Terug naar blog

Is Google Analytics (3 & 4) AVG-conform? [UPDATED]

GDPR/AVG Web Analytics

Geschreven door

Gepubliceerd september 19, 2023

Is Google Analytics (3 & 4) AVG-conform? [UPDATED]

Google Analytics is de populairste analysetool op de markt. Het is gratis en u kunt er websiteverkeer mee analyseren en waardevolle gegevens mee verzamelen over gebruikersgedrag.

Maar tegelijkertijd is de manier waarop Google Analytics gegevens verzamelt en verwerkt een bron van zorg voor privacybewuste bedrijven en toezichthouders.

De Oostenrijkse, Franse, Italiaanse, Noorse en Zweedse gegevensbeschermingsautoriteiten (DPA) hebben onlangs geoordeeld dat het gebruik van de tool illegaal is onder de Algemene verordening gegevensbescherming (AVG). Het moederbedrijf van Google Analytics, Google LLC, heeft ook miljoenenboetes gekregen van verschillende Europese gegevensbeschermingsautoriteiten, waaronder de Franse CNIL, IMY in Zweden en de Belgische APD.

Het onlangs geïntroduceerde EU-VS Data Privacy Framework lost de juridische problemen op rond gegevensoverdracht via Google Analytics. Veel privacydeskundigen vragen zich echter af of het kader voldoende bescherming zal bieden aan inwoners van de EU en een mogelijke klacht bij het Hof van Justitie van de Europese Unie (HvJ-EU) zal overleven.

Maar er zijn nog veel meer redenen om over te stappen van Google Analytics en uw gegevensverzameling privacyvriendelijker, toekomstbestendiger en effectiever te maken.
Lees verder voor meer informatie over de onderliggende privacyproblemen van Google Analytics en de gevolgen die deze kunnen hebben voor bedrijven die omgaan met gegevens van inwoners van de EU.

Table of contents

  1. Google Analytics, AVG en de kaders voor gegevensoverdracht tussen de EU en de VS
  2. Safe Harbor Privacy Principles: Wat ze waren en waarom ze mislukten
  3. De beëindiging van het Privacy Shield en de gevolgen voor bedrijven die Google Analytics gebruiken
    1. De nasleep van het Privacy Shield voor gebruikers van Google Analytics
  4. EU-VS Data Privacy Framework: Maakt dit Google Analytics AVG-conform?
    1. Problemen met het EU-VS Data Privacy Framework
    2. Geen wezenlijke veranderingen in FISA 702 en EO 12.333
    3. Ontoereikende mogelijkheden voor inwoners van de EU om een klacht in te dienen
  5. Google Analytics en AVG-conformiteit: Andere onopgeloste problemen
    1. Google gebruikt bezoekersgegevens voor eigen doeleinden
    2. Google Analytics biedt geen betrouwbaar toestemmingskader
    3. Google toestemmingsmodus
  6. Google Analytics en AVG: veelgestelde vragen
    1. Verzamelt Google Analytics persoonsgegevens?
    2. Heeft Google Analytics 4 dezelfde problemen met AVG-naleving als Universal Analytics?
    3. Kan ik versleuteling en pseudonimisering van gegevens gebruiken om Google Analytics privacyvriendelijker te maken?
    4. Kan ik tracking aan de serverzijde gebruiken om Google Analytics privacyvriendelijker te maken?
    5. Welke instellingen voor AVG-naleving zijn beschikbaar in Google Analytics?
  7. Google Analytics en AVG: Hoe u zich kunt voorbereiden op elk scenario

Google Analytics, AVG en de kaders voor gegevensoverdracht tussen de EU en de VS

Het belangrijkste nalevingsprobleem met Google Analytics is dat het gebruikersgegevens, waaronder persoonlijke informatie over EU-inwoners, opslaat op cloudservers in de VS. Google LLC is ook een Amerikaans bedrijf, wat betekent dat de gegevens die het verzamelt onder de Amerikaanse surveillancewetgeving vallen.
 
