Hoe maak je Google Analytics privacyvriendelijk (cookiewet-proof)?

De Tweede Kamer ging in oktober 2014 akkoord met een minder strenge cookiewet. In februari 2015 nam de Eerste Kamer een wetswijziging aan die het verkrijgen van toestemming versoepelt voor cookies die worden gebruikt om informatie te krijgen over het websitegebruik en die geen of geringe gevolgen hebben voor de privacy van de gebruiker. Dit betekent dat je voor die cookies, bijvoorbeeld die van Google Analytics, niet wettelijk verplicht meer bent om bezoekers te informeren over het gebruik ervan en hiervoor toestemming te vragen. Deze wet is officieel van kracht sinds 11 maart 2015. In dit artikel lees je wat deze versoepeling van de cookiewet betekent en hoe je ervoor kunt zorgen dat Google Analytics privacyvriendelijk (lees: cookiewet-proof) wordt ingesteld.

Wat betekent de nieuwe cookiewet?

Met de aangepaste cookiewet hoeft voor geen enkele soort cookie ondubbelzinnige toestemming te worden gegeven. Alle cookies, first en third party, die uitsluitend voor statistische doeleinden (met andere woorden: voor de analyse van geaggregeerde, niet-persoonlijke of privacygevoelige informatie/data) worden gebruikt, zijn toegestaan. Dit geldt in beginsel dus ook voor Google Analytics.

Echter, voor cookies die informatie verzamelen waarmee interesseprofielen opgebouwd kunnen worden en bijvoorbeeld voor de inzet van remarketing gebruikt worden, dient wel toestemming gevraagd te worden. In dat geval is het nu voldoende om enkel informatie te geven over het plaatsen van cookies, bijvoorbeeld in een informatiebalk onderaan de pagina. Als de bezoeker vervolgens de melding negeert en doorklikt naar een andere pagina of een andere interactie op de website doet, wordt ervan uitgegaan dat er toestemming is gegeven.

De wetgever heeft er echter geen rekening mee gehouden dat via Google Analytics ook segmenten ten behoeve van remarketing opgebouwd kunnen worden. Hiermee worden persoonlijke interesseprofielen samengesteld en dat mag niet zonder toestemming. Dit betekent dat als je via Google Analytics remarketinglijsten aanmaakt en daarmee gegevens verzamelt van gebruikers voor het opbouwen van profielen, je voor het gebruik van de Google Analytics-cookies wél toestemming moet vragen. Ook voor remarketing via AdWords-scripts geldt dat toestemming vereist is.

Privacyvriendelijk instellen van Google Analytics

Gebruik je Google Analytics om het gebruik van de website in kaart te brengen, omdat je daarmee het online rendement van de website wilt verbeteren? Dan hoef je de gebruiker daar niet meer over te infomeren. Wel moet je blijven voldoen aan de Wet bescherming persoonsgegevens. Dat kun je doen door Google Analytics privacyvriendelijk in te stellen. Doorloop hiervoor de volgende stappen:

Bewerkersovereenkomst met Google afsluiten

Volgens artikel 14 van de Wet bescherming persoonsgegevens moet je als verantwoordelijke een bewerkersovereenkomst afsluiten met Google. Kort gezegd staat hierin dat Google bij de verwerking van de persoonsgegevens van je bezoekers alleen een bewerker is. Deze overeenkomst afsluiten kan gemakkelijk via het instellingenmenu van Google Analytics. Je kunt hiervoor inloggen op je webmasteraccount en doorklikken naar ‘Beheer’. Ga vervolgens naar ‘Accountinstellingen’. Scroll naar het einde van de pagina, waar je het kopje ‘Amendement gegevensverwerking’ ziet staan.

bewerkersovereenkomst

Bekijk deze en klik daarna op de buttons Accepteren en Opslaan om de overeenkomst definitief met Google aan te gaan.

Deel je gegevens niet meer met Google

In de beheeromgeving van Google Analytics kun je aangeven of je je gegevens wel of niet wilt delen met Google. Google gebruikt deze gegevens onder meer om Google Analytics te verbeteren en te verrijken met nieuwe features. Er zijn 4 opties:

  • Uitsluitend bij andere Google-producten;
  • Anoniem met Google en anderen;
  • Technische ondersteuning;
  • Accountspecialisten (van Google).

