Home » Webanalytics » Hoe maak je Google Analytics privacyvriendelijk (cookiewet-proof)?

Hoe maak je Google Analytics privacyvriendelijk (cookiewet-proof)?

De Tweede Kamer ging in oktober 2014 akkoord met een minder strenge cookiewet. In februari 2015 nam de Eerste Kamer een wetswijziging aan die het verkrijgen van toestemming versoepelt voor cookies die worden gebruikt om informatie te krijgen over het websitegebruik en die geen of geringe gevolgen hebben voor de privacy van de gebruiker. Dit betekent dat je voor die cookies, bijvoorbeeld die van Google Analytics, niet wettelijk verplicht meer bent om bezoekers te informeren over het gebruik ervan en hiervoor toestemming te vragen. Deze wet is officieel van kracht sinds 11 maart 2015. In dit artikel lees je wat deze versoepeling van de cookiewet betekent en hoe je ervoor kunt zorgen dat Google Analytics privacyvriendelijk (lees: cookiewet-proof) wordt ingesteld.

Wat betekent de nieuwe cookiewet?

Met de aangepaste cookiewet hoeft voor geen enkele soort cookie ondubbelzinnige toestemming te worden gegeven. Alle cookies, first en third party, die uitsluitend voor statistische doeleinden (met andere woorden: voor de analyse van geaggregeerde, niet-persoonlijke of privacygevoelige informatie/data) worden gebruikt, zijn toegestaan. Dit geldt in beginsel dus ook voor Google Analytics.

Echter, voor cookies die informatie verzamelen waarmee interesseprofielen opgebouwd kunnen worden en bijvoorbeeld voor de inzet van remarketing gebruikt worden, dient wel toestemming gevraagd te worden. In dat geval is het nu voldoende om enkel informatie te geven over het plaatsen van cookies, bijvoorbeeld in een informatiebalk onderaan de pagina. Als de bezoeker vervolgens de melding negeert en doorklikt naar een andere pagina of een andere interactie op de website doet, wordt ervan uitgegaan dat er toestemming is gegeven.

De wetgever heeft er echter geen rekening mee gehouden dat via Google Analytics ook segmenten ten behoeve van remarketing opgebouwd kunnen worden. Hiermee worden persoonlijke interesseprofielen samengesteld en dat mag niet zonder toestemming. Dit betekent dat als je via Google Analytics remarketinglijsten aanmaakt en daarmee gegevens verzamelt van gebruikers voor het opbouwen van profielen, je voor het gebruik van de Google Analytics-cookies wél toestemming moet vragen. Ook voor remarketing via AdWords-scripts geldt dat toestemming vereist is.

Privacyvriendelijk instellen van Google Analytics

Gebruik je Google Analytics om het gebruik van de website in kaart te brengen, omdat je daarmee het online rendement van de website wilt verbeteren? Dan hoef je de gebruiker daar niet meer over te infomeren. Wel moet je blijven voldoen aan de Wet bescherming persoonsgegevens. Dat kun je doen door Google Analytics privacyvriendelijk in te stellen. Doorloop hiervoor de volgende stappen:

Bewerkersovereenkomst met Google afsluiten

Volgens artikel 14 van de Wet bescherming persoonsgegevens moet je als verantwoordelijke een bewerkersovereenkomst afsluiten met Google. Kort gezegd staat hierin dat Google bij de verwerking van de persoonsgegevens van je bezoekers alleen een bewerker is. Deze overeenkomst afsluiten kan gemakkelijk via het instellingenmenu van Google Analytics. Je kunt hiervoor inloggen op je webmasteraccount en doorklikken naar ‘Beheer’. Ga vervolgens naar ‘Accountinstellingen’. Scroll naar het einde van de pagina, waar je het kopje ‘Amendement gegevensverwerking’ ziet staan.

bewerkersovereenkomst

Bekijk deze en klik daarna op de buttons Accepteren en Opslaan om de overeenkomst definitief met Google aan te gaan.

Deel je gegevens niet meer met Google

In de beheeromgeving van Google Analytics kun je aangeven of je je gegevens wel of niet wilt delen met Google. Google gebruikt deze gegevens onder meer om Google Analytics te verbeteren en te verrijken met nieuwe features. Er zijn 4 opties:

  • Uitsluitend bij andere Google-producten;
  • Anoniem met Google en anderen;
  • Technische ondersteuning;
  • Accountspecialisten (van Google).

