Google Analytics en de AVG: Lust je nog een Cookie?

Google-analytics.jpg

Binnen de nieuwe richtlijnen van de AVG is het gebruik van Google Analytics aan nieuwe en strengere regels gebonden.

Google Analytics is gratis software van Google die wordt ingezet om heel veel activiteiten op, van en naar een website vast te leggen. Het primaire doel van Google Analytics is om eigenaren van websites een helder beeld te geven van onder andere het aantal bezoekers en de pagina’s die het meestbezocht zijn.

Uitbaters van websites kunnen hiermee dus nauwkeurig zien wat bijvoorbeeld de herkomst is van de bezoekers, hoe lang men gemiddeld op een bepaalde pagina blijft hangen, vanaf welke pagina de website weer wordt gesloten, maar ook waar bezoekers van de website precies hebben geklikt en welke bezoekers het meest opleveren.

Binnen de nieuwe richtlijnen van de AVG, de Algemene Verordening Gegevensbescherming (die op 25 mei van dit jaar in werking treden) mag je Google Analytics niet zomaar loslaten op een website en is het gebruik van Google Analytics aan nieuwe en strengere regels gebonden.

Wat verandert er voor de eigenaar van een website?

Op de eerste plaats moet een eigenaar van een website die gebruik wil (blijven) maken van Google Analytics een zogenaamde ‘verwerkingsovereenkomst’ afsluiten met Google. Met een verwerkingsovereenkomst regel je dat een derde partij zorgvuldig met de persoonsgegevens omspringt en zich netjes houdt aan de afspraken die jij met de betrokkenen (lees: klanten of bezoekers van de website) hebt gemaakt.

Hoe kan ik als eigenaar van een website de instellingen m.b.t. Google Analytics wijzigen?

  1. Klik in het Google Analytics dashboard op Accountinstellingen en vervolgens op de knop Aanpassing bekijken Het scherm met de verwerkingsovereenkomst wordt nu getoond. Lees de overeenkomst aandachtig door.
  2. Als je Google Analytics wit (blijven) gebruiken dan heb je geen andere optie dan op de knop Accepteren te klikken.

Het gebruik van cookies t.b.v. Google Analytics valt dus in de categorie privacygevoelige cookies. Als je Analytics dus wilt (blijven) gebruiken dan dien je als eigenaar van een website vooraf en expliciet toestemming te vragen aan de bezoekers van je website.

Zonder voorafgaande en expliciete toestemming van de bezoeker van de webpagina de cookies te accepteren is het niet mogelijk om bepaalde websites te benaderen. Je kunt als eigenaar van een commerciële website echter moeilijk volharden in een ‘alles-of-niets’ beleid waarbij je de bezoeker dwingt of alles te accepteren of helemaal niets. In het laatste geval zal de bezoeker ook geen toegang krijgen tot de website. Dat kan uiteraard nooit de bedoeling zijn. Websites bieden daarom steeds meer een aantal (extra) keuzemogelijkheden aan.

Voorbeelden van websites die dit al hebben geïmplementeerd zijn onder andere NU.nl en de website van de Telegraaf die de bezoekers van haar websites een aantal keuzes voorschotelt. De bezoeker van de website van de Telegraaf heeft de keuze uit drie opties: Standaard, Beperkt en Functioneel. Bij Standaard is de website zonder beperkingen toegankelijk maar geeft de bezoeker ook de meeste gegevens prijs. Bij de keuze Functioneel is de website het minst toegankelijk maar geeft de bezoeker ook de minste gegevens prijs. De keuze Beperkt zit daar tussenin. Bij NU.nl heeft de gebruiker de keuzemogelijkheid om te opteren voor Standaard en Aangepast. Bij de laatste optie kunnen functionele cookies en de cookies die als basis dienen voor de statistieken niet worden uitgeschakeld. Hiervoor is immers geen toestemming van de bezoeker voor nodig.

Wil je als eigenaar van een website geen (uitgebreid) keuzemenu met betrekking tot het gebruik van cookies omdat je vermoed dat bezoekers dan mogelijk zullen afhaken, dan dien je de hierna beschreven extra stappen te doorlopen. Hiermee worden de door Google Analytics verzamelde gegevens minder nauwkeurig maar je voorkomt hiermee een formele overtreding van de AVG.

Extra stap 1
Klik in het Google Analytics dashboard op Accountinstellingen zet alle vinkjes uit met betrekking tot het delen van informatie.

Extra stap 2
Met onderstaande aanpassing regel je dat Google Analytics voortaan de data versleuteld via HTTPS ontvangt:
ga(‘set’, ‘forceSSL’, true);

Extra stap 3
Zorg ervoor dat het IP-adres van de bezoeker niet integraal wordt doorgegeven aan Google Analytics waardoor bijvoorbeeld de (privacygevoelige) locatie wordt meegestuurd met de volgende opdracht:
ga(‘set’, ‘anonymizeIp’, true);

Extra stap 4
Plaats een Privacy Statement op de website. Maak in dit privacy statement zowel op heldere wijze als kort en bondig duidelijk dat je Google Analytics gebruikt. Hierbij dient duidelijk vermeld te worden dat het delen van persoonsgegevens met Google Analytics is geblokkeerd, dat er sprake is van een verwerkingsovereenkomst met Google zodat de website voldoet aan de AVG.

Tot slot

Cookies die niet privacygevoelig zijn, zoals de zogenaamde functionele cookies vereisen geen expliciete toestemming van de bezoeker. Een duidelijke melding op het startscherm van de website volstaat. Functionele cookies bevatten immers geen persoonsgegevens en zijn noodzakelijk voor het goed functioneren van een website, zoals bijvoorbeeld het bewaren van de inhoud van een winkelwagen of de inloggegevens van de bezoeker.