Amerikaanse burgers worden beschermd door het vierde amendement, dat hen het recht geeft om gevrijwaard te blijven van onredelijke huiszoekingen en inbeslagnames. Personen van andere plekken, waaronder Europa, krijgen echter niet dezelfde behandeling. De Amerikaanse overheid machtigt haar instanties om massale surveillance uit te voeren op niet-Amerikanen volgens wetten als de Foreign Intelligence Surveillance Act van 1978 (FISA 702) en Executive Order 12.333.
 
Elke keer dat persoonsgegevens van inwoners van de EU Europa verlaten en worden doorgegeven aan de VS, bestaat de kans dat Amerikaanse veiligheidsinstanties deze onderzoeken. Dit creëert een conflict tussen de Amerikaanse wetgeving en de privacyrechten die Europeanen krijgen door wetgeving zoals de AVG en het Handvest van de grondrechten van de Europese Unie.
 
Daarom moeten gegevensoverdrachten tussen de EU en de VS worden geregeld door een speciale overeenkomst waarin wordt verklaard dat informatie over Europeanen in de VS net zo veilig is als binnen de EU.
 
De geschiedenis van de twee vorige overeenkomsten, Safe Harbor en Privacy Shield, laat echter zien dat de kaders alleen niet genoeg zijn om de gegevens van Europeanen te beschermen tegen surveillance door de VS.
 
Om u een betere context te geven, zullen we wat dieper ingaan op de geschiedenis van de twee ongeldig gemaakte kaders.

Safe Harbor Privacy Principles: Wat ze waren en waarom ze mislukten

De International Safe Harbor Privacy Principles (de Veiligehavenbeginselen) uit 2000 waren het eerste wettelijke kader dat de overdracht van gegevens tussen de EU en de VS regelde.
 
Met Safe Harbor konden Amerikaanse bedrijven werken op basis van zelfcertificering. De lijst van bedrijven die vertrouwen op de overeenkomst was meer dan 5.000 namen lang en bevatte technologiegiganten als Facebook en Google.
 
In 2015 diende Max Schrems, oprichter van privacywaakhond NOYB, een klacht in bij de Ierse Data Protection Commission (DPC) over de manier waarop Facebook gegevens deelt. Hij beschuldigde de technologiegigant ervan persoonsgegevens van EU-burgers te verzamelen en naar de VS te sturen, waar ze beschikbaar waren voor de NSA. De zaak werd vervolgens voor het HvJ-EU gebracht. De jury oordeelde dat Safe Harbor persoonlijke gegevens niet voldoende beschermde tegen inmenging van de Amerikaanse overheid. De uitspraak, die bekend staat als Schrems I, leidde op 6 oktober 2015 tot de ongeldigverklaring van de overeenkomst.

Alles wat je moet weten over het Data Privacy Framework (Privacy Shield 2.0)

De beëindiging van het Privacy Shield en de gevolgen voor bedrijven die Google Analytics gebruiken

Privacy Shield was bedoeld om de problemen met Safe Harbor op te lossen. Het trad op 12 juli 2016 in werking, een paar maanden na de ongeldigverklaring van Safe Harbor.
 
Met de nieuwe overeenkomst scherpte de Europese Commissie de eisen van het zelfcertificeringsprogramma aan, maar het kader had problemen.
 
Max Schrems legde de klacht opnieuw voor aan het HvJ-EU. Hij stelde dat gegevensoverdrachten van de EU naar de VS door bedrijven als Facebook ook onder de nieuwe overeenkomst nog steeds in strijd zijn met de privacyrechten van Europeanen. In juli 2020 heeft het Hof het Privacy Shield-kader ongeldig verklaard in de uitspraak die bekend staat als Schrems II.
 
Volgens de Algemene verordening gegevensbescherming (AVG) kunnen contractuele clausules die zorgen voor passende waarborgen voor gegevensbescherming worden gebruikt als grond voor gegevensoverdrachten van de EU naar derde landen. Dit omvat modelcontractbepalingen – zogenaamde standaard contractbepalingen (SCC’s) – die vooraf zijn goedgekeurd door de Europese Commissie.
 
Op 4 juni 2021 heeft de Commissie gemoderniseerde standaard contractbepalingen onder de AVG uitgevaardigd voor gegevensoverdrachten van verantwoordelijken of verwerkers in de EU/EER (of anderszins onderworpen aan de AVG) aan verantwoordelijken of verwerkers die buiten de EU/EER zijn gevestigd (en niet onder de AVG vallen).
 