Als je deze opties hebt aangevinkt, ga je ermee akkoord dat Google de gegevens uit je Google Analytics-account voor eigen doeleinden gebruikt, bijvoorbeeld voor het maken van benchmarks van de prestaties van vergelijkbare websites. Dit betekent dat Google hierdoor niet alleen meer optreedt als bewerker, maar ook als verantwoordelijke. In dat geval moet je namens Google toestemming aan de bezoekers vragen voor de verwerking van persoonsgegevens met Analytics-cookies en dat is nou precies wat je niet wilt. Om deze toestemming van acceptatie van cookies te voorkomen, is het nodig dat je alle vinkjes onder accountinstellingen weghaalt, te vinden in de beheeromgeving.

gegevens niet delen met google

Voorkom registratie volledige IP-adres

Het IP-adres wordt door het College Bescherming Persoonsgegevens (CBP) gezien als privacygevoelig. Het is dus noodzakelijk dat het volledige IP-adres niet in Analytics terechtkomt. Door een aanpassing in het Google Analytics-script is het mogelijk om niet het gehele IP-adres van de bezoeker door te geven, maar een deel van het IP-adres. Hierdoor wordt het laatste deel (meestal 3 cijfers) van het IP-adres verwijderd, nog voordat het aan Google wordt doorgegeven. Deze maatregel vindt het CBP voldoende, ondanks dat er nog steeds een groot deel van het IP-adres wordt geregistreerd.

Daarnaast raadt het CBP ook aan om SSL te gebruiken voor de Google Analytics-cookies, zodat deze versleuteld verstuurd worden. Bovendien is dit vanuit SEO-oogpunt ook van belang. Vorig jaar heeft Google aangekondigd  dat als websites gebruik maken van van SSL-certificaten c.q. HTTPS-beveiliging, dat dit een positieve SEO-factor is. Kortom, Google vindt het belangrijk dat de uitgewisselde data tussen bezoeker en server versleuteld is en beloont dit door het mee te laten wegen in de SEO-ranking.

In onderstaand script van de Google Analytics volgens de nieuwe Universal Analytics-code zijn de 2 regels die moeten worden toegevoegd vetgedrukt.

Universal analytics

<script>
(function(i,s,o,g,r,a,m){i[‘GoogleAnalyticsObject’]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script’,’//www.google-analytics.com/analytics.js’,’ga’);
ga(‘create’, ‘UA-XXXXXXX-X’, ‘auto’);
ga(‘set’, ‘forceSSL’, true); //  https gebruiken voor Google Analytics
ga(‘set’, ‘anonymizeIp’, true); // het laatste deel van het IP-adres wordt verwijderd
ga(‘send’, ‘pageview’);
</script>

Ben je nog niet over op de nieuwe Universal Analytics-code, dan is dit tevens een goed moment om over te stappen. Uiteindelijk is het noodzakelijk om over te gaan naar Universal Analytics; de oude code wordt namelijk op een gegeven moment uitgefaseerd. Traffic Builders kan dit traject uiteraard oppakken en begeleiden. Migreren naar Universal Analytics kan in de meeste gevallen het beste door gebruik te maken van Google Tag Manager.

Instellingen in Google Tag Manager (GTM) aanpassen

Wordt voor het doormeten van de website gebruik gemaakt van GTM, dan kunnen deze instellingen als volgt worden doorgevoerd:

In de tag van de Google Analytics-code:

  • Meer instellingen – Veldnaam toevoegen en anonymizeIp op true zetten;
  • Meer instellingen – Veldnaam toevoegen en forceSSL op true zetten.meer instellingen-GTM privacyvriendelijk

We raden aan om een schermafdruk te bewaren met daarop datum/tijd van het moment dat deze regel is toegevoegd aan de broncode van de website. Hiermee kun je namelijk altijd aantonen wanneer je deze privacyvriendelijke maatregel hebt toegepast.

Bezoekers informeren over het gebruik van Google Analytics

Uiteraard dien je nog steeds bezoekers te informeren en transparant te zijn over het gebruik van Google Analytics-cookies, aangezien hiermee persoonsgegevens van websitebezoekers worden verwerkt. Dit kan bijvoorbeeld door deze informatie te noemen op de pagina over het privacybeleid van de website, waarin naar voren komt dat je:

  • Google Analytics-cookies gebruikt;
  • een bewerkersovereenkomst met Google hebt gesloten;
  • geen gegevens over het gebruik van je website deelt met Google (voor bijvoorbeeld benchmarkgegevens);
  • de Google Analytics-cookies niet gebruikt voor andere Google-diensten;
  • gekozen hebt voor niet in z’n geheel registreren van het IP-adres van de bezoeker;
  • er voor gezorgd hebt dat gegevens van Google Analytics cookies beveiligd (versleuteld) verstuurd worden.

