Hoe stel je Google Analytics AVG vriendelijk in (2022)?

13 januari 2022
De Oostenrijkse privacytoezichthouder rondde in januari 2022 een onderzoek af naar het gebruik van Google Analytics door een Oostenrijkse website. Google Analytics blijkt volgens de Oostenrijkse toezichthouder in dit onderzochte geval niet aan de Algemene verordening gegevensbescherming (AVG) te voldoen. De AP onderzoekt op dit moment twee klachten over het gebruik van Google Analytics in Nederland. Na afronding van dat onderzoek, begin 2022, kan de AP zeggen of Google Analytics nu is toegestaan of niet.

15 augustus 2018
Gebruikt u Google Analytics, dan verwerkt u met analytische cookies persoonsgegevens van uw website bezoekers. Vraagt u geen toestemming voor het plaatsen van deze analytische cookies?

Op grond van artikel 11.7a van de Telecommunicatiewet bent u verplicht om toestemming te vragen aan uw websitebezoekers voorafgaand aan het plaatsen van alle soorten cookies, tenzij deze onder de drie uitzonderingen vallen. Er is géén toestemming vereist voor analytische cookies met geen of geringe gevolgen voor de privacy van uw website bezoekers. U verwerkt met dit soort ‘onschuldige’ analytische cookies nog steeds persoonsgegevens, maar de verwerking is dan mogelijk met een beroep op de grondslag van de noodzaak ter behartiging van uw gerechtvaardigd belang (artikel 6.1, onder f, van de AVG). Dit houdt in dat u ook op grond van de AVG geen toestemming voor deze verwerking van persoonsgegevens hoeft te vragen.

Doorloop dan de volgende 6 stappen in deze handleiding om Google Analytics privacyvriendelijk in te stellen. Dit is nodig om aan de Algemene verordening gegevensbescherming (AVG) die in Nederland geldt, te voldoen.

1. Bewerkersovereenkomst met Google afsluiten

Op grond van artikel 28 van de AVG moet u als verantwoordelijke een verwerkersovereenkomst afsluiten met Google. Hierin is vastgelegd dat Google alleen als verwerker optreedt bij de verwerking van de persoonsgegevens van uw website bezoekers. U kunt deze overeenkomst aangaan via het instellingenmenu van Google Analytics.

Had u al een verwerkersovereenkomst met Google vóór december 2016? Dan ziet u nu een verzoek om de gewijzigde overeenkomst te accepteren. Deze overeenkomst bevat een alinea over de nieuw toegevoegde mogelijkheden voor Analytics als betaalde ‘Analytics 360’-dienst. Om de gewijzigde overeenkomst te accepteren, doet u het volgende:

1. Log in met uw webmasteraccount.
2. Kies Beheer.
3. Kies Accountinstellingen.
4. Scroll naar de onderkant van de pagina naar het kopje Aanpassing van de gegevensverwerking.
5. Klik op ‘Geüpdatet amendement’. U ziet nu een pop-upscherm met de aangepaste tekst van de bewerkersovereenkomst.
6. Klik op ‘Akkoord’. U ziet nu een nieuw tussenscherm.
7. Klik op ‘Opslaan’ om de overeenkomst echt aan te gaan. U heeft nu een bewerkersovereenkomst met Google.

2. Google niet het volledige IP-adres laten verwerken (Anonymize IP)

IP4-IP-adressen bestaan uit 4 zogeheten octetten van elk 3 cijfers. Google biedt de mogelijkheid om het laatste octet van het IP-adres van uw websitebezoekers te verwijderen. Dit gebeurt in tijdelijk geheugen, nog voordat het IP-adres door Google wordt opgeslagen. Google noemt dit ‘anonimiseren’.

De Autoriteit Persoonsgegevens(AP) vindt dat het resterende deel van het IPv4-adres nog steeds een persoonsgegeven is. Het gaat bij IPv4 namelijk om een groep van maximaal 256 computers. Maar de AP vindt het verwijderen van het laatste octet wél een belangrijke maatregel om de risico’s voor uw websitebezoekers te verkleinen.

U doet dit op de volgende manier:

Log in met uw webmasteraccount.

1. Ga naar Property-instellingen.
2. Klik op Trackinginfo.
3. Selecteer de optie Trackingcode.
4. U ziet nu een voorbeeld van een algemene sitetag (gtag.js) die u kunt toevoegen aan het <HEAD>-
   gedeelte van elke webpagina die u wilt bijhouden.
   Voeg aan dit voorbeeld de rood gemarkeerde configuratie-optie toe zoals in het voorbeeld
   hieronder.
   Let op: bewaar een schermafdruk met datum/tijd van het moment dat u deze regel heeft
   toegevoegd aan de broncode van uw website, zodat u desgevraagd kunt aantonen wanneer u deze privacyvriendelijke maatregel heeft toegepast.

