Update: Google heeft een nieuwe versie van hun EU User Policy online gezet, deze gaat op 25 mei in, zie hier https://www.google.com/about/company/consentstaging.html
Deze nieuwe policy van Google eist dat er altijd consent is voor Google Analytics door bezoekers uit de EU. Helaas is de oplossing van Autoriteit Persoonsgegevens hierdoor onmogelijk gemaakt. Onze stelling nu is, de instellingen binnen Google Analytics moeten aangepast worden (data retentie) maar voor de rest geen noemenswaardige aanpassingen. Vraag consent uit aan de bezoeker door middel van cookie melding zoals UserDataTrust.
We kunnen er niet meer omheen: de General Data Protection Regulation (GDPR), ook wel de Algemene Verordening Gegevensbescherming (AVG). Deze Europese wet wordt 25 mei ingevoerd en bevat nieuwe richtlijnen voor het verzamelen van data (online en offline). De GDPR is in het leven geroepen om de privacy van Europese burgers beter te beschermen. In de praktijk heeft de GDPR impact op vrijwel alle marketinguitingen waar gebruik gemaakt wordt van verwerking van persoonlijke data, tracking en profiling.
Data verzamelen en GDPR
Vaak wordt gedacht dat GDPR dataverzameling onmogelijk maakt, maar gelukkig is dat niet het geval. Wat er nieuw is in het kader van GDPR is het duidelijk vragen om toestemming (consent) om (persoonlijke) data te verzamelen van een websitebezoeker of -gebruiker. Om de verzamelde data vervolgens te gebruiken binnen marketinguitingen dient ook toestemming gevraagd te worden. Kortom, er moet veel meer aan gebruikers/bezoekers van websites en producten gevraagd worden en dat brengt uitdagingen met zich mee.
Geen Consent nodig voor Google Analytics
Vrijwel elke website gebruikt Google Analytics om bezoekers te monitoren. Inzichten zoals gedrag, bron van het verkeer en conversiepercentages zijn uit Google Analytics te halen. Op internet gaan veel verhalen rond dat er opt-in nodig is voor het gebruik van Google Analytics. Een recent verschenen PDF van de Autoriteit Persoonsgegevens stelt dat je geen opt-in hoeft te vragen voor het gebruik van Google Analytics. Het onderstaande geciteerde stuk bevestigt dit:
Op grond van artikel 11.7a van de Telecommunicatiewet bent u verplicht om toestemming te vragen aan uw websitebezoekers voorafgaand aan het plaatsen van alle soorten cookies, tenzij deze onder de drie uitzonderingen vallen. Er is géén toestemming vereist voor analytische cookies met geen of geringe gevolgen voor de privacy van uw websitebezoekers. U verwerkt met dit soort ‘onschuldige’ analytische cookies nog steeds persoonsgegevens, maar de verwerking is dan mogelijk met een beroep op de grondslag van de noodzaak ter behartiging van uw gerechtvaardigd belang (artikel 8, onder f, van de Wbp). Dit houdt in dat u ook op grond van de Wbp geen toestemming voor deze verwerking van persoonsgegevens hoeft te vragen.
Kortom, volgens de nieuwe wetgeving hoef je dus niet expliciet toestemming te vragen voor het gebruik van analytische cookies van Google Analytics vanwege de geringe gevolgen voor de privacy van je websitebezoeker en -gebruikers. Zolang je dit meeneemt in de afweging tussen wensen en privacy is er veel meer mogelijk zonder actieve opt-in dan eerder gedacht.
Hoef ik dan helemaal niks te doen aan Google Analytics i.c.m. GDPR?
Om een snel antwoord te geven op de bovestaande vraag: Nee. Hoewel je gebruik maakt van analytische cookies die persoonsgegevens verwerken, kun je met een aantal stappen helemaal voldoen aan de GDPR-wetgeving.
- Ten eerste dien je een bewerkingsovereenkomst af te sluiten met Google. Dit kun je binnen Google Analytics zelf doen.
- Ten tweede dien je het IP-adres van een bezoeker/gebruiker anoniem te maken.
- Als laatste mag je geen statistieken meer delen met Google, ook dit is te regelen binnen Google Analytics zelf.
