PII: Meten = weten, maar deze data wil je juist niet verzamelen (inclusief gratis detectietool)
Als je data verzamelt voor je digital marketingactiveiten, is de kans groot dat je hiervoor Google Analytics gebruikt. In de algemene voorwaarden van Google Analytics staat dat het verboden is om met deze tool Persoonlijk Identificeerbare Informatie (PII) te verzamelen. Vanwege de AVG/GDPR wil je voorkomen dat er PII terechtkomt in Google Analytics. Daarnaast schrijft de wet voor dat je alleen PII (persoonlijk identificeerbare informatie) mag verwerken als dit vanwege specifieke redenen nodig is. Of als hier door de betreffende persoon toestemming voor is gegeven.
Waarschijnlijk is er voor jou geen enkele reden om PII te verzamelen en vraag je hier dus ook geen toestemming voor. Toch komt het voor dat er per ongeluk persoonsgegevens terechtkomen in Google. In dit blog leg ik uit wat PII precies is, hoe er per ongeluk PII terecht komt in Google Analytics en wat de gevolgen zijn. Ook leg ik uit hoe je verzameling van PII voorkomt, hoe je deze identificeerbare informatie in Google Analytics detecteert en verwijdert. Zo vermijd je een torenhoge boete.
Wat is PII precies?
PII, persoonlijk identificeerbare informatie, is informatie herleidbaar tot een persoon. Voorbeelden van PII:
- E-mailadres
- Postcode
- Telefoonnummer
- Naam
- Burgerservicenummer
Voorbeelden van niet-persoonlijk identificeerbare informatie, zonder toestemming te vergaren:
-
- Apparaattype
- Browser
- Tijdzone
- Taalvoorkeur
Twee grijze gebieden
Pseudoniem ID’s
De AVG/GDPR schrijft aan de ene kant voor dat je de wetgeving schendt als je pseudonieme cookie-ID’s, advertentie-ID’s en andere eindgebruiker-ID’s verzamelt. Gegevens die met behulp van andere gegevens zijn te koppelen aan een persoon. Aan de andere kant geeft de wet ook aan dat bij het bepalen of een persoon identificeerbaar is aan de hand van pseudoniem ID’s, rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt om een persoon te identificeren. Waar de grens dus precies ligt, is afhankelijk van interpretatie.
IP-adressen
Als een gebruiker klikt op een Ads advertentie, is het noodzakelijk dat een IP-adres verzonden wordt zodat de bezoeker op de juiste website komt. Tegelijkertijd is het verzenden van dit IP-adres naar Google-diensten absoluut verboden. De Autoriteit Persoonsgegevens geeft aan dat een volledig IP-adres in veel gevallen als een persoonsgegeven wordt beschouwd. Er zijn echter situaties waarin een IP-adres op dusdanige manier te gebruiken is, dat deze niet herleidbaar is tot een persoon. Bijvoorbeeld wanneer een website aan de hand van het IP-adres herkent uit welk land een bezoeker afkomstig is (en welke taalvoorkeur iemand heeft). In deze situatie is er geen schending van de wetgeving.
Hoe je per ongeluk PII verzamelt
Je kent het vast wel: je ontvangt een nieuwsbrief waar je je voor wilt afmelden. Je klikt op de link in de footer en wordt naar de website gestuurd. In het formulier is je e-mailadres waarmee je je kunt afmelden al ingevuld. Dit komt omdat je e-mailadres op de volgende manier is meegestuurd in de url: website.com/unsubscribe?email=sample@email.com.
Deze URL wordt vaak ook naar systemen als Google Analytics, Google Ads, Facebook Ads Manager of DV 360 verstuurd. Met als gevolg dat PII terecht komt in de systemen. Daardoor riskeer je eerder genoemde boetes. Daarnaast kan Google besluiten om als je Google Analytics-data te verwijdert verwijderen of je floodlights buiten werking worden gesteld.
En zo zijn er meer situaties waarin er onbewust of per ongeluk PII wordt verzameld:
- Bezoekers willen hun wachtwoord resetten en ontvangen hiervoor een e-mail. Ze klikken op de link in de e-mail en landen op een pagina waar hun gebruikersnaam (waar veel mensen hun e-mailadres voor gebruiken) wordt meegestuurd in de url. Zo komt dit ook terecht in Google Analytics.
