AVG proof met Google Analytics

Hoe zorg je dat je nog steeds statistieken ontvangt in Google Analytics terwijl je ook voldoet aan de AVG? Je leest hier welke instellingen er toe doen, wat je met je cookiemelding moet doen en hoe je niet je historische data verliest.

AVG Proof in Google Analytics: 8 stappen

De AVG gaat in op 25 mei 2018. Google Analytics wordt hier ook door geraakt. Het grootste gedeelte van de gegevens in Google Analytics wordt anoniem verzameld, maar niet alles. Om volledig te voldoen aan de AVG én geen data te verliezen, zal je organisatie nog enkele zaken moeten aanpassen, om te voorkomen dat je ondubbelzinnig en expliciet toestemming moet vragen. Op die manier bescherm je de privacy van je bezoekers, met behoud van belangrijke data om beslissingen op te baseren. Hieronder lees je precies hoe dat werkt en hoe het zit met het plaatsen van cookies. Lukt het niet of heb je hulp nodig? Bel ons even!

Meer achtergrondinformatie lezen over de AVG? Kijk dan eens op onze pagina over de AVG en online marketing.

Sommige instellingen hieronder hebben gevolgen voor rapporten of andere marketing doeleinden zoals remarketing. Als je kiest de instellingen te volgen hieronder, wees je daar dan van bewust. Sla je instellingen over omdat je de gevolgen liever niet hebt? Dan moet je expliciet ondubbelzinnig toestemming vragen van elke bezoeker. Stel jezelf de vraag of bezoekers op je website dit gaan doen. En zorg ervoor dat je website om kan gaan met de toestemmingen. Ofwel: je website moet de juiste meetcode laden op basis van de toestemming die wel of niet verkregen is. Anders loop je kans dat je niets meer meet, wat zonde zou zijn. Met bijvoorbeeld Google Tag Manager of een plug-in valt dit goed en automatisch op te lossen.

Samenvatting: 

  • Je moet actie (laten) ondernemen vóór 25 mei 2018, anders ben je standaard alle data ouder dan 26 maanden onherroepelijk kwijt in je Analytics;
  • Er mag nog steeds veel, maar zorg dat je aan de nieuwe regels voldoet aangaande Google Analytics;
  • Neem beslissingen over wat je wel en niet gebruikt of wilt aanbieden;
  • Controleer dan onderstaande instellingen (1 t/m 7) van Google Analytics voor je site(s);
  • Zorg voor een intelligente cookiemelding;
  • Bel Gladior als je er niet uit komt.

1: De verwerkersovereenkomst met Google

Google verwerkt gegevens van jouw websitebezoekers. Je bent in de zin van de AVG verantwoordelijke. Daarvoor is een verwerkersovereenkomst nodig. Hiermee accepteer je dat jij verantwoordelijk bent voor de verzameling van data (wat ook zo is). Je vindt deze instelling onder Beheer > linker kolom > Accountinstellingen. Scroll naar onderstaand onderdeel en lees en accepteer de overeenkomst. Doe dit vóór 25 mei.

2: Gegevens delen met Google

Je deelt hoogstwaarschijnlijk bepaalde Google Analytics gegevens met Google, bijvoorbeeld zodat ze je kunnen helpen met vragen. In de zin van de AVG betekent dit dat Google niet alleen verwerker is, maar verantwoordelijke wordt. Dat betekent weer dat je expliciet hiervoor toestemming moet vragen aan websitebezoekers voor het gebruik van Google Analytics. Dat is onhandig, want dat kan potentieel veel dataverlies opleveren. Onder Beheer > Account > Accountinstellingen vind je onderstaande vinkjes. Alle vinkjes moeten uit staan als je wilt voldoen aan de AVG.

GA AVG settings

Alle vinkjes moeten uit staan om te voldoen aan de AVG

  • Producten en services van Google: Google heeft toegang tot de gegevens en kan deze analyseren om een beter beeld van het online gedrag en de online trends te krijgen. Deze gegevens kunnen worden gebruikt om de producten en services van Google te verbeteren. Door de functie uit te zetten deel je deze data dus niet meer.
  • Benchmarking: je geeft geen anonieme data meer over de leeftijden, geslacht en interesse van je bezoekers wanneer je de vink verwijdert. Het gevolg is dat demografische gegevens en interesserapporten ook verdwijnen binnen 24 uur. Deze kun je later weer activeren in de rapportweergave zonder dat delen weer actief gezet wordt.
  • Technische ondersteuning: deze instelling kan uit tot het moment dat je het ooit in de toekomst Google nodig hebt voor technische ondersteuning.
  • Accountspecialisten; deze instelling kan uit tot het moment dat je het ooit in de toekomst Google nodig hebt voor verder advies vanuit Google.

