Je Google Analytics implementatie voldoet niet aan de AVG

Hoewel je het misschien niet beseft, verwerk je met de analytische cookies van Google Analytics persoonsgegevens. Dat is op zichzelf in principe geen probleem. Het ‘probleem’ ontstaat pas bij het feit dat je daar toestemming voor moet vragen. Waarschijnlijk doe je dat momenteel nog niet of deel je het gebruik van Google Analytics simpelweg mede. Vraag je wél om toestemming, dan zul je intussen al gemerkt hebben dat maar weinig bezoekers zich geroepen voelen om die daadwerkelijk te verlenen. En dat terwijl je met Google Analytics toch echt álle bezoekers wilt meten, niet enkel diegenen die toestemming geven. Gelukkig is er een oplossing…

Standaard voldoet een Google Analytics implementatie niet aan de AVG

Joep Bogaers Eigenaar

De oplossing: Google Analytics privacyvriendelijk instellen

Het is mogelijk om de gegevens van je bezoekers te ‘anonimiseren’. Tevens kun je voorkomen dat hun gegevens gedeeld worden. Als je dat op de juiste manier doet, dan wordt – ondanks het gebruik van Google Analytics – de privacy van je bezoekers gewoon gewaarborgd. Het is echter wel de bedoeling dat je hen hierover informeert, bijvoorbeeld in je privacyverklaring. Geef daarbij aan dat je:

  1. cookies van Google Analytics gebruikt;
  2. een verwerkersovereenkomst met Google hebt gesloten;
  3. het laatste octet van IP-adressen maskeert;
  4. ‘gegevens delen’ hebt uitgezet;
  5. geen andere diensten van Google gebruikt in combinatie met cookies van Google Analytics.

Hoe je puntje 2 t/m 5 daadwerkelijk inregelt, laat ik zien in het stappenplan dat nu volgt.

Stappenplan Google Analytics AVG-compliant implementeren

1. Verwerkersovereenkomst sluiten met Google

Bij het gebruik van Google Analytics ben jij volgens de AVG de ‘verwerkingsverantwoordelijke’ en dien je een verwerkersovereenkomst te sluiten met de ‘verwerker’, Google. Gelukkig is dat erg eenvoudig te regelen:

  1. Klik binnen de juiste dataweergave links onderaan op ‘BEHEERDER’
  2. Klik in de eerste kolom bovenaan op ‘Accountinstellingen’
  3. Scroll naar beneden tot het kopje ‘Aanpassing van de gegevensverwerking’
  4. Klik op ‘Aanpassing bekijken’ óf ‘Geüpdatet amendement’ gevolgd door ‘Akkoord’
Google Analytics verwerkersovereenkomst accepteren
Eigenaar Joep (blauw patroon)
Aangenaam 👋 Ik ben Joep

Hulp nodig met
Google Analytics?

Neem contact op om jouw Google Analtyics privacyvriendelijk te laten instellen. 

Ik help je graag, dus waarom niet?

2. Geen gegevens delen met Google

Standaard worden er de nodige gegevens gedeeld met Google. Wijzig je deze standaardinstellingen niet, dan treedt Google niet meer alleen op als verwerker, maar ook als verwerkingsverantwoordelijke. En dan is er toestemming nodig van je bezoekers. Om dat te voorkomen, vink je in dezelfde ‘Accountinstellingen’ tab alle opties uit en klik je op ‘Opslaan’.

Geen gegevens delen met Google

3. Geen gegevens delen voor advertentiedoeleinden

Zelfs nu de betreffende opties zijn uitgevinkt, kan Google nog steeds gegevens van je bezoekers gebruiken. Niet voor de hierboven genoemde doeleinden, maar voor advertentiedoeleinden. Ook dat is te voorkomen:

  1. Klik wederom links onderaan op ‘BEHEERDER’
  2. Klik in de tweede kolom op ‘Trackinginfo’ gevolgd door ‘Gegevensverzameling’
  3. Zet beide opties uit en klik op ‘Opslaan’
Geen gegevens delen voor advertentiedoeleinden

4. Niet de functie voor User ID’s inschakelen

Het is mogelijk om het surfgedrag van je bezoekers over verschillende sessies en apparaten te koppelen. Ook daar moeten zij echter toestemming voor geven. Dit kun je gemakkelijk voorkomen:

  1. Klik twee regels onder ‘Gegevensverzameling’ op ‘Gebruiker-ID’
  2. Zorg ervoor dat deze optie uit staat
Functie user ID's niet inschakelen

5. IP-adressen laten anonimiseren door Google

Je hebt inmiddels de nodige privacy-maatregelen getroffen binnen Google Analytics. Daarmee zijn we er helaas nog niet. Hiervoor moet eerst op je site zelf een klein stukje code worden toegevoegd aan het ‘trackingcodefragment’. Standaard geeft dat codefragment namelijk het volledige IP-adres van je bezoekers door aan Google Analytics. Volgens de AVG is dit echter een persoonsgegeven, dus willen we voorkomen dat de complete IP-adressen zomaar met Google worden gedeeld. Gelukkig is het mogelijk om het vierde (en laatste) ‘octet’ van een IP-adres te verwijderen, nog vóórdat het wordt doorgegeven. Hoewel het resterende ‘geanonimiseerde’ deel in principe nog steeds een persoonsgegeven is, verkleint deze maatregel de risico’s dusdanig dat je geen toestemming nodig hebt van je bezoekers. Om hun IP-adres inderdaad te anonimiseren, hoef je enkel als volgt het vetgedrukte deel toe te voegen aan je trackingcodefragment:

<!– Global Site Tag (gtag.js) – Google Analytics –>
<script async src=”https://www.googletagmanager.com/gtag/js?id=JE_TRACKING_ID”></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‘js’, new Date());
gtag(‘config’, ‘JE_TRACKING_ID’ , { ‘anonymize_ip’: true });
</script>

Moeite met de AVG-compliant?

Moeite met het AVG-compliant implementeren van Google Analytics?