088 - 120 34 00

AVG/GDPR en Google Analytics! Hoe zit dat?

Er is al veel geschreven over de mogelijke impact van de AVG/GDPR (Algemene verordening gegevensbescherming). Deze nieuwe wetgeving gaat in op 25 mei 2018 en vervangt de huidige Wet bescherming persoonsgegevens (Wbp) en heeft gevolgen voor alle organisaties die persoonsgegevens verwerken; in alle waarschijnlijkheid dus ook jouw organisatie. Of je nu ZZP’er bent, behoort tot het MKB, een sportvereniging of multinational.

Graag willen we benadrukken dat dit artikel in geen enkel geval gezien moet worden als een juridische handleiding over hoe je organisatie voor te bereiden op de AVG. Het biedt echter wel inzicht in belangrijke zaken om rekening mee te houden. Onetomarket adviseert dan ook met klem om overleg te plegen met een advocaat of interne juridische afdeling om je organisatie zo goed mogelijk voor te bereiden op de naderende AVG.

Worstel je met de nieuwe wetgeving dan is dit artikel een duidelijk vertrekpunt voor eventuele te nemen stappen.

Waar te beginnen? Bij de Autoriteit Persoonsgegevens!

De Autoriteit Persoonsgegevens (AP) is bij uitstek de meest betrouwbare bron op het gebied van AVG. Wij raden aan om AVG in een notendop en voorbereiding op de AVG door te nemen. Zij hebben dan ook de volgende 10 stappen gepubliceerd en hierdoor de AVG een stuk overzichtelijker en begrijpelijker gemaakt.

AVG is niet zo concreet dat het ingaat op online tools zoals Google Analytics (of natuurlijk Digital Analytics in het algemeen). In de loop van 2018 of begin 2019 zal er nog een verordening worden geïntroduceerd, namelijk de ePrivacy verordening. De ePrivacy Verordening heeft wel een focus op het inzetten van data bij online advertising via o.a. Google, Facebook, Bing, DSP’s, (Web)Analytics en tooling als Data Management Platforms. Ook worden cookiewalls, die je nu nog veel ziet, verboden.

Advies Autoriteit Persoonsgegevens voor Google Analytics

De meeste websites maken gebruik van Google Analytics voor het meten van bezoekersstatistieken. Voor de huidige wetgeving Wbp gaf de AP de volgende handleiding voor het privacyvriendelijk instellen van Google Analytics (maart 2018). Het volgen van deze instructies gaat zorgen voor minder nauwkeurige locatiegegevens, het niet kunnen uitsluiten van medewerkers en het deactiveren van remarketing via Google Analytics.

Let op: deze handleiding is dus niet geüpdate voor de nieuwe wetgeving. Dit is alleen wel het meest concrete document wat nu voorhanden is voor Google Analytics. Voor meer informatie over de 3 verschillende categorieën persoonsgegevens verwijzen wij naar het artikel de gevolgen voor Analytics op Marketingfacts.

Voorbereiding Google Analytics op AVG volgens Google

Google heeft in voorbereiding op de AVG Google Analytics gebruikers via meerdere e-mails geïnformeerd over nieuwe contractwijzigingen, hoe deze te accepteren en twee bijzondere Google Analytics updates. Dit helpt Google te voldoen aan de Europese wetgeving. De nieuwe productupdates en contractwijzigingen Google Analytics in de ontvangen e-mails zijn als volgt.

Productupdate: beheeropties bewaring van gegevens

Google: “Vandaag hebben we gedetailleerde beheeropties voor bewaring van gegevens geïntroduceerd waarmee u kunt beheren hoe lang uw gebruikers- en gebeurtenisgegevens worden bewaard op onze servers. Vanaf 25 mei 2018 worden de gebruikers- en gebeurtenisgegevens bewaard op basis van deze instellingen. Google Analytics verwijdert automatisch gebruikers- en gebeurtenisgegevens die ouder zijn dan de bewaarperiode die u selecteert. Deze instellingen hebben geen invloed op rapporten die zijn gebaseerd op verzamelde gegevens.”.

Deze nieuwe functionaliteit in Google Analytics (Beheer -> Trackinginfo -> Gegevensbehoud) staat standaard op 26 maanden ingesteld. Andere termijnen zijn 14, 38 en 50 maanden en de optie “Niet automatisch verwijderen”. Na het verstrijken van dit termijn vervalt dus data dat wordt verzameld gekoppeld aan cookies, gebruikers-ID en advertentie-ID’s. Het “Gebruiksanalyse-rapport” (Doelgroep -> Gebruiksanalyse) is hier een voorbeeld van. Het is goed om te benadrukken dat de meest gebruikte rapporten (bijv. Acquisitie -> Alle verkeer -> Kanalen) allemaal geaggregeerd zijn (en dus anoniem) en inhoud van deze rapporten blijven bestaan.