Deze gemoderniseerde SCC’s vervangen de drie sets SCC’s die onder de vorige Richtlijn 95/46 inzake gegevensbescherming werden aangenomen.

De nasleep van het Privacy Shield voor gebruikers van Google Analytics

Bij gebrek aan een adequaatheidsbesluit dat deze gegevensstroom reguleerde, werd het riskant om gebruikersgegevens naar de VS te verzenden met tools als Google Analytics, vooral omdat Google bleef vertrouwen op dezelfde set SCC’s die het gebruikte vóór de afschaffing van de overeenkomst. Bedrijven die het platform van Google gebruikten, riskeerden zware boetes en reputatieschade.
 
Direct na de ongeldigverklaring van het kader heeft privacywaakhond NOYB, onder leiding van Schrems, 101 klachten ingediend tegen bedrijven die gegevens over bezoekers verzamelen met Google Analytics en Facebook Connect. Dit veroorzaakte een kettingreactie in Europa:

  • Op 12 januari 2022 heeft de Oostenrijkse DSB zijn uitspraak gedaan in de zaak van een niet met naam genoemde Duitse internetuitgever. Deze toezichthoudende autoriteit stelde dat het gebruik van Google Analytics om gegevens van EU-ingezetenen te verzamelen onrechtmatig is op grond van de AVG.
  • In april 2022 gelastte de CNIL drie Franse websites te stoppen met het gebruik van Google Analytics. In de maanden daarna brachten de Italiaanse, Deense, Noorse en Zweedse gegevensbeschermingsautoriteiten soortgelijke verklaringen uit over bedrijven in hun regio.
  • In 2020 heeft het Europees Comité voor gegevensbescherming (EDPB) een taskforce opgericht om Europese autoriteiten te helpen bij het hanteren van een consensuele benadering van klachten. Als gevolg hiervan hebben alle uitspraken van EU-autoriteiten dezelfde richtlijnen gevolgd en zich uitgesproken tegen het gebruik van Google Analytics in Europa.
  • De Autoriteit Persoonsgegevens (AP), auteur van een handleiding over hoe Google Analytics op een privacyvriendelijke manier kan worden gebruikt, heeft verklaard dat het gebruik van Google Analytics “mogelijk niet is toegestaan”. De Liechtensteinse Datenschutzstelle heeft een advies uitgebracht dat vergelijkbaar is met dat van de AP.
  • De Oostenrijkse gegevensbeschermingsautoriteit heeft een tweede besluit genomen, waarin wordt verklaard dat GA’s IP-anonimisering een ontoereikende beschermingsmaatregel is voor gegevensoverdrachten van de EU naar de VS.
  • Na hun eerdere beslissing heeft de Franse CNIL herziene richtlijnen gepubliceerd over het gebruik van Google Analytics. Hun FAQ stelde dat in de EU gevestigde organisaties de tool niet konden gebruiken zonder aanvullende waarborgen toe te passen. De Franse autoriteit verklaarde ook dat hun standpunt over Google Analytics een gecoördineerd standpunt is van alle Europese gegevensbeschermingsautoriteiten.

Ondertussen waren de Europese Commissie en het kantoor van de Amerikaanse president Joe Biden bezig met het ontwikkelen van een nieuw kader om gegevensoverdrachten tussen Europa en de Verenigde Staten opnieuw te legaliseren.

EU-VS Data Privacy Framework: Maakt dit Google Analytics AVG-conform?

Op 10 juli 2023 heeft de Europese Commissie een nieuw EU-VS Data Privacy Framework aangenomen, bekend als Privacy Shield 2.0. De nieuwe overeenkomst gaat in op een aantal zaken die door Schrems II aan de orde zijn gesteld en beperkt de manier waarop Amerikaanse spionagediensten inlichtingen kunnen verzamelen en introduceert nieuwe voorwaarden voor het verzamelen van gegevens van personen.

