Maak Google Analytics in 5 stappen AVG-proof
De AVG lijkt een monster dat op de loer ligt om na 25 mei dit jaar keihard toe te slaan. En ook daarvoor al, als je kijkt naar welke stappen je allemaal moet zetten om te voldoen aan de nieuwe Europese regelgeving.
Tenminste zo voelt het soms. Zeker als je ‘van ver moet komen’ als het gaat om dataprivacy. Het heeft dan misschien wat voeten in de aarde, maar uiteindelijk ben je er als bedrijf ook zelf bij gebaat om zorgvuldig met de gegevens en privacy van je klanten om te gaan. Want je bouwt ermee aan vertrouwen en een veiliger internet. Een vraag die we regelmatig krijgen is hoe je om moet gaan met Google Analytics ten opzichte van de AVG. En dan vooral de vraag hoe het zo is in te richten dat er geen cookiewall nodig is. In dit blog beschrijven we hoe je Google Analytics in 5 stappen AVG Proof maakt en je Analytics kunt gebruiken zonder dat er expliciete toestemming nodig is.
1. Sluit een verwerkersovereenkomst met Google
Als je Google Analytics gebruikt, is Google de gegevens-‘verwerker’. Vanuit die rol heeft Google de verplichting om zich te conformeren aan de AVG. Jij bent ‘verwerkingsverantwoordelijk’. Dat betekent dat je een verwerkersovereenkomst moet afsluiten met Google. Die heeft Google alvast voor je klaargezet – en in de afgelopen tijd ben je daar ook actief over geïnformeerd. Je kunt de overeenkomst inzien en accepteren onder ‘Beheer’ –> ‘Accountinstellingen’.
2. Laat Google geen gegevens gebruiken
Je kunt Google al of niet de mogelijkheid geven om gegevens te gebruiken die verzameld worden op via jouw website. Google gebruikt die gegevens dan voor zichzelf. Bijvoorbeeld om hun producten of diensten te verbeteren. Wanneer je Google toestemming geeft om die gegevens te gebruiken, zul jij je gebruiker op jouw beurt weer toestemming moeten vragen voor het verwerken van die gegevens. Dat doe je dan namens Google. Om dit te voorkomen en Google Analytics te kunnen gebruiken zonder toestemming te hoeven vragen, stop je met delen van gegevens met Google. Dat doe je simpel door onder ‘Accountinstellingen’ de vinkjes, voor het delen van gegevens met Google, uit te vinken.
Nu is er nog een listigheidje. Google kan gegevens van je bezoekers nog steeds gebruiken en je dus niet compliant bent zonder toestemming. Je vindt die opties onder ‘Property-instellingen’ -> ‘Trackinginfo’. Zorg er daar voor dat je de twee getoonde opties uitvinkt. Sla vervolgens op.
3. User ID’s
Als je dan toch bij ‘Property-instellingen’ bent, check dan even of er ook Gebruiker-ID’s worden doorgegeven. Dat doe je onder ‘Gebruiker-ID’. Aan de hand van deze ID wordt gedrag via verschillende apparaten en sessies gekoppeld, zodat je kunt zien hoe gebruikers gedurende een langere periode met content omgaan. Meet je dit, betekent dat je een analytics cookie consent nodig hebt. Zet dit dus uit als je ‘gewoon’ wilt blijven meten.
4. IP-anonimisatie inschakelen
Een ip-adres wordt onder de AVG gezien als herleidbare data en is daarmee privacygevoelig. Om Analytics te gebruiken zonder cookiewall, zullen we het doorgeven van IP-adressen moeten uitschakelen. Het IP-adres wordt in principe niet weergegeven in rapporten, maar wordt wel gebruikt door Google om geolocatiegegevens door te geven.
Het is dus een goed idee om ip-anonimisatie in te schakelen in Google Analytics. Daarvoor zul je ook de trackingcode moeten aanpassen wanneer je geen Google Tag Manager gebruikt. Gebruik je deze tool wel, dan is het wat simpeler. Je kunt dan de Google Analytics Variabele aanpassen onder ‘Meer instellingen’. Je voegt een veld toe met de naam 'anonymizeIp' en de waarde 'true'. Wat er dan gebeurt is dat Google het ip-adres anonimiseert door het laatste ‘octet’ (de laatste drie cijfers) van het ip-adres te veranderen in een ‘0’. Deze aanpassing heeft tot gevolg dat de nauwkeurigheid van geografische data achteruitgaat.
5. Update het privacystatement
Zo mag je Analytics dus zonder voorafgaande toestemming gebruiken. Is daarmee de kous af? Nee, zeker niet. Want het is wél belangrijk dat je gebruikers informeert. Dat doe jij bijvoorbeeld in een privacystatement. Hou daarbij de gebruiker in gedachten en zorg ervoor dat de kennisgeving duidelijk, begrijpelijk en beknopt is. Geef in het statement antwoord op vragen als: welke informatie wordt verzameld? Wie verzameld, hoe en waarom? Hoe wordt het gebruikt en met wie wordt de informatie gedeeld?