Een van de populaire tools voor het analyseren van websiteverkeer en gebruikersgedrag is Google Analytics. Maar mag je eigenlijk Google Analytics-cookies plaatsen op je website zonder de toestemming van gebruikers in Nederland? Laten we dit eens nader bekijken.
De Algemene Verordening Gegevensbescherming (AVG)
In Nederland, en eigenlijk in de gehele Europese Unie, wordt gegevensbescherming gereguleerd door de Algemene Verordening Gegevensbescherming, oftewel de AVG. (vertaald: General Data Protection Regulation – GDPR) Deze verordening heeft tot doel de privacy van individuen te beschermen en de verwerking van persoonlijke gegevens te reguleren.
Er zijn 3 soorten cookies:
- Essentiële (strikt noodzakelijke) cookies
- Analytische cookies
- Tracking cookies
Volgens de AVG moeten websitebeheerders over het algemeen toestemming verkrijgen voordat ze cookies plaatsen die persoonlijke gegevens verzamelen, tenzij de cookies strikt noodzakelijk zijn voor de werking van de website. Google Analytics-cookies vallen niet onder de categorie “strikt noodzakelijk”, omdat ze gegevens verzamelen voor statistische analyse en rapportage.
Maar van de ACM mag het!
Op de website van de ACM staat het volgende: Analytische cookies met weinig gevolgen voor de privacy van bezoekers, mag u zonder toestemming plaatsen. U moet wel vertellen dat u ze plaatst. Voor privacygevoelige analytische cookies is toestemming verplicht. (bron: acm)
Gezien bijna 80% van de omzet van Google uit advertenties en profiel opbouw komt, is Google Analytics privacy gevoelig.
Maar ik heb Google Analytics (GA4) volledig privacy vriendelijk ingesteld
Wanneer je GA4 gebruikt, is het belangrijk om de tool zo privacy vriendelijk mogelijk in te stellen. Dit betekent het minimaliseren van de gegevens die worden verzameld en gedeeld. Het klopt dat door IP-anonimisering we websitebezoekers niet direct kunnen herkennen aan hun IP-adressen. De IP-adressen worden wel gebruikt om locatie gegevens te geven, maar daarna verwijdert Google de IP-adressen.
GA4 werkt ook door een unieke code (client-ID) te geven aan websitebezoekers. Deze code helpt om verschillende bezoekers te onderscheiden en hun interacties te volgen. De client-ID hangt af van de bezoeker, de bezochte website en het gebruikte apparaat. Dit betekent dat als iemand dezelfde website twee keer bezoekt met verschillende apparaten, GA4 niet herkent dat het dezelfde persoon is.
Hetzelfde geldt als een websitebeheerder meerdere domeinen heeft. Als een bezoeker twee verschillende domeinen van dezelfde beheerder bezoekt, kan de beheerder niet zien dat het om dezelfde bezoeker gaat. Met alleen de client-ID is het dus niet mogelijk om bezoekers over verschillende websites te volgen. Daarnaast verzamelt GA4 ook extra gegevens over hoe de bezoeker met de website omgaat, wanneer ze de website bezoeken en welke browser ze gebruiken.
Twee functies van GA4.
Met alleen een client-ID kan je dus geen websitebezoekers volgen over verschillende websites.
Google heeft echter twee functies ontwikkeld waarmee dit wel mogelijk is.
- Ten eerste kunnen websitebeheerders in GA4 een websitebezoeker koppelen aan hun inloggegevens met een “user-ID”. Hierdoor kunnen ze bezoekers op verschillende domeinen herkennen als dezelfde persoon, wat cross-domain tracking mogelijk maakt.
- Ten tweede biedt GA4 de optie om gegevens van websitebezoekers te koppelen aan Google-accounts via Google Signals. Dit werkt alleen als bezoekers zijn ingelogd op Google Chrome en de functie voor gepersonaliseerde advertenties hebben ingeschakeld. Met Google Signals kunnen websitebeheerders zien hoe bezoekers op verschillende apparaten met de website omgaan. Daarnaast verzamelt GA4 extra demografische gegevens en interesses van gebruikers die zijn ingelogd op hun Google-accounts en hun advertenties hebben gepersonaliseerd.
Dit is een belangrijk aandachtspunt voor website-eigenaren, omdat het betekent dat zelfs als je de tool op een privacy vriendelijke manier configureert, Google nog steeds gegevens kan ontvangen en gebruiken voor hun eigen doeleinden, zoals profilering. (Digitale vingerafdrukken worden beschouwd als persoonlijke gegevens als ze kunnen worden gebruikt om een individu te identificeren. Dit betekent dat ze alleen kunnen worden verzameld met toestemming en dat gebruikers het recht hebben om te weten welke gegevens worden verzameld en waarom. Zie onze blog over fingerprinting)
Conclusie
Vanuit privacy bekeken (dus niet vanuit AVG) zijn we van mening dat een analytische cookie niet een strikt noodzakelijke cookie is. En daarvoor dus toestemming nodig is. Je kan namelijk als bezoeker niet beoordelen of de website eigenaar de instellingen goed heeft staan om jouw gegevens anoniem te verwerken. De enige manier om de bezoeker controle te geven over zijn persoonsgegevens is dan om toestemming te vragen voor plaatsing van deze cookies.
Vanuit de AVG bekeken mag je een analytische cookie plaatsen zonder toestemming wanneer deze cookies slechts worden gebruikt om de kwaliteit of effectiviteit van een website te meten, mits de informatie niet wordt gebruikt om profielen op te stellen om daar vervolgens bijvoorbeeld advertenties mee te personaliseren. Met andere woorden; zolang Google (of de websitebeheerder) de verzamelde gegevens niet gebruikt om interesseprofielen te maken, is het niet nodig om toestemming te vragen voor de basisfuncties van GA4.
Zorg ervoor dat je voldoet aan de AVG-richtlijnen en houd je bewust van de privacyaspecten van het gebruik van Google Analytics, zelfs als je privacy vriendelijke instellingen hebt geconfigureerd.