Productupdate: verwijderen van gebruikers

Google: “Vóór 25 mei introduceren we ook een nieuwe tool voor het verwijderen van gebruikers. Met deze tool kunt u alle gegevens die zijn gekoppeld aan een individuele gebruiker (bijvoorbeeld een bezoeker van uw site), verwijderen uit uw Google Analytics- en/of Analytics 360-property’s. Deze nieuwe geautomatiseerde tool werkt op basis van de algemene ID’s die worden verzonden naar de Analytics Client-ID (dat wil zeggen de standaard first party cookie van Google Analytics), User ID (indien ingeschakeld) of app-instantie-ID (als u Google Analytics voor Firebase gebruikt). Details zijn binnenkort beschikbaar op onze site voor ontwikkelaars.”

Deze nieuwe functionaliteit in Google Analytics is nog niet beschikbaar. Dit wordt beschikbaar in het gebruiksanalyse (Doelgroep -> Gebruiksanalyse). Dit is een bijzondere tool. Waarom? Elk bezoek aan de website zorgt voor een cookie (met daarin een uniek nummer van de gebruiker) op dat specifieke apparaat, waardoor terugkerende gebruikers worden herkend. Voor het verwijderen van iemand die op de website is geweest heb je dus de Client-ID waarde in die cookie nodig. Het is dus nodig dat de persoon die “vergeten wil worden” deze aanlevert per apparaat dat zij gebruiken.

Contractwijziging / Verwerkingsovereenkomst

Google: “Google heeft updates van onze contractuele voorwaarden voor veel producten doorgevoerd, die de status van Google als gegevensverwerker of gegevensverwerkingsverantwoordelijke weergeven onder de nieuwe wet (zie volledige classificatie van onze advertentieproducten). De nieuwe voorwaarden van de AVG zijn een aanvulling op uw huidige contract met Google en worden 25 mei 2018 van kracht.”

Voor iedereen die dit nog niet gedaan heeft. Zorg dat je in Google Analytics de voorwaarden accepteert. Dit staat onder (Beheer -> Accountinstellingen -> Aanpassing van gegevensverwerking). Hier valt de Aanpassing aan de overeenkomst te bekijken. Het kan zijn dat je dit al eerder gedaan hebt.

Ook heeft Google in de Google Suite (Waar al je gebruikte Google producten te zien zijn) de mogelijkheid gemaakt om een organisatie te registreren. Hier kun je een organisatie maken en vervolgens je contactpersonen die gaan over het waarborgen van de privacy binnen je organisatie toevoegen.

Bestaande features / instellingen van Google Analytics

Google heeft al voordat de AVG werd geïntroduceerd al gericht functies gemaakt om privacy te waarborgen. Zo was het opslaan van PII informatie al verboden. Dit zijn alle gegeven waarmee het mogelijk is om een persoon van een andere te onderscheiden. Bijv. de naam. BSN, geboortedatum, adres, paspoort nummer, medische, financiële en werk informatie.

Google: “In Google Analytics en Analytics 360 blijven verschillende andere functies en beleidsregels voor verzameling, gebruik en retentie van uw gegevens beschikbaar waarmee u de veiligheid van uw gegevens waarborgt. Zo kunnen functies voor aanpasbare cookie-instellingen, privacyopties, instellingen voor delen van gegevens, verwijdering van gegevens bij beëindiging van accounts en anoniem maken van IP-adressen van pas komen wanneer u een inschatting gaat maken van de impact die de AVG heeft op de unieke situatie en Analytics-implementatie van uw bedrijf.”

Bereid je organisatie voor

Nog veel organisaties zijn niet klaar voor 25 mei. Wij adviseren om hier wel mee aan de slag te gaan en de beschikbare verwerkingsovereenkomsten, het stappenplan van de autoriteit persoonsgegevens en de nieuwe Google features te bekijken.

Wanneer er hulp nodig is om bovenstaande functies te activeren en een voorbereid stappenplan voor Google Analytics uit te voeren, neem dan contact met ons op.

Wil je weten hoe Google Analytics is ingericht bij jouw organisatie?