3: Anonimiseren van IP-adressen

Google Analytics gebruikt voor bepaalde rapporten onder water IP-adressen. Onder de AVG is een IP-adres een persoonsgegeven. Om dit te verzamelen heb je expliciet toestemming nodig van elke websitebezoeker. Lees: iemand moet bewust zelf een vinkje aanzetten en dit goedkeuren. Dat is niet wenselijk, omdat je Analytics-data cruciaal is voor je (online) bedrijfsvoering. Met een extra instelling kun je IP-adressen anonimiseren, waardoor deze expliciete toestemming niet nodig is. Het vergt waarschijnlijk wel wat hulp van je webbouwer of beheerder van je Google Tag Manager, want dit is een technische aanpassing.

De optie waar we over praten heet _anonymizeIp(). Dit kun je op drie manieren implementeren:

  1. Door een kleine toevoeging aan je Analytics-script (info voor de analytics.js GA tracking code hier, en voor de oude Analytics hier);
  2. Via Google Tag Manager (voorbeeld).
  3. Via een instelling van de Analytics plug-in in je CMS.

Gebruik je nog de (zeer) oude GAQ of GAT tracker? Update dan gelijk naar de nieuwste versie (analytics.js) of naar Google Tag Manager.

Wanneer je dit gedaan hebt, is het slim om een screenshot met datum te maken zodat je dit in je verwerkingsregister kunt bewaren ter bewijs.

Let op: Deze instelling heeft tot gevolg dat je bijvoorbeeld niet meer kunt zien welke bedrijven er op je website zijn geweest. Een optie die in B2B vaak gebruikt wordt.

4: Gegevens voor Advertentiedoeleinden delen

Naast de zaken bij punt 2 zijn is er nog een plek waar gegevens met Google gedeeld kunnen worden. Aan het vinkje benchmarking is namelijk ook onderstaande functie gekoppeld. Ga naar Beheer en klik in de middelste kolom op Property instellingen en je vindt deze optie. Als je het vinkje hebt uitgezet bij benchmarking, staat deze functie ook uit.

Let op: dit staat in verbinding met het vinkje Benchmarking van punt 2. Als je dit bij 2 uitzet gaat de setting in de bovenstaande afbeelding ook uit. Dat heeft tot gevolg dat je ook zelf geen demografische gegevens meer in je rapporten zult zien. Je kunt een dag na het uitzetten van het benchmarking vinkje wel weer deze optie aanzetten en je rapporten werken weer. Het benchmarking vinkje gaat dan echter niet weer aan.

5: Remarketing uitzetten

Onder Beheer > Property  >  Trackinginfo > Gegevensverzameling vinden we ook nog 2 instellingen. Deze hebben met remarketing te maken. Deze dienen uit te staan om standaard Google Analytics metingen te mogen doen. Wij raden kleinere organisaties aan dit standaard uit te zetten. Grotere organisaties of organisaties die sterk afhankelijk zijn van Remarketing, raden we aan deze instellingen aan te vinken, mits ze in hun Analytics- of GTM code remarketing uitschakelen totdat er toestemming gegeven wordt. Dat vergt technisch aanpassingen waarbij je een specialist nodig hebt, om te zorgen dat je wel algemene statistieken meet, ongeacht of er toestemming is voor remarketing. Wordt er toestemming verleend, dan dient de meetcode zich aan te passen in de website. Wanneer mensen dan toestemming geven voor dergelijke (re)marketingcookies, kunnen we wel relevante doelgroeplijsten maken. Overigens is het verstandig na te denken of je de bezoeker iets tegenover remarketing wilt stellen, bijvoorbeeld meer functionaliteit, korting of iets dergelijks.

6: De user-ID functie uitzetten

Google biedt aan om de optie User-ID (Gebruikers-ID in het Nederlands) te gebruiken. Ze zeggen hier zelf over: “Aan de hand van de User ID kunt u betrokkenheidsgegevens van verschillende apparaten en meerdere sessies koppelen, zodat u kunt zien hoe gebruikers gedurende een langere periode met uw content omgaan.” Veelal gebruiken websites of -shops dit als er sprake is van logins. Je kunt dan herkend worden op elk device waarop je inlogt.

Voor deze functie heb je expliciete toestemming nodig. Controleer onder Beheer > middelste kolom > Trackinginfo > Gebruikers-ID of jouw website hier gebruik van maakt.

7: Bewaarperiode instellen

Onder de AVG moet de wettelijke bewaarperiode worden genoemd in de registratie van de verwerking van gegevens. Een cookiemelding is meestal de verwerking melding, dus hier zul je de data bewaarperiode moeten vermelden. Die instelling vind je ook in Google Analytics. De AVG zegt: data mag niet langer bewaard worden dan nodig. Vervolgvraag is natuurlijk: wat is de definitie van “nodig”? Bijvoorbeeld: Om trends over seizoenen in kaart te brengen is minimaal zo’n 3 jaar nodig.

De keuze die Google Analytics biedt is in 1 tot 4 jaar (+2 maanden) of onbeperkt;

  • 14 maanden
  • 26 maanden
  • 38 maanden
  • 50 maanden
  • Onbeperkt

Onder Beheer > middelste kolom > Trackinginfo > Gegevensbehoud is deze instelling te vinden. Standaard staat dit op 26 maanden ingesteld. Let op: Vanaf 25 mei zal Google alle data uit je Google Analytics account automatisch verwijderen die ouder is dan 26 maanden. Wil je dit niet, pas dan snel deze instelling aan.