De Autoriteit Persoonsgegevens, de privacy waakhond die de GDPR dient te handhaven, heeft een document gepubliceerd waarin stap voor stap wordt uitgelegd hoe je jouw Google Analytics klaar kunt maken voor de GDPR-eisen.
Bewust zijn van de GDPR
De GDPR is per 25 mei effectief. Hoewel verwacht wordt dat er niet direct gehandhaafd wordt, is het goed om bewust bezig te zijn met deze wettelijke eisen. Zeker als (online) marketeer is het van belang op de hoogte te zijn van de ontwikkelingen. Zo voorkom je onnodige risico’s en nadelige effecten.
Sparren of vragen over de GDPR en online tracking voor marketing? Laat een reactie achter of neem contact op met ons. We helpen je graag.
Ik denk dat Googel zich wil vrijwaren van eventuele toekomstige aangepaste cookiewetgeving die los van de VGA wordt uitgerold en daarom het zekere voor het onzekere neemt. De PDF over GA instellingen van de autoriteitpersoonsgegevens is ook niet meer live? https://www.autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/handleiding_privacyvriendelijk_instellen_google_analytics_mrt_2018.pdf
Hi Keesjan,
Ik denk het ook, de e-Privacy wetgeving zit er ook aan te komen (waarschijnlijk eind 2018). Deze zal naast de AVG actief worden. De link die jij in je reactie geeft is de link naar het PDF bestand 🙂
Ik denk dat de methode van de Autoriteit Persoonsgegevens nog wel kan. Ik interpreteer de eerste alinea op die consent pagina van Google als een algemeen inleidende waarin gezegd wordt dat er toestemmingen moeten worden verkregen. Wanneer dit specifiek gemaakt wordt in het tweede deel staat er bij het eerste punt over cookie gebruik “indien dat wettelijk is vereist”. Dit zou overbodig zijn wanneer er altijd toestemming zou moeten worden gevraagd. Door Google Analytics te gebruiken zoals de Autoriteit Persoonsgegevens aangeeft in hun PDF (werkt weer/nog) lijkt het me daarom dat het niet wettelijk vereist is en dus conform voorwaarden van Google. 🙂
De link die je geeft naar de PDF op de website van autoriteitpersoonsgegevens[punt]nl gaat m.i. heel duidelijk over de oude wet: Wbp. De link geeft m.i. geen jurisprudentie dat onder AVG/GDPR zonder consent analytische cookies geplaatst mogen worden… ik zou dat ook wel willen.
PS. ik zoek nu een oplossing om basis-Analytics te kunnen uitvoeren (zolang een gebruiker geen consent geeft) zonder cookies.
Bedankt voor je reactie!
Google Analytics zonder persoonlijke data kan wel maar wordt wel ingewikkeld.
Er mag dan geen Client ID meer worden gestuurd, of deze ID dient per pagina te worden verwijdert zodat de bezoeker niet te volgen is. Verder kan er in de referrer en pagina’s soms ook persoonlijke data zitten, deze deleten is wat lastiger.
Via het Measurement Protocol van Google Analytics kan dit alles, vergt wel wat werk, het gaat via de server en niet meer in de browser. Als data & Analytics experts kunnen we je hierbij assisteren!
Wat betreft Analytics expert, cookieloos kan uiteraard ook via de browser. Onder meer twee manieren:
– niet geschikt voor cross-domein tracking:
https://developers.google.com/analytics/devguides/collection/analyticsjs/cookies-user-id#using_localstorage_to_store_the_client_id
– met foutmarge van ongeveer 6%:
https://github.com/Foture/cookieless-google-analytics
Via de server kan ook, maar heeft natuurlijk impact op TTFB en daarmee serverload + laadtijd. Onze TTFB’s liggen ruim 1000 keer zo laag als bij WordPress, wat niet bereikt kan worden als er bij elke pagehit een API aangesproken moet worden. Niet altijd meest ideale oplossing dus.
@Ruud,
– d/t foutje @ “geciteerde stuk bevestigd dit”
– website is bij weigering van cookies niet privacy compliant.
Erwin, bedankt voor je reactie!