AVG Google Analytics GDPR compliant maken

Google Analytics AVG / GDPR compliant maken? Vanaf 25 mei 2018 zal de vanaf 2016 geldende wet ‘Algemene Verordening Gegevensbescherming’ (GDPR) gehandhaafd worden in de EU. Ondernemers zullen opnieuw moeten overwegen hoe ze gegevens opslaan, verzenden en beheren. Dit heeft onder andere invloed op je website. Ook Google Analytics heeft betrekking op deze wetgeving. In dit artikel lees je hoe je Google Analytics AVG / GDPR compliant kan maken! In dit artikel vind je een compleet stappenplan om jouw Google Analytics AVG / GDPR compliant te maken.

Inhoudsopgave

1. AVG Google Analytics
2. Stappenplan Google Analytics AVG compliant maken
   1. Bewerkersovereenkomst Google Analytics
   2. Google Analytics Anonimiseren
   3. Gegevens delen met Google Analytics uitzetten
   4. Gegevens delen met Google Analytics voor advertentiedoeleinden uitzetten
   5. Niet de functie voor User ID’s inschakelen
   6. Informeren over gebruik Analytics en opt-out

AVG Google Analytics

Maar hoe zorg je dat je Google Analytics AVG compliant kan maken. In het kader van de AVG wetgeving is het vereist om duidelijk te vragen om toestemming (consent) om (persoonlijke) data te verzamelen van een websitebezoeker of -gebruiker. Vrijwel iedere website eigenaar gebruikt Google Analytics om bezoekers en hun gedrag te monitoren.

Dit zou betekenen dat je toestemming aan een websitebezoeker moet vragen voordat je hun gedrag mag monitoren met Google Analytics. Maar… uit een recent gepubliceerd document van de Autoriteit Persoonsgegevens omtrent privacyvriendelijk instellen van Google Analytics, blijkt dat je geen toestemming moet vragen voor het gebruik van Google Analytics. Onderstaand een citaat uit het document van de Autoriteit Persoonsgegevens.

Op grond van artikel 11.7a van de Telecommunicatiewet bent u verplicht om toestemming te vragen aan uw websitebezoekers voorafgaand aan het plaatsen van alle soorten cookies, tenzij deze onder de drie uitzonderingen vallen. Er is géén toestemming vereist voor analytische cookies met geen of geringe gevolgen voor de privacy van uw websitebezoekers. U verwerkt met dit soort ‘onschuldige’ analytische cookies nog steeds persoonsgegevens, maar de verwerking is dan mogelijk met een beroep op de grondslag van de noodzaak ter behartiging van uw gerechtvaardigd belang (artikel 8, onder f, van de Wbp). Dit houdt in dat u ook op grond van de Wbp geen toestemming voor deze verwerking van persoonsgegevens hoeft te vragen.

Volgens de nieuwe wetgeving hoef je dus niet expliciet toestemming te vragen voor het gebruik van analytische cookies van Google Analytics vanwege de geringe gevolgen voor de privacy van je websitebezoeker. Wel moet je een aantal stappen ondernemen om Google Analytics te anonimiseren. Vraag je op jouw website toestemming voor het gebruik van Analytische Cookies (en geeft de gebruiker toestemming) dan mag je Google Analytics blijven gebruiken en hoef je gegevens niet persé te anonimiseren, voorwaarde is wel dat je dit duidelijk vermeldt in je privacyverklaring zodat een bezoeker weet waar hij/zijn toestemming voor geeft.

Stappenplan Google Analytics AVG compliant maken

Volg het ‘Stappenplan Google Analytics AVG compliant maken’ om jouw Google Analytics in 6 stappen AVG (GDPR) compliant te maken. Heb je niet de kennis om dit zelf te doen? Vraag dan je webmaster deze instellen voor je aan te passen. Al moet je dan wel je webmaster toegang (beheerniveau) geven tot je Google Analytics account ;).

1. Bewerkersovereenkomst Google Analytics

In deze stap behandelen we de bewerkersovereenkomst Google Analytics. Heb jij de bewerkersovereenkomst met Google Analytics al afgesloten? Google noemt dit het ‘Amendement gegevensverwerking’. Volgens artikel 14 van de Wbp (Wet bescherming persoonsgegevens) moet je als verantwoordelijke website eigenaar een bewerkersovereenkomst afsluiten met Google Analytics. Hier staat ongeveer in dat Google bij de verwerking van de persoonsgegevens van je bezoekers alleen een bewerker is.

