Google Analytics Privacyvriendelijk instellen

Met de komst van Google Analytics 4 is is er het een en ander verandert als het aankomt op privacy. Je kunt Google Analytics zo instellen dat er geen voorafgaande toestemming benodigd is (door middel van een cookie banner) van de gebruiker. Dit komt omdat GA4 geen ip adressen meer verzameld.

Let op: gebruik je Google Analytics 4 in combinatie met andere Google producten zoals Signals of Ads, dan deelt GA4 data en zul je net behulp van een cookiemelding wel toestemming moeten vragen voor het plaatsen van cookies.

Onder de AVG moet je expliciet toestemming krijgen van websitegebruikers voor het delen van hun gegevens tussen andere Google-producten zoals Google Signals of Google Ads. De toestemming moet worden gegeven VOORDAT het delen van gegevens van kracht werd. Bovendien moet in het privacybeleid van je website duidelijk worden vermeld dat privégegevens van gebruikers kunnen worden gedeeld met andere Google-producten.

Deze cookies worden dan ingedeeld in de categorie “statistiche cookies” waar toestemming voor nodig is.

De Autoriteit Persoonsgegevens heeft een PDF document gepubliceerd waarin uitgelegd wordt waar je Google instellingen én je privacyverklaring aan moeten voldoen. (Deze is echter niet up to date en gaat nog over de oude Google Analytics).

Wil je Google Analytics privacyvriendelijk instellen lees hieronder dan de stappen die je dient te nemen:

1. Sluit een bewerkersovereenkomst met Google

Dit vind je onder het account in de beheeromgeving van Google Analytics.

Als Google Analytics 4 gegevens verzamelt, worden er geen IP-adressen geregistreerd of opgeslagen in Analytics.

  • Analytics verwijdert alle IP-adressen die van gebruikers in de EU worden verzameld voordat die gegevens worden geregistreerd via domeinen en servers in de EU.

Analytics biedt daarnaast opties om:

  • Verzameling van gegevens van Google-signalen per regio uit te zetten
  • Verzameling van gedetailleerde locatie- en apparaatgegevens per regio uit te zetten

Analytics registreert geen IP-adressen

Google Analytics 4 registreert of bewaart geen afzonderlijke IP-adressen.

Analytics levert wel geschatte geolocatiegegevens door de volgende metadata af te leiden van IP-adressen: plaats (en de afgeleide breedtegraad en lengtegraad van de stad), continent, land, regio, subcontinent (en op ID gebaseerde tegenhangers). Voor verkeer in de EU worden IP-adresgegevens alleen gebruikt om geolocatiegegevens af te leiden voordat deze onmiddellijk worden verwijderd. De gegevens worden niet opgeslagen, zijn niet toegankelijk en worden niet gebruikt voor andere toepassingen.

Als Analytics meetgegevens verzamelt, worden alle IP-lookups uitgevoerd op servers in de EU voordat verkeer wordt doorgestuurd naar Analytics-servers voor verwerking.

2. EU-gegevens worden verzameld in de EU

Google Analytics 4 verzamelt alle gegevens van apparaten in de EU (op basis van IP-geo-lookup) via domeinen en op servers in de EU voordat verkeer wordt doorgestuurd naar Analytics-servers voor verwerking.

Als je momenteel een Content Security Policy (CSP) gebruikt, updatet dan je configuraties (img-src- en connection-src-instructies) zodat de volgende domeinen worden toegestaan door Analytics:

  • *.google-analytics.com
  • *.analytics.google.com

3. Gegevensverzameling

In GA4 beheer zet je onder gegevensinstrellingen het verzamelen van gedetailleerde locatiegegevens en apparaatgegevens uit.

4. Houd rekening met de beslissing van de rechtbank dat het EU-VS-privacyschildkader ongeldig is verklaard.

Op 12 juli 2016 is het EU-VS-privacyschild in werking getreden als kader voor het regelen van de transatlantische uitwisseling van persoonsgegevens in overeenstemming met gegevensbeschermingsnormen. Het EU-VS-privacyschild verloor echter zijn geldigheid op 16 juli 2020.