Als je deze opties hebt aangevinkt, ga je ermee akkoord dat Google de gegevens uit je Google Analytics-account voor eigen doeleinden gebruikt, bijvoorbeeld voor het maken van benchmarks van de prestaties van vergelijkbare websites. Dit betekent dat Google hierdoor niet alleen meer optreedt als bewerker, maar ook als verantwoordelijke. In dat geval moet je namens Google toestemming aan de bezoekers vragen voor de verwerking van persoonsgegevens met Analytics-cookies en dat is nou precies wat je niet wilt. Om deze toestemming van acceptatie van cookies te voorkomen, is het nodig dat je alle vinkjes onder accountinstellingen weghaalt, te vinden in de beheeromgeving.

gegevens niet delen met google

Voorkom registratie volledige IP-adres

Het IP-adres wordt door het College Bescherming Persoonsgegevens (CBP) gezien als privacygevoelig. Het is dus noodzakelijk dat het volledige IP-adres niet in Analytics terechtkomt. Door een aanpassing in het Google Analytics-script is het mogelijk om niet het gehele IP-adres van de bezoeker door te geven, maar een deel van het IP-adres. Hierdoor wordt het laatste deel (meestal 3 cijfers) van het IP-adres verwijderd, nog voordat het aan Google wordt doorgegeven. Deze maatregel vindt het CBP voldoende, ondanks dat er nog steeds een groot deel van het IP-adres wordt geregistreerd.

Daarnaast raadt het CBP ook aan om SSL te gebruiken voor de Google Analytics-cookies, zodat deze versleuteld verstuurd worden. Bovendien is dit vanuit SEO-oogpunt ook van belang. Vorig jaar heeft Google aangekondigd  dat als websites gebruik maken van van SSL-certificaten c.q. HTTPS-beveiliging, dat dit een positieve SEO-factor is. Kortom, Google vindt het belangrijk dat de uitgewisselde data tussen bezoeker en server versleuteld is en beloont dit door het mee te laten wegen in de SEO-ranking.

In onderstaand script van de Google Analytics volgens de nieuwe Universal Analytics-code zijn de 2 regels die moeten worden toegevoegd vetgedrukt.

Universal analytics

<script>
(function(i,s,o,g,r,a,m){i[‘GoogleAnalyticsObject’]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script’,’//www.google-analytics.com/analytics.js’,’ga’);
ga(‘create’, ‘UA-XXXXXXX-X’, ‘auto’);
ga(‘set’, ‘forceSSL’, true); //  https gebruiken voor Google Analytics
ga(‘set’, ‘anonymizeIp’, true); // het laatste deel van het IP-adres wordt verwijderd
ga(‘send’, ‘pageview’);
</script>

Ben je nog niet over op de nieuwe Universal Analytics-code, dan is dit tevens een goed moment om over te stappen. Uiteindelijk is het noodzakelijk om over te gaan naar Universal Analytics; de oude code wordt namelijk op een gegeven moment uitgefaseerd. Traffic Builders kan dit traject uiteraard oppakken en begeleiden. Migreren naar Universal Analytics kan in de meeste gevallen het beste door gebruik te maken van Google Tag Manager.

Instellingen in Google Tag Manager (GTM) aanpassen

Wordt voor het doormeten van de website gebruik gemaakt van GTM, dan kunnen deze instellingen als volgt worden doorgevoerd:

In de tag van de Google Analytics-code:

  • Meer instellingen – Veldnaam toevoegen en anonymizeIp op true zetten;
  • Meer instellingen – Veldnaam toevoegen en forceSSL op true zetten.meer instellingen-GTM privacyvriendelijk

We raden aan om een schermafdruk te bewaren met daarop datum/tijd van het moment dat deze regel is toegevoegd aan de broncode van de website. Hiermee kun je namelijk altijd aantonen wanneer je deze privacyvriendelijke maatregel hebt toegepast.

Bezoekers informeren over het gebruik van Google Analytics

Uiteraard dien je nog steeds bezoekers te informeren en transparant te zijn over het gebruik van Google Analytics-cookies, aangezien hiermee persoonsgegevens van websitebezoekers worden verwerkt. Dit kan bijvoorbeeld door deze informatie te noemen op de pagina over het privacybeleid van de website, waarin naar voren komt dat je:

  • Google Analytics-cookies gebruikt;
  • een bewerkersovereenkomst met Google hebt gesloten;
  • geen gegevens over het gebruik van je website deelt met Google (voor bijvoorbeeld benchmarkgegevens);
  • de Google Analytics-cookies niet gebruikt voor andere Google-diensten;
  • gekozen hebt voor niet in z’n geheel registreren van het IP-adres van de bezoeker;
  • er voor gezorgd hebt dat gegevens van Google Analytics cookies beveiligd (versleuteld) verstuurd worden.

Zorg er ook voor dat je op deze pagina bezoekers de mogelijkheid biedt om dergelijke cookies te weigeren. Naast bovengenoemde maatregelen adviseert het CBP namelijk ook om een opt-outmogelijkheid te bieden.

Bron: College Bescherming Persoonsgegevens

Tot slot…

  Heb jij Google Analytics al privacyvriendelijk ingesteld? Welke maatregelen heb jij genomen of ga je nog nemen? Wij horen het graag van je, dus laat vooral je reactie achter onder dit blog.

Hulp nodig bij het privacyvriendelijk instellen van Google Analytics?

Wij helpen je graag bij het privacyvriendelijk instellen van Google Analytics. Wellicht ben je nog niet over naar Universal Analytics en/of wil je een goede review van de inrichting van je Google Analytics-account. Neem dan vrijblijvend contact met ons op.