- Bezoekers vullen hun postcode en huisnummer in op een pagina om zo een winkel bij hen in de buurt te vinden. De postcode en het huisnummer worden in de url opgenomen. Daarna wordt deze informatie verstuurd naar bijvoorbeeld Google Analytics.
De gevolgen van het lekken van PII naar Google Analytics
Als websitebezoekers ontdekken dat jij PII lekt naar Google Analytics en hij/zij meldt dit bij de Autoriteit Persoonsgegevens, dan riskeer je een boete. Deze boete heeft een hoogte van maximaal 4% van je wereldwijde jaaromzet of maximaal € 20 miljoen geven. Avocatoo.ro, een Roemeense website met GDPR en DPO-templates voor bedrijven, kreeg een boete van € 3000,-. De website kampte namelijk met securityproblemen. Daardoor waren, ironisch genoeg, persoonlijke gegevens van klanten en transacties publiekelijk toegankelijk. Daarnaast werd in juli 2019 de eerste boete van € 460.000 uitgedeeld in Nederland aan een ziekenhuis vanwege de schending van de AVG/GDPR. Afgezien van de financiële impact, is de kans op imagoschade nog veel groter. Dat hebben we gezien bij het Facebook-schandaal waardoor vele gebruikers het platform hebben verlaten.
Welke stappen moet je zetten?
Hoe kom je erachter of je PII verzamelt of hebt verzameld? Hoe verwijder je deze gegevens en hoe voorkom je opslag van PII in de toekomst?
Doorloop de volgende drie stappen:
Detecteren
Hierbij onderzoek je of je PII hebt verzameld. Dit doe je door te onderzoeken of er PII terecht is gekomen in alle systemen waar je een pagina-URL heen stuurt. Dit is bijvoorbeeld Google Analytics, DV 360, Facebook Ads Manager, enzovoort. Daarnaast breng je de oorzaken in kaart waarom op een website deze PII wordt verzameld. Het is van groot belang om dit periodiek te blijven doen om zo snel mogelijk in te kunnen grijpen zodra er (weer) PII verzameld wordt.
Wij hebben de onderstaande detectietool ontwikkeld waarmee jij razendsnel kunt checken of jij de afgelopen 90 dagen PII in de vorm van e-mailadressen hebt verzameld in GA.
Verwijderen
Als je weet dat er inderdaad PII is verzamelt, verwijder het dan uit alle systemen waar het is opgeslagen. Nog belangrijker is de echte oorzaak van dit probleem wegnemen door de website aan te passen dat er geen PII meer in de URL verschijnt.
Voorkomen
In de praktijk is het onmogelijk om altijd te voorkomen dat PII wordt verzameld (en zo 100% GDPR/AVG-proof te zijn). Er zijn namelijk enorm veel vormen van PII. Wij denken dat je als bedrijf op zijn minst moet kunnen aantonen dat je preventieve (en reactieve) maatregelen hebt genomen. Daarom is het goed om te beginnen met het onderzoeken welke soorten PII er verzameld kunnen worden. Omdat er veel verschillende gegevens als PII aangemerkt worden is het sterk bedrijfs-, branche- en contextafhankelijk welke mogelijke vormen jij mogelijk verzamelt.
Let op
Verzamel je e-mailadressen of juist creditcardnummers? Met de juiste aanpassingen in Google Tag Manager is het mogelijk om PII te detecteren en overschrijven, vóórdat je data verstuurt naar bijvoorbeeld Google Analytics of DV 360. Zo is de kans dat er in de toekomst weer PII verzameld wordt een stuk kleiner. Voorkomen is, ook met de hoge boetes en mogelijke imagoschade in ogenschouw genomen, beter dan genezen.
Tot slot
Nu kun je zelf onderzoeken of je per ongeluk PII hebt verzameld en het handmatig verwijderen uit Google Analytics. Wij weten uit ervaring dat dit tijdrovend is. Vooral bij grotere websites en/of websites met veel verkeer. Daarom heeft Traffic Builders tools ontwikkeld waarmee we dit proces grotendeels automatiseren. Hiermee kost detectie en verwijdering van PII aanzienlijk minder tijd. Daarnaast helpen we je vanuit Google Tag Manager (met hulp van Javascript) te voorkomen dat de meeste vormen van PII worden verzonden naar systemen als Google Analytics en DV 360. Wil jij weten of je (onbewust) persoonsgegevens verzamelt en er iets aan doen? Neem contact met ons op, wij helpen je snel en effectief.