Google Analytics en de AVG – wat moet je doen?

Wat moet de AVG met Google?

Gebruik je Google Analytics op je website? Dan moet dat volgens de nieuwe privacywet, de AVG (Algemene Verordening Gegevensbescherming), wel privacyvriendelijk. Want er worden tenslotte voor jou persoonsgegevens verwerkt door Google. De Autoriteit Persoonsgegevens (AP) houdt dat in Nederland allemaal in de gaten. Zij hebben dan ook aangegeven wat je moet doen om privacyvriendelijk met Google Analytics te werken.

1. Sluit een verwerkersovereenkomst

Jij bent verantwoordelijk voor de persoonsgegevens die Google voor jou verzamelt van jouw websitebezoekers. Daarom moet je met Google een verwerkersovereenkomst sluiten. Dat is niet zo moeilijk als dat het klinkt, dat doe je namelijk als volgt:

• Ga naar https://analytics.google.com en log in met je account.
• Kies de betreffende website, als je er meer dan één hebt, waar je de overeenkomst wilt sluiten.
• Klik linksonder op Beheerder.
• Klik op Accountinstellingen.
• Klik op Aanpassing bekijken.
  
• Lees desgewenst wat de aanpassing inhoudt en klik op Gereed.
  
• Klik op Opslaan.

2. Anonimiseer Google Analytics

Google biedt de mogelijkheid om een deel van het IP(v4)-adres van je websitebezoekers te verwijderen. Google noemt dit 'anonimiseren', maar de AP vindt dat het resterende deel van het IP-adres nog steeds een persoonsgegeven is. De AP vindt dit anonimiseren overigens wel een belangrijke maatregel om de risico's voor je websitebezoekers te verkleinen. Je doet dit als volgt:

• Log in bij Google Analytics.
• Klik op Property-instellingen.
• Klik op Trackinginfo.
• Klik op Trackingcode.
• Je ziet nu een algemene sitetag (gtag.js) die je kunt toevoegen aan het <HEAD>-gedeelte van elke webpagina die je wilt bijhouden, óf die je al toegevoegd hebt.
• Voeg aan deze tag de geel gemarkeerde configuratie-optie toe. Zie hieronder.
  

Enkele tips.

• Voor MijnRetail-sites is dit allemaal al geregeld.
• Bewaar een schermafdruk met datum/tijd van het moment dat is deze regel is toegevoegd aan de broncode van je website én leg dit ook vast in je Verwerkingsregister. Zo kun je desgevraagd altijd aantonen wanneer je deze privacyvriendelijke maatregel hebt toegepast.

3. Gegevens delen met Google uitzetten

In de standaardinstellingen van Google Analytics is aangevinkt dat u gegevens deelt met Google voor de volgende 5 doelen:

1. producten en services van Google (verbetering hiervan);
2. benchmarking (vergelijking van gegevens met andere websites)
3. technische ondersteuning;
4. toegang voor accountspecialisten; en
5. toegang voor Google-verkopers/salesexperts.

Als je deze standaardinstellingen niet wijzigt, ga je ermee akkoord dat Google de verzamelde persoonsgegevens van jouw bezoekers voor eigen doeleinden gebruikt. Google is dan niet alleen gegevensbewerker, maar ook gegevensverantwoordelijke. En jij dient dan namens Google aan jouw bezoekers hiervoor toestemming te vragen. Het uitzetten gaat als volgt:

• Log in bij Google Analytics.
• Klik op Beheerder.
• Klik op Accountinstellingen.
• Vink alle vijf de opties uit.

4. Gegevens delen met Google voor advertentiedoeleinden uitzetten

Ook als je stap 3 al uitgevoerd hebt, kan Google nog steeds gegevens van je websitebezoekers gebruiken voor advertentiedoeleinden. Dit moet je op een andere plek uitschakelen. Dat doe je als volgt:

• Log in bij Google Analytics.
• Klik op Property-instellingen.
• Klik op Trackinginfo.
• Klik op Gegevensverzameling.
• Vink de twee opties (Remarketing en Rapportagefuncties) uit.
• Klik op Opslaan.

5. De functie voor User ID's uitschakelen

Je kunt via Google het surfgedrag van verschillende apparaten en meerdere sessies koppelen. Zou kun je zien met welke ‘devices’ zoals smartphone, pc, tablet, je website wordt bezocht. Dit mag alléén als de bezoeker vooraf toestemming heeft gegeven. Controleer daarom of deze instelling staat in- of uitgeschakeld.

• Log in bij Google Analytics.
• Klik op Property-instellingen.
• Klik op Trackinginfo.
• Klik op User ID.
• Zet aan/uit.

6. Google Analytics en je privacyverklaring

Als je je aan de bovenstaande vijf stappen houdt, mag je Google Analytics gebruiken (en dus met cookies persoonsgegevens van je websitebezoekers verwerken) zonder je bezoekers daar expliciet vooraf toestemming voor te vragen. Maar je moet je bezoekers hierover wél informeren in bijvoorbeeld je privacyverklaring. Neem hierin op dat:

• je Google Analytics-cookies gebruikt;
• je een bewerkersovereenkomst met Google hebt gesloten;
• het IP-adres van de bezoeker wordt geanonimiseerd;
• je 'gegevens delen' hebt uitgezet; en
• dat je geen gebruik maakt van andere Google-diensten in combinatie met de Google Analytics-cookies.

Tip. Bovenstaande stappen dien je uit te voeren áls je je websitebezoekers géén toestemming wilt vragen voor Google Analytics-cookies. Er gaan dan wel functies van Analytics verloren. Twijfel je of je die functies nodig hebt, neem dan contact met ons op.