Het Trans-Atlantic Data Privacy Framework (TADPF), een nieuwe voorgestelde regeling voor gegevensoverdracht, bevindt zich momenteel in de onderhandelingsfase en zou eind 2022 gereed moeten zijn (is het niet). Er zijn momenteel geen overeengekomen regels voor gegevensverkeer tussen de EU en de VS.

Vooralsnog is GA4 niet volledig GDPR-compliant. Zelfs met de toevoeging van alle bovengenoemde op privacy gerichte functies, is GA4 er nog steeds niet in geslaagd de Europese toezichthouders voor zich te winnen. Google heeft de gegevensbescherming tussen de EU en de VS nog niet gereguleerd na de ongeldigverklaring van de Privacy Shield-overeenkomst in 2020. Het bedrijf biedt nu onvoldoende bescherming tegen de Amerikaanse toezichtwetgeving voor de gegevens van EU-burgers en -ingezetenen. Er is geen methode in GA4 om gegevensopslag binnen de EU te garanderen of om een specifieke regionale opslaglocatie te kiezen. Gebruikers worden ook niet door Google geïnformeerd over locaties voor gegevensopslag of -overdracht buiten de EU. Dit is in strijd met de AVG en het gegevensverwerkingscontract met Google over een beperkte overdracht van gegevens lost het probleem slechts gedeeltelijk op.

5. Bezoekers goed informeren over het gebruik van Google Analytics en een opt-out bieden

In de privacyverklaring moet in ieder geval terug komen dat:

  • je een bewerkersovereenkomst met Google hebt afgesloten.
  • de gegevens versleuteld en anoniem verwerkt worden.
  • je ‘gegevens delen’ met Google hebt uitgezet.
  • de Google Analytics-cookies niet worden gebruikt in combinatie met andere diensten van Google, zoals DoubleClick en AdWords.
  • welke Google Analytics-cookies geplaatst worden, met welk doel en wanneer deze verwijderd worden. Gebruik je andere tools en advertentieplatformen? Dan zal ook van deze de cookies op dezelfde manier het doel, tijdsduur en verantwoordelijke beschreven moeten worden.

Tip: bewaar een schermafdruk met daarop datum/tijd van het moment dat je bovenstaande aanpassingen hebt doorgevoerd. Hiermee kun je namelijk altijd aantonen wanneer je deze privacyvriendelijke maatregelen hebt toegepast.

De AP adviseert om bezoekers ook nog een opt-outmogelijkheid te bieden voor Google Analytics.

6. Google Analytics en CookieInfo

Als je alle stappen hebt doorlopen om Google Analytics privacy vriendelijk in te stellen zijn er een aantal opties in combinatie met CookieInfo die er voor zorgen dat de analytische cookies (altijd) geladen worden. Hieronder de mogelijkheden met onze CookieInfo oplossing:

Cookiebot’s integratie met de Google Consent Mode (beta) zorgt ervoor dat de privacy keuzes van je bezoekers gerespecteerd worden met minimale impact op je website’s advertentie-gebaseerde omzet, statistieken en meer. Als je Google’s Gtag of Google Tag Manager (GTM) al gebruikt adviseren we dat je Google Consent Mode (beta) integratie implementeert op je website om er zeker van te zijn dat Google services optimaal worden gebruikt. Onderstaande configuratie is gebaseerd op implementatie middels Gtag.js en “web” containers in GTM van de volgende Google services:

  • Google Ads (inclusief Google Ads Conversion Tracking and Remarketing)
  • Floodlight
  • Google Analytics

Meer over Google Consent Mode lees je hier:

Knowledge base artikel: Cookiebot en Google Consent Mode (beta)

Blog: Google Consent Mode (beta) en Cookiebot – kansen voor online marketing

Als je de gebruikers een opt-out wil bieden laat je de consent via de CookieInfo oplossing lopen. Analytische cookies worden geladen nadat de gebruiker zijn consent gegeven heeft bij ten minste de categorie Statistieken.

