytics –>
<script async src=”https://www.googletagmanager.com/gtag/js?id=JE_TRACKING_ID”></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‘js’, new Date());
gtag(‘config’, ‘JE_TRACKING_ID’ , { ‘anonymize_ip’: true });
</script>

Hulp nodig bij instellen Google Analytics?

Moeite met het AVG-compliant implementeren van Google Analytics?