13 januari 2022
De Oostenrijkse privacytoezichthouder rondde in januari 2022 een onderzoek af naar het gebruik van Google Analytics door een Oostenrijkse website. Google Analytics blijkt volgens de Oostenrijkse toezichthouder in dit onderzochte geval niet aan de Algemene verordening gegevensbescherming (AVG) te voldoen. De AP onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet.
15 augustus 2018
Gebruikt u Google Analytics, dan verwerkt u met analytische cookies persoonsgegevens van uw website bezoekers. Vraagt u geen toestemming voor het plaatsen van deze analytische cookies?
Op grond van artikel 11.7a van de Telecommunicatiewet bent u verplicht om toestemming te vragen aan uw websitebezoekers voorafgaand aan het plaatsen van alle soorten cookies, tenzij deze onder de drie uitzonderingen vallen. Er is géén toestemming vereist voor analytische cookies met geen of geringe gevolgen voor de privacy van uw website bezoekers. U verwerkt met dit soort ‘onschuldige’ analytische cookies nog steeds persoonsgegevens, maar de verwerking is dan mogelijk met een beroep op de grondslag van de noodzaak ter behartiging van uw gerechtvaardigd belang (artikel 6.1, onder f, van de AVG). Dit houdt in dat u ook op grond van de AVG geen toestemming voor deze verwerking van persoonsgegevens hoeft te vragen.
Doorloop dan de volgende 6 stappen in deze handleiding om Google Analytics privacyvriendelijk in te stellen. Dit is nodig om aan de Algemene verordening gegevensbescherming (AVG) die in Nederland geldt, te voldoen.
Op grond van artikel 28 van de AVG moet u als verantwoordelijke een verwerkersovereenkomst afsluiten met Google. Hierin is vastgelegd dat Google alleen als verwerker optreedt bij de verwerking van de persoonsgegevens van uw website bezoekers. U kunt deze overeenkomst aangaan via het instellingenmenu van Google Analytics.
Had u al een verwerkersovereenkomst met Google vóór december 2016? Dan ziet u nu een verzoek om de gewijzigde overeenkomst te accepteren. Deze overeenkomst bevat een alinea over de nieuw toegevoegde mogelijkheden voor Analytics als betaalde ‘Analytics 360’-dienst. Om de gewijzigde overeenkomst te accepteren, doet u het volgende:
IP4-IP-adressen bestaan uit 4 zogeheten octetten van elk 3 cijfers. Google biedt de mogelijkheid om het laatste octet van het IP-adres van uw websitebezoekers te verwijderen. Dit gebeurt in tijdelijk geheugen, nog voordat het IP-adres door Google wordt opgeslagen. Google noemt dit ‘anonimiseren’.
De Autoriteit Persoonsgegevens(AP) vindt dat het resterende deel van het IPv4-adres nog steeds een persoonsgegeven is. Het gaat bij IPv4 namelijk om een groep van maximaal 256 computers. Maar de AP vindt het verwijderen van het laatste octet wél een belangrijke maatregel om de risico’s voor uw websitebezoekers te verkleinen.
U doet dit op de volgende manier:
Log in met uw webmasteraccount.
<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=”https://www.googletagmanager.com/gtag/js?id= UA- xxxxxxx-x “></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‘js’, new Date());
gtag(‘config’, ‘UA-xxxxxxx-x’, { ‘anonymize_ip’: true }); // Toelichting AP: Hiermee zet u de IPmaskering aan
</script>
Indien u gebruik maakt Google Tag manager, dient in Google Tag manager ga je hiervoor naar uw GA tag en in dit configuratiemenu dient u eerst het vakje selecteren dat zegt: overschrijf tag-instellingen inschakelen, dit geeft je de mogelijkheid om een variabele toe te voegen.
Daarna kunt u op “meer instellingen” drukken en een nieuwe veldnaam en waarde toevoegen, of anonymizeip en true als waarde. Het zou er zo uit moeten zien:
In de standaardinstellingen van Google Analytics is aangevinkt dat u gegevens deelt met Google voor de volgende 5 doelen:
Als u deze standaardinstellingen niet wijzigt, gaat u ermee akkoord dat Google de verzamelde persoonsgegevens van uw bezoekers voor eigen doeleinden gebruikt. Bijvoorbeeld voor het maken van benchmarks van de prestaties van vergelijkbare websites en voor verbetering van andere Google producten en diensten.
Hierdoor treedt Google niet louter meer op als uw bewerker, maar ook als verantwoordelijke. U dient in dat geval toestemming aan bezoekers te vragen namens Google voor de verwerkingen van persoonsgegevens met Analytics-cookies.
Om deze standaardinstellingen aan te passen doet, doet u het volgende:
Als u stap 3 heeft uitgevoerd, kan Google nog steeds gegevens van uw websitebezoekers gebruiken, namelijk voor advertentiedoeleinden. Dit moet u op een andere plek uitschakelen. U doet dat als volgt:
Google biedt de mogelijkheid om surfgedrag van verschillende apparaten en meerdere sessies te koppelen. Dit mag alleen met voorafgaande toestemming van gebruikers. Controleer daarom of deze instelling niet per ongeluk staat ingeschakeld:
U mag met Google Analytics-cookies persoonsgegevens van uw websitebezoekers verwerken zonder hun voorafgaande toestemming (zie de uitleg onder punt 1). Maar u moet uw bezoekers hierover wél informeren, bijvoorbeeld via uw privacybeleid.
Neem hierin onder meer op dat u:
De AP adviseert om daarnaast uw bezoekers een opt-outmogelijkheid te bieden voor Google Analytics. Google geeft hiervoor twee verschillende mogelijkheden:
Mocht u moeite hebben met het instellen van de bovenstaande instructie, dan kunnen wij dat eventueel ook voor u doen. Neem dan contact op via telefoonnummer (0317) 756 008 of via het contactformulier.