<!– Global site tag (gtag.js) – Google Analytics –>
<script async src=”https://www.googletagmanager.com/gtag/js?id= UA- xxxxxxx-x “></script>
<script>
window.dataLayer = window.dataLayer || [];
function gtag(){dataLayer.push(arguments);}
gtag(‘js’, new Date());
gtag(‘config’, ‘UA-xxxxxxx-x’, { ‘anonymize_ip’: true }); // Toelichting AP: Hiermee zet u de IPmaskering aan
</script>

Indien u gebruik maakt Google Tag manager, dient in Google Tag manager ga je hiervoor naar uw GA tag en in dit configuratiemenu dient u eerst het vakje selecteren dat zegt: overschrijf tag-instellingen inschakelen, dit geeft je de mogelijkheid om een variabele toe te voegen.

Daarna kunt u op “meer instellingen” drukken en een nieuwe veldnaam en waarde toevoegen, of anonymizeip en true als waarde. Het zou er zo uit moeten zien:

3. Gegevens delen met Google uitzetten

In de standaardinstellingen van Google Analytics is aangevinkt dat u gegevens deelt met Google voor de volgende 5 doelen:

• producten en services van Google (verbetering hiervan);
• benchmarking (vergelijking van geaggregeerde gegevens met andere websites)
• technische ondersteuning;
  • toegang voor accountspecialisten
  • toegang voor Google-verkopers/salesexperts

Als u deze standaardinstellingen niet wijzigt, gaat u ermee akkoord dat Google de verzamelde persoonsgegevens van uw bezoekers voor eigen doeleinden gebruikt. Bijvoorbeeld voor het maken van benchmarks van de prestaties van vergelijkbare websites en voor verbetering van andere Google producten en diensten.

Hierdoor treedt Google niet louter meer op als uw bewerker, maar ook als verantwoordelijke. U dient in dat geval toestemming aan bezoekers te vragen namens Google voor de verwerkingen van persoonsgegevens met Analytics-cookies.

Om deze standaardinstellingen aan te passen doet, doet u het volgende:

1. Log in met uw webmasteraccount.
2. Kies Beheer.
3. Kies Accountinstellingen.
4. Vink alle 5 de opties uit.

4. Gegevens delen met Google voor advertentiedoeleinden uitzetten

Als u stap 3 heeft uitgevoerd, kan Google nog steeds gegevens van uw websitebezoekers gebruiken, namelijk voor advertentiedoeleinden. Dit moet u op een andere plek uitschakelen. U doet dat als volgt:

1. Log in met uw webmasteraccount.
2. Ga naar Property-instellingen.
3. Klik op Trackinginfo.
4. Selecteer de optie Gegevensverzameling.
5. U ziet nu twee opties waardoor Google de Analytics-gegevens alsnog voor advertentiedoeleinden kan gebruiken.
6. Als u ook een advertentie product van Google gebruikt, staan deze twee opties standaard aangevinkt.
7. Klik deze twee opties uit en klik op Opslaan.

5. Niet per ongeluk de functie voor User ID’s inschakelen

Google biedt de mogelijkheid om surfgedrag van verschillende apparaten en meerdere sessies te koppelen. Dit mag alleen met voorafgaande toestemming van gebruikers. Controleer daarom of deze instelling niet per ongeluk staat ingeschakeld:

1. Log in met uw webmasteraccount.
2. Ga naar Property-instellingen.
3. Klik op Trackinginfo.
4. Selecteer de optie User ID.

6. Informeren over gebruik Analytics en opt-out

U mag met Google Analytics-cookies persoonsgegevens van uw websitebezoekers verwerken zonder hun voorafgaande toestemming (zie de uitleg onder punt 1). Maar u moet uw bezoekers hierover wél informeren, bijvoorbeeld via uw privacybeleid.

Neem hierin onder meer op dat u:

• Google Analytics-cookies gebruikt;
• een bewerkersovereenkomst met Google heeft gesloten;
• het laatste octet van het IP-adres heeft gemaskeerd;
• ‘gegevens delen’ heeft uitgezet;
• geen gebruik maakt van andere Google-diensten in combinatie met de Google Analytics-cookies.

De AP adviseert om daarnaast uw bezoekers een opt-outmogelijkheid te bieden voor Google Analytics. Google geeft hiervoor twee verschillende mogelijkheden:

• U kunt een component aan uw website toevoegen waarmee u een opt-outmogelijkheid kunt aanbieden aan uw gebruikers. Zie voor een toelichting hierop:
  https://developers.google.com/analytics/devguides/collection/analyticsjs/user-opt-out.
• Google biedt ook een browser-extensie aan voor haar eigen browser Chrome. Dit is echter geen adequate oplossing voor alle bezoekers aan uw website.

Mocht u moeite hebben met het instellen van de bovenstaande instructie, dan kunnen wij dat eventueel ook voor u doen. Neem dan contact op via telefoonnummer (0317) 756 008 of via het contactformulier.