Deze bewerkersovereenkomst van Google Analtycis kan je gemakkelijk afsluiten via de beheeromgeving van Google Analytics. Log in op je Google Analytics account en neem de volgende stappen:

1. Ga naar ‘Beheer’
2. Ga naar ‘Accountinstellingen’
3. Scroll helemaal naar beneden, onderaan de pagina vind je het kopje ‘Amendement gegevensverwerking’
4. Klik op de knop ‘aanpassing bekijken’.
5. Klik op de blauwe knop ‘Accepteren’.
6. Klik op ‘Opslaan’.

Je ziet datum (dik groen afgedrukt) die aangeeft op welk moment je de bewerkersovereenkomst met Google bent aangegaan.

2. Google Analytics Anonimiseren

In deze stap gaan we Google Analytics anonimiseren. Hiermee maak je de IP-adressen van je bezoekers anoniem. Het IP-adres wordt namelijk gezien als privacygevoelig. Het is dus noodzakelijk dat het volledige IP-adres niet aan Google Analytics wordt door gegeven. Door een aanpassing in het Google Analytics-script is het mogelijk om niet het gehele IP-adres van de bezoeker door te geven, maar een deel van het IP-adres. Dit gebeurd nog voordat het IP-adres aan Google Analytics wordt doorgegeven. Het College Bescherming Persoonsgegevens is niet helemaal tevreden met deze oplossing waarmee alleen de laatste cijfers van het IP-adres worden verwijderd, maar heeft dit wel in haar aanbeveling opgenomen.

Er verschillende versies van het Google Analytics script in omloop (het stukje code wat je op iedere pagina van je website plaatst), dus laten we graag zien per script hoe dit werkt. De oranje geaccentueerde code moet worden toegevoegd.

Global Site Tag

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=”https://www.googletagmanager.com/gtag/js?id=UA-XXXXXXX-X”></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‘js’, new Date());
gtag(‘config’, ‘UA-XXXXXXX-X’, { ‘anonymize_ip’: true });
</script>

Universal analytics

<script>
(function(i,s,o,g,r,a,m){i[‘GoogleAnalyticsObject’]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script’,’//www.google-analytics.com/analytics.js’,’ga’);
ga(‘create’, ‘UA-XXXXXXX-X’, ‘auto’); // Toelichting CBP: Vervang ‘UA-XXXXXXX-X’ door uw web
property ID
ga(‘set’, ‘anonymizeIp’, true); // Toelichting CBP: Zet de IP-maskering aan
ga(‘send’, ‘pageview’);
</script>

Klassieke analytics

<script type=”text/javascript”>
var _gaq = _gaq || [];
_gaq.push([‘_setAccount’, ‘UA-XXXXX-X’]); // Toelichting CBP: Vervang ‘UA-XXXXX-X’ door uw
web property ID
_gaq.push ([‘_gat._anonymizeIp’]); // Toelichting CBP: Zet de IP-maskering aan
_gaq.push([‘_trackPageview’]);
(function() {
var ga = document.createElement(‘script’); ga.type = ‘text/javascript’; ga.async = true;
ga.src = (‘https:’ == document.location.protocol ? ‘https://ssl’ : ‘http://www’) +
‘.google-analytics.com/ga.js’;
var s = document.getElementsByTagName(‘script’)[0]; s.parentNode.insertBefore(ga, s);
})();
</script>

Bewaar een printscreen van het moment van aanpassen!
Het College Bescherming Persoonsgegevens verwacht dat je bewijs bewaard dat je de Google Analytics code hebt aangepast. Dit kan heel eenvoudig door een printscreen te bewaren met de datum/tijd van het moment dat je deze regel hebt toegevoegd aan je website. Hiermee kun je namelijk aantonen wanneer je deze privacyvriendelijke maatregel hebt toegepast.

Het College Bescherming Persoonsgegevens verwacht ook dat je SSL forceert. Onder de AVG is een SSL certificaat ook verplicht, daarnaast is het van belang voor je SEO. We gaan er daarom vanuit dat jouw hele website al op SSL werkt. Heb je jouw website al omgezet naar https, dan is het wel van belang dat je Google Analytics aanpast zodat deze de https versie van je website bijhoudt in plaats van de http versie. In onderstaande afbeeldingen wat we zien hoe je dit instelt.

Nog geen SSL certificaat actief op je website?
Draait jouw website gewoon nog op http? Dan moet er nog een stukje code worden toegevoegd. Lees hier hoe je forcessl instelt voor Google Analytics.