8: De opt-out functie aanbieden

De Autoriteit Persoonsgegevens adviseert om bezoekers ook een opt-out mogelijkheid te bieden voor Google Analytics. Hiervoor moet je iets toevoegen aan de code van je website. Google heeft hier een beschrijving over User-opt-out online staan. Ze zeggen er zelf dit over: “The analytics.js library includes a window property that, when set to true, disables analytics.js from sending data to Google Analytics. When Google Analytics attempts to set a cookie or send data back to the Google Analytics servers, it will check whether this property is set to true. If it is, no action will be taken.

Deze optie is niet verplicht maar wel netjes. (Weetje: Google biedt ook een optie voor individuen om alle Google Analytics metingen te weigeren, middels een Chrome browser add-on.)

Hoe zit het met cookies?

Met bovenstaande stappen mag je Google Analytics gebruiken zonder verdere toestemming onder de AVG. Zo is de privacy van de gebruiker gewaarborgd, en kunnen organisaties nog steeds analyses uitvoeren op anonieme, geaggregeerde data. Win-win dus! Nog steeds moet je bezoekers er wel op wijzen dat je het gebruikt, bijvoorbeeld via een privacy statement en met een cookiemelding. Het is aan te bevelen dat je het volgende meldt:

  • Gebruik van Google Analytics en bijhorende cookies;
  • Dat je een Verwerkersovereenkomst met Google hebt;
  • Dat je IP-adressen anonimiseert;
  • Dat je de optie ‘gegevens delen’ hebt uitgezet en geen gebruik maakt van andere Google diensten in combinatie met de Google Analytics.

Er zijn drie varianten website cookies. Een deel daarvan ‘mag’ altijd gebruikt worden, ook zonder toestemming. Voor andere geldt dat niet.

1) Functionele cookies mogen
Je mag cookies inzetten als de site anders niet goed doet wat hij moet doen. Zonder cookies is bijvoorbeeld inloggen vaak niet mogelijk en werken webwinkelwagen of taalkeuzen niet.

2) Analytische cookies mogen beperkt
Je mag ook cookies inzetten die helpen je website te verbeteren. Zulke cookies mogen geen gevolgen hebben voor de privacy van bezoekers onder de AVG (waar dit artikel over gaat).

3) Alle andere cookies mogen alleen als je vooraf expliciete toestemming vraagt van bezoekers
Zijn cookies niet nodig voor een goede werking van de site? Of leveren ze ‘risico’ op voor de privacy van bezoekers? Dan moet je de bezoekers toestemming vragen voordat je zulke cookies plaatst. Dit geldt voor veel trackers, zoals die van Facebook, Linkedin en remarketing. Check eerst hoe het zit met de trackers die je wilt gebruiken, voordat je deze plaatst. Een handige (gratis) plug-in om te controleren welke trackers jouw website nu al zet, is bijvoorbeeld Ghostery. Soms ontdek je daar ook mee dat er zaken in je website zitten waarvan je niet wist dat ze cookies of trackers plaatsen. Bijvoorbeeld AddThis en zo’n plugin.

Zorg voor een intelligente cookiemelding

Zoals je ziet, kun je voor een aantal zaken toestemming vragen, die vanuit marketing oogpunt erg interessant kunnen zijn. De basis moet goed ingericht zijn om te zorgen dat ook zonder extra toestemmingen je statistieken in Google Analytics kunt verzamelen. Je website moet je hier dus op aanpassen. Dat betekent dat je website de gegeven toestemmingen correct afhandelt en de meetcode juist inlaadt. Of dat je Google Tag Manager gaat gebruiken (wat onze voorkeur heeft) en het via die weg regelt. Staat je website of -shop in de cloud? Bijvoorbeeld bij CCVshop of Lightspeed? Informeer dan eerst even wat zij al geregeld hebben inzake de informatie op deze pagina.

Een simpele statische cookiemelding volstaat niet meer. Je zult een intelligente cookiemelding moeten hebben. Deze zal ook toestemmingen moeten vastleggen en dan pas de toegestane cookies zetten. En de website (en je meetcode) moet daar dan op reageren. Als je een cookiemelding gebruikt welke kan communiceren met Google Tag Manager dan zijn veel zaken goed en overzichtelijk te automatiseren. Maak het jezelf, waar mogelijk, makkelijk en gebruik slimme plug-ins in plaats van handmatige oplossingen door te voeren. Er zullen vervolgstappen komen en later dit jaar staat ook de nieuwe telecomwet op stapel.

Succes!

Met het volgen van deze stappen ben je AVG proof en staat de privacy van je gebruiker hoog in het vaandel, terwijl de statistieken van je website op peil blijven en betrouwbaar genoeg blijven om beslissingen op te nemen. Wel zo belangrijk!

Mocht je hulp of advies nodig hebben of heeft je webbouwer hulp nodig? Bel ons dan even of stuur een email naar info@gladior.com

Laat je emailadres achter en we nemen z.s.m. contact met je op