Waarom wordt Google Analytics misschien verboden?
Die waarschuwing komt van de Nederlandse Autoriteit Persoonsgegevens (AP). Naar aanleiding van een onderzoek van de Oostenrijkse privacytoezichthouder DSB is de AP een onderzoek gestart naar Google Analytics in ons land. De Oostenrijkse tak waarschuwde namelijk dat de Google-dienst in strijd is met de Europese privacywet AVG.
Sinds 25 mei 2018 geldt de Algemene Verordening Gegevensbescherming (AVG). Dat betekent dat in de hele Europese Unie dezelfde regels gelden omtrent privacyrechten, de verantwoordelijkheid van bedrijven daarin en de bevoegdheden van Europese privacytoezichthouders. Deze wet geeft je als burger meer rechten op het gebied van privacy en zorgt dat organisaties zorgvuldiger met je (digitale) persoonsgegevens omgaan.
De Datenschutzbehörde (DSB) in Wenen oordeelde dat Google Analytics IP-adressen en gegevens over cookies van de gebruikers in Europa doorstuurt naar servers in de Verenigde Staten. En dat mag niet volgens de AVG.
Kan ik Google Analytics nog wel gebruiken?
Er loopt nu een onderzoek van de Nederlandse AP over twee klachten wat betreft Analytics in Nederland. Als dat afgerond is, bepaalt de AP of de dienst is toegestaan of niet. Voor nu kun je Google Analytics dus nog gewoon gebruiken.
Mocht de uitspraak volgen dat de dienst momenteel niet AVG-proof is, betekent dat niet gelijk het einde van Analytics. De dienst kan hun systeem namelijk aanpassen zodat deze wel aan de Europese privacywet voldoet. Zo ging het ook toen Google-software voor het onderwijs onder vuur lag.
Hoe maak ik Google Analytics AVG-proof?
Het onderzoek is nog in volle gang, maar de Autoriteit Persoonsgegevens heeft al wel een handleiding gedeeld om Google Analytics privacyvriendelijk in te stellen. Het probleem ligt bij de cookies die Analytics gebruikt. Wanneer je het systeem inzet om data te verzamelen over jouw website of webshop, verwerk je persoonsgegevens van gebruikers met analytische cookies. Om privacyvriendelijk met de gegevens van je gebruikers om te gaan, is het slim toestemming te vragen. Doe je dat nog niet? Log dan in bij je Analytics account en volg deze 6 stappen. Zo heb je de privacy van jouw gebruikers goed geregeld en voldoe je aan de AVG.
- Sluit een bewerkersovereenkomst met Google af
In deze overeenkomst staat dat Google alleen een verwerker is van de persoonsgegevens van websitebezoekers, en dus bijvoorbeeld geen verantwoordelijke. Ga naar de accountinstellingen bij beheer om deze overeenkomst aan te vragen. Ga akkoord met de geüpdatet amendement en sla het op.
- Laat Google niet het volledige IP-adres verwerken (anonymize IP)
Met een IP-adres identificeer je een apparaat op het internet of op een lokaal netwerk. Ieder IP-adres is uniek. Zo’n adres bestaat uit een groot aantal nummers. Je kunt via Google de laatste vier cijfers van dat adres verwijderen, zodat bezoekers anoniemer(er) zijn. De AP wil graag dat die laatste cijfers verwijderd worden om de privacyrisico’s voor gebruikers te verkleinen.Hoe doe je dat? Ga naar Property-instellingen, Trackinginfo en kies de optie Trackingcode. Je ziet daar een code staan die je in de header van je website moest zetten om Analytics te koppelen. Voeg aan die code het gele gedeelte toe:Bewaar voor de zekerheid een screenshot van de datum en tijd wanneer je de regel toevoegt. Mocht het worden nagevraagd, laat jij snel zien wanneer je deze maatregel hebt toegepast.
- Zet gegevens delen met Google uit
Het is standaard ingesteld dat Analytics gegevens deelt met Google voor vijf verschillende doelen. Denk aan benchmarking en technische ondersteuning. Google treedt zo niet alleen op als bewerker, maar ook als verantwoordelijke. En dat is niet de bedoeling, want dan moet je toestemming vragen aan bezoekers namens Google. Ga naar accountinstellingen en vink de vijf vakjes uit.
- Zet gegevens delen met Google voor advertentiedoeleinden uit
Wanneer je stap 3 hebt uitgevoerd, ben je nog niet klaar. Google kan de gegevens van je websitebezoekers nog steeds gebruiken: voor advertentiedoeleinden. Dit schakel je ergens anders uit. Ga naar Property-instellingen, Trackinginfo en de optie Gegevensbescherming. Je ziet nu de opties Remarketing en Rapportagefuncties voor advertenties. Zet deze twee uit en sla het op.
- Schakel niet per ongeluk de functie voor User ID’s in
Met Google kun je surfgedrag van apparaten en sessies koppelen. Dat mag alleen als je toestemming vraagt van gebruikers. Check daarom of deze instelling is uitgeschakeld. Ga opnieuw naar Property-instellingen, Trackinginfo en User ID/ Gebruiker ID.
- Informeer over het gebruik van Analytics en opt-out
Je mag met analytische cookies gegevens verwerken zonder toestemming te vragen. Je moet gebruikers hier wel over informeren, bijvoorbeeld in een privacybeleid. Zet daarin dat je cookies gebruikt en bovenstaande stappen hebt gevolgd om de privacy te waarborgen.Een ander advies van de AP is een opt-out bieden aan je gebruikers: er wordt dan geen informatie verzonden naar Google Analytics. Je kunt dat op twee manieren doen: voeg een element toe aan je website om de opt-out aan te bieden aan gebruikers. Of gebruikers kunnen een browser-extensie installeren voor de browser Chrome, maar dat is niet voor iedereen een fijne oplossing.
Geen idee hoe je dit moet doen of heb je er de tijd niet voor?