Zorg er ook voor dat je op deze pagina bezoekers de mogelijkheid biedt om dergelijke cookies te weigeren. Naast bovengenoemde maatregelen adviseert het CBP namelijk ook om een opt-outmogelijkheid te bieden.

Bron: College Bescherming Persoonsgegevens

Tot slot…

  Heb jij Google Analytics al privacyvriendelijk ingesteld? Welke maatregelen heb jij genomen of ga je nog nemen? Wij horen het graag van je, dus laat vooral je reactie achter onder dit blog.

Hulp nodig bij het privacyvriendelijk instellen van Google Analytics?

Wij helpen je graag bij het privacyvriendelijk instellen van Google Analytics. Wellicht ben je nog niet over naar Universal Analytics en/of wil je een goede review van de inrichting van je Google Analytics-account. Neem dan vrijblijvend contact met ons op.

 


Joke Lammerts van Bueren - 02/03/2016

Helder artikel. Dank. Ik zit nog met 2 vragen.
1. Ik zie overal m.i.mtegenstrijdige informatie. Met de wetswijziging hoeft ook informeren niet meer wanneer google privacyvriendelijk is ingesteld. Toch adviseren veel kenners, u ook, om dat wel te doen. Enig idee wat nu echt moet volgens de wet?
2. Weten jullie of het privacyvriendelijk instellen of gebruik van de opt-out mogelijkheid invloed heeft op de resulaten die google analytics kan weergeven?

Beste Joke,
Informeren over het gebruik van cookies in de privacystatement blijft een verplichting, ook als je alleen Google Analytics cookies gebruikt. Het is dus wel nodig om te informeren welke cookies worden geplaatst, waarvoor deze bestemd zijn, door wie ze worden geplaatst en wat de levensduur is. Een cookiebar is dan niet nodig, zolang er met Google Analytics geen remarketinglijsten worden gemaakt voor het opbouwen van profielen.
Het privacyvriendelijk instellen heeft geen invloed op de resultaten van Google Analytics. Je ziet alleen niet precies waar de bezoekers vandaan komen aan de hand van het IP-adres, aangezien dit anoniem gemaakt is.


Lars - 17/03/2016

Hi Felipe,
De instellingen binnen mijn GTM lijken anders ingericht. Zo zijn ‘IP anoniem maken’ en ‘Altijd SSL gebruiken’ niet (meer) te vinden onder basisconfiguratie en geavanceerde configuratie in de tag van de Universal Analytics-code.
Zou jij mij kunnen vertellen waar ik de betreffende instellingen zou kunnen vinden?

Hi Lars,
Bedankt voor je reactie. Regelmatig voert Google verbeteringen door en loop je met eerdere screenshots achter de feiten aan. Dat is nu ook het geval, aangezien het screenshot nog uit versie 1 was terwijl iedereen nu versie 2 van GTM heeft. De extra instellingen dient je nu zelf toe te voegen bij ‘meer instellingen’ in de Universal Analytics tag. Hier kun je nu zelf veldnamen toevoegen. In dit geval is dat ‘anonymizeIp’ en ‘forceSSL’ en deze dienen beide op ‘true’ gezet te worden. Ik heb het screenshot in het artikel gelijk even aangepast, zodat bovenstaande uitleg duidelijk wordt.


Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

Mis geen blogartikel meer!

Ontvang onze blogartikelen gewoon in jouw mailbox

Interessante onderwerpen
Felipe Wesbonk
Wij geloven dat ons team uniek is

Maak kennis met Felipe

Felipe werkt sinds januari 2011 bij Traffic Builders. Als Product Manager Webanalytics & Marketing Intelligence is hij verantwoordelijk voor productontwikkeling en begeleidt hij trajecten op het gebied van webanalyse, marketing intelligence en online marketing. Ook geeft hij workshops en is bij SRM Opleidingen docent en mentor/coach voor de opleiding Online Marketeer B. In zijn vrije tijd speelt tennis en is hij verbonden aan een musical theatergroep.

Neem contact op met Felipe
Blijf op de hoogte van

De laatste trends & ontwikkelingen

Mis geen blogartikel meer!

Ontvang onze blogartikelen per mail