3. Gegevens delen met Google Analytics uitzetten

In deze stap gaan we ‘Gegevens delen met Google Analytics’ uitzetten. In de beheeromgeving van Google Analytics is een optie te vinden omtrent het delen van gegevens met Google. Google gebruikt deze gegevens onder andere om hun diensten te verbeteren, onderzoek te doen en aan te vullen met nieuwe functies. Er zijn 4 opties:

• Producten en services van Google
• Benchmarking
• Technische ondersteuning
• Accountspecialisten (van Google).

Als je deze opties aanvinkt ga je ermee akkoord dat gegevens uit je Google Analytics-account worden gedeeld met Google. Google gebruikt dit voor eigen doeleinden voor onder andere het maken vergelijkingen (benchmarks) met andere websites. Hierdoor treedt Google niet alleen meer op als gegevens bewerker, maar ook als gegevens verantwoordelijke. In dat geval moet je toestemming vragen aan je bezoekers voor de verwerking van persoonsgegevens met Analytics-cookies. Om deze toestemming van acceptatie van Analytische cookies te voorkomen, is het nodig dat je alle vakjes onder accountinstellingen uit vinkt. Onderneem de volgende stappen:

1. Ga naar ‘Beheer’
2. Ga naar ‘Accountinstellingen’
3. Vink alle 5 de opties uit
4. Klik op de knop ‘Opslaan’.

4. Gegevens delen met Google Analytics voor advertentiedoeleinden uitzetten

In deze stap gaan we ‘Gegevens delen met Google Analytics voor advertentiedoeleinden’ uitzetten. Heb je de stappen in stap 3 afgerond dan kan Google Analytics namelijk nog steeds gegevens van je websitebezoekers gebruiken voor advertentiedoeleinden. Om het delen van gegevens voor advertentiedoeleinden uit te zetten onderneem je de volgende stappen:

1. Ga naar ‘Beheer’
2. Ga naar ‘Property-instellingen’
3. Klik op ‘Trackinginfo’
4. Selecteer de optie ‘Gegevensverzameling’
5. Je ziet nu twee opties waardoor Google de Analytics-gegevens alsnog voor advertentiedoeleinden kan gebruiken. Als je ook een advertentieproduct van Google gebruikt, staan deze twee opties standaard aangevinkt
6. Klik deze twee opties uit
7. Klik op Opslaan.

Remarketing
Gebruik je remarketing voor het weergeven van Google Adwords advertenties aan je websitebezoekers? Dan ben je dus verplicht hiervoor toestemming te vragen aan he websitebezoekers!

5. Niet de functie voor User ID’s inschakelen

In deze stap gaan we checken of de functie voor User ID’s is uitgeschakeld. Google biedt de mogelijkheid om surfgedrag van verschillende apparaten en meerdere sessies te koppelen. Dit mag alleen met voorafgaande toestemming je website bezoekers. Controleer daarom of deze instelling niet per ongeluk staat ingeschakeld. Dit doe je door de volgende stappen toe te passen

1. Ga naar ‘Beheer’
2. Ga naar ‘Property-instellingen’
3. Klik op ‘Trackinginfo’
4. Selecteer de optie User ID

6. Informeren over gebruik van Google Analytics en opt-out

Maak in je privacyverklaring duidelijk dat je Google Analytics gebruikt. Je dient website bezoekers te informeren en transparant te zijn over het gebruik van Google Analytics. Neem daarvoor de volgende informatie op in de privacyverklaring op je website:

1. Geef aan dat je Google Analytics-cookies gebruikt
2. Geef aan dat je een bewerkersovereenkomst met Google hebt gesloten
3. Geef aan dat je geen gegevens over het gebruik van je website deelt met Google Analytics
4. Geef aan dat je Google Analytics-cookies niet gebruikt voor andere advertentiedoeleinden
5. Geef aan dat je het IP-adres van de bezoeker wordt geanonimiseerd
6. Geef aan dat je er voor gezorgd hebt dat gegevens van Google Analytics cookies beveiligd (https verbinding) verstuurd worden.

Zorg er ook voor dat je op deze pagina bezoekers de mogelijkheid biedt om dergelijke cookies te weigeren. Naast bovengenoemde maatregelen adviseert het CBP namelijk ook om een opt-outmogelijkheid te bieden. Meer informatie over de opt-out mogelijkheid vind je op de website van Google Analytics.

Vragen of toevoegingen?

Heb je vragen of aanvullende toevoegingen? Plaats het hieronder even als reactie op dit artikel, dan is het direct een mooie toevoeging voor aankomende lezers! Alvast bedankt en veel succes met het AVG compliant maken van jouw Google Analytics.