Als je Google Analytics gebruikt kan je deze zo instellen dat er geen voorafgaande toestemming benodigd is van de gebruiker.

De Autoriteit Persoonsgegevens heeft een document gepubliceerd waarin uitgelegd wordt waar je Google instellingen én je privacyverklaring aan moeten voldoen.

Hieronder de stappen die je dient te nemen:

1. Sluit een bewerkersovereenkomst met Google

Dit vind je onder het account in de beheeromgeving van Google Analytics.

2. Maak IP-adressen anoniem

Dit kun je doen door een extra stukje code toe te voegen in je trackingcode van Google Analytics. Meer informatie lees je op de pagina anonimiseren van IP-adressen in Analytics.

<!-- Global site tag (gtag.js) - Google Analytics -->
<script async src="https://www.googletagmanager.com/gtag/js?id=UA-xxxxxxxx-xx"></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag('js', new Date());
gtag('config', 'UA-xxxxxxxx-xx',{ 'anonimize_ip':true});
</script>

Gebruik je Google Tag Manager? In de ‘Google Analytics Tag’ onder ‘Meer instellingen’ kun je ‘anonymizeIp‘ op ‘true‘ zetten.

3. Gegevens delen met Google uitzetten

Zet onder ‘Account’ de vinkjes uit voor het delen van gegevens met Google. Als je deze vinkjes laat staan, dan ga je ermee akkoord dat Google de gegevens van je bezoekers gaat gebruiken voor eigen doeleinden, bijvoorbeeld voor het verbeteren van hun eigen producten en diensten. Hierdoor is Google naast een bewerker ook een verantwoordelijke. Je moet dan namens Google toestemming vragen aan je bezoekers voor het verwerken van persoonsgegevens met Analytics-cookies

4. Gegevens delen met Google voor advertentiedoeleinden uitzetten

Zet op Property-niveau van je Analytics-account (onder ‘Trackinginfo – Gegevensverzameling’) ‘Gegevens verzamelen voor advertentiefuncties’ uit. Dit moet je doen bij zowel ‘Remarketing’ als bij ‘Rapportagefuncties voor advertenties’.

5. Niet per ongeluk de functie voor User ID’s inschakelen

Google biedt de mogelijkheid om surfgedrag van verschillende apparaten en meerdere sessies te koppelen. Dit mag alleen met voorafgaande toestemming van gebruikers. Controleer daarom of deze instelling niet per ongeluk staat ingeschakeld. Ga naar Property-instellingen -> Tracking info -> User ID -> Check of de optie uitstaat of zet hem uit.

6. Bezoekers goed informeren over het gebruik van Google Analytics en een opt-out bieden

In de privacyverklaring moet in ieder geval terug komen dat:

  • je een bewerkersovereenkomst met Google hebt afgesloten.
  • de gegevens versleuteld en anoniem verwerkt worden.
  • je ‘gegevens delen’ met Google hebt uitgezet.
  • de Google Analytics-cookies niet worden gebruikt in combinatie met andere diensten van Google, zoals DoubleClick en AdWords.
  • welke Google Analytics-cookies geplaatst worden, met welk doel en wanneer deze verwijderd worden. Gebruik je andere tools en advertentieplatformen? Dan zal ook van deze de cookies op dezelfde manier het doel, tijdsduur en verantwoordelijke beschreven moeten worden.

Tip: bewaar een schermafdruk met daarop datum/tijd van het moment dat je bovenstaande aanpassingen hebt doorgevoerd. Hiermee kun je namelijk altijd aantonen wanneer je deze privacyvriendelijke maatregelen hebt toegepast.

De AP adviseert om bezoekers ook nog een opt-outmogelijkheid te bieden voor Google Analytics.

7. Google Analytics en CookieInfo

Als je alle stappen hebt doorlopen om Google Analytics privacy vriendelijk in te stellen zijn er een aantal opties in combinatie met CookieInfo die er voor zorgen dat de analytische cookies (altijd) geladen worden. Hieronder de mogelijkheden met onze CookieInfo oplossing:

Optie 1. Laden na het geven van consent op statistieken

Als je de gebruikers nog steeds een opt-out wil bieden laat je de consent via de CookieInfo oplossing lopen. Analytische cookies worden geladen nadat de gebruiker zijn consent gegeven heeft bij ten minste de categorie Statistieken. Je kan er voor kiezen het vinkje van statistieken standaard aangevinkt te hebben staan (of alle vinkjes) zodat de gebruiker deze eerder zou accepteren. Of dit echter volledig AVG-Proof is wordt nog steeds betwist.

 

Optie 2. De CookieInfo oplossing niet gebruiken bij GA cookies

Door de tag: data-cookieconsent=”statistics” NIET toe te passen op je GA script wordt deze niet door de cookiemanager verwerkt. De cookie zal dan ook gewoon geladen worden en je analytische gegevens verzameld worden. Dit geheel volgens de AVG (als je bovenstaande stappen hebt ingeregeld). Alle cookies worden natuurlijk nog steeds gevonden door de Cookiescanner en worden dan ook weergegeven in je cookieverklaring.
Met deze methode kan je de gebruikers geen opt-out bieden via de CookieInfo oplossing. Je zal ze dan moeten verwijzen naar bijvoorbeeld de Google Analytics Opt-out Browser Add-on**
Neem dit wel op in je Privacy verklaring.

Let op: je meetgegevens kunnen afwijken. Dit komt door het feit dat alle cookies, met uitzondering van session cookies voorzien van de HttpOnly flag, opnieuw worden geplaatst na het geven/aanpassen van een consent. Dit is ‘by design’. Op het moment dat de consent is gegeven wordt dit vastgelegd in het log. Door cookies opnieuw te plaatsen ligt onomstotelijk vast dat je cookies pas hebt geplaatst na het geven van een consent. Hierdoor kan het volgende optreden:

  • Een gebruiker bezoekt je website en een GA cookie wordt geplaatst.
  • De gebruiker geeft consent op je website
  • De cookies worden opnieuw geplaatst
  • De gebruiker krijgt een nieuw GA cookie geplaatst met een ander ID

Optie 3. De Google Analytics cookies aanmerken als “noodzakelijk”

Je kan er ook voor kiezen om de cookies van Google Analytics in de categorie “noodzakelijk” te plaatsen. Noodzakelijke cookies worden altijd geladen bij een bezoek aan je website, hiervoor hoeft immers geen voorafgaande toestemming gevraagd te worden aan de bezoekers. Als je alle stappen hebt doorlopen geef je dit aan ons door en wij zullen de cookies in de categorie “noodzakelijk” plaatsen. Geef je analytics code wel een andere tag mee (data-cookieconsent=”necessary”) of verwijder de tag helemaal. Met deze methode kan je de gebruikers geen opt-out bieden via de CookieInfo oplossing, noodzakelijke cookies worden immers altijd geladen. Je zal ze dan moeten verwijzen naar bijvoorbeeld de Google Analytics Opt-out Browser Add-on**
Neem dit wel op in je Privacy verklaring.

**De add-on voorkomt dat de JavaScript-code van Google Analytics (ga.js, analytics.js en dc.js) die op websites wordt uitgevoerd, informatie over bezoekactiviteit deelt met Google Analytics.
Het gebruik van de Google Analytics Opt-out Browser Add-on voorkomt niet dat site-eigenaren andere tools gebruiken om site-statistieken te meten. De Google Analytics Opt-out Browser Add-on voorkomt niet dat er gegevens naar de website zelf worden verzonden, of dat gegevens op andere manieren naar verschillende services voor webanalyse worden verzonden.

Delen