Optie 3. De CookieInfo oplossing niet gebruiken bij GA cookies

Door de tag: data-cookieconsent=”statistics” NIET toe te passen op je GA script wordt deze niet door de cookiemanager verwerkt. De cookie zal dan ook gewoon geladen worden en je analytische gegevens verzameld worden. Dit geheel volgens de AVG (als je bovenstaande stappen hebt ingeregeld). Alle cookies worden natuurlijk nog steeds gevonden door de Cookiescanner en worden dan ook weergegeven in je cookieverklaring.
Met deze methode kan je de gebruikers geen opt-out bieden via de CookieInfo oplossing. Je zal ze dan moeten verwijzen naar bijvoorbeeld de Google Analytics Opt-out Browser Add-on**
Neem dit wel op in je Privacy verklaring.

Let op: je meetgegevens kunnen afwijken. Dit komt door het feit dat alle cookies, met uitzondering van session cookies voorzien van de HttpOnly flag, opnieuw worden geplaatst na het geven/aanpassen van een consent. Dit is ‘by design’. Op het moment dat de consent is gegeven wordt dit vastgelegd in het log. Door cookies opnieuw te plaatsen ligt onomstotelijk vast dat je cookies pas hebt geplaatst na het geven van een consent. Hierdoor kan het volgende optreden:

  • Een gebruiker bezoekt je website en een GA cookie wordt geplaatst.
  • De gebruiker geeft consent op je website
  • De cookies worden opnieuw geplaatst
  • De gebruiker krijgt een nieuw GA cookie geplaatst met een ander ID

Optie 4. De Google Analytics cookies aanmerken als “noodzakelijk”

Je kan er ook voor kiezen om de cookies van Google Analytics in de categorie “noodzakelijk” te plaatsen. Noodzakelijke cookies worden altijd geladen bij een bezoek aan je website, hiervoor hoeft immers geen voorafgaande toestemming gevraagd te worden aan de bezoekers. Als je alle stappen hebt doorlopen geef je dit aan ons door en wij zullen de cookies in de categorie “noodzakelijk” plaatsen. Geef je analytics code wel een andere tag mee (data-cookieconsent=”necessary”) of verwijder de tag helemaal. Met deze methode kan je de gebruikers geen opt-out bieden via de CookieInfo oplossing, noodzakelijke cookies worden immers altijd geladen. Je zal ze dan moeten verwijzen naar bijvoorbeeld de Google Analytics Opt-out Browser Add-on**
Neem dit wel op in je Privacy verklaring.

**De add-on voorkomt dat de JavaScript-code van Google Analytics (ga.js, analytics.js en dc.js) die op websites wordt uitgevoerd, informatie over bezoekactiviteit deelt met Google Analytics.
Het gebruik van de Google Analytics Opt-out Browser Add-on voorkomt niet dat site-eigenaren andere tools gebruiken om site-statistieken te meten. De Google Analytics Opt-out Browser Add-on voorkomt niet dat er gegevens naar de website zelf worden verzonden, of dat gegevens op andere manieren naar verschillende services voor webanalyse worden verzonden.

Probeer nu 14 dagen gratis Cookiebot

Cookie scanner, cookie banner, cookieverklaring en cookie toestemming in één.

  • Cookies op je website gebruiken volgens AVG, ePrivacy en cookie wetgeving
  • Cookiebeheer volledig geautomatiseerd
  • Cookie banner op basis van jouw huisstijl
  • Automatisch opgestelde cookieverklaring, altijd up to date

De Cookiebot oplossing draait op 1.4 miljoen Websites, beheert 5.2 miljard maandelijkse User Consents en Ondersteunt 47+ talen.