Amerikaanse bedrijven kunnen aan het programma deelnemen door zichzelf te certificeren en zich ertoe te verbinden een specifieke reeks privacyverplichtingen na te leven. Google LLC heeft zich al aangesloten bij het Data Privacy Framework Program.
 
Voorlopig kunnen Amerikaanse bedrijven met zelfcertificering die de regels van de AVG volgen Google Analytics weer gebruiken om gegevens over inwoners van de EU te verzamelen. Ze moeten zich er echter van bewust zijn dat de overeenkomst mogelijk geen einde maakt aan het gegevensprobleem tussen de EU en de VS, aangezien privacywaakhonden wijzen op opvallende gelijkenissen tussen de nieuwe en de vorige overeenkomsten.

Problemen met het EU-VS Data Privacy Framework

Het Europees Comité voor gegevensbescherming (EDPB) en het Europees Parlement (EP) bekritiseren de overeenkomst omdat deze niet genoeg doet om het onderliggende probleem aan te pakken van het in grote hoeveelheden verzamelen van gegevens door Amerikaanse wetshandhaving. Het EP heeft de Europese Commissie zelfs opgeroepen om opnieuw te onderhandelen of om de overeenkomst aan te vechten bij het HvJ-EU:
 
[Het Europees Parlement] roept de Commissie op om te handelen in het belang van bedrijven en burgers in de EU door ervoor te zorgen dat het voorgestelde kader een solide, toereikende en toekomstgerichte rechtsgrondslag biedt voor de overdracht van gegevens tussen de EU en de VS; verwacht dat elk besluit over gepastheid, indien goedgekeurd, zal worden aangevochten voor het HvJEU; wijst op de verantwoordelijkheid van de Commissie voor het niet beschermen van de rechten van EU-burgers in het scenario waarin het besluit over gepastheid opnieuw ongeldig wordt verklaard door het HvJEU.

De privacywaakhond NOYB heeft ook gewezen op de kritieke problemen met het kader, waaronder:

Geen wezenlijke veranderingen in FISA 702 en EO 12.333

Volgens NOYB komt het belangrijkste probleem rond de overeenkomst voort uit het feit dat de VS hun surveillancewetten niet hebben versoepeld, ondanks de mening van het HvJ-EU dat ze niet “proportioneel” zijn en de Amerikaanse inlichtingendienst nog steeds toestaan om de gegevens van inwoners van de EU te controleren. Aangezien de overeenkomst al van kracht is en Europese toezichthouders weinig invloed hebben op de Amerikaanse regering, betwijfelt Schrems of een dergelijke hervorming er ooit zal komen.

”We hadden ‘Harbors’, ‘Umbrellas’, ‘Shields’ en ‘Frameworks’ – maar geen wezenlijke verandering in de surveillancewetgeving van de VS. De persverklaringen van vandaag zijn bijna een letterlijke kopie van degenen van de afgelopen 23 jaar. Aankondigen dat iets ‘nieuw’, ‘robuust’ of ‘effectief’ is, volstaat niet voor het Hof van Justitie. We zouden veranderingen in de Amerikaanse surveillancewetgeving nodig hebben om dit te laten werken, en die hebben we gewoon niet”,  vertelt Schrems.

Ontoereikende mogelijkheden voor inwoners van de EU om een klacht in te dienen

NOYB bekritiseert ook de omvang van de mogelijkheden voor inwoners van de EU om een klacht in te dienen en de geheimhouding rond het besluitvormingsproces en noemt daarbij de volgende problemen:

  • De instellingen van DPRC en Civil Liberties Protection Officer zijn slechts gedeeltelijk onafhankelijk van de Amerikaanse overheid en hebben veel overeenkomsten met het concept van Ombudsman dat door het Privacy Shield is geïntroduceerd. Dit is vooral belangrijk omdat het mechanisme met een ombudsman een van de redenen was waarom het HvJ-EU het vorige kader ongeldig heeft verklaard. In het vonnis kunnen we lezen dat de Privacy Shield Ombudsman geen rechtbank is in de zin van artikel 47 van het Handvest. De Amerikaanse wetgeving biedt EU-burgers geen bescherming die in wezen gelijkwaardig is aan de bescherming die wordt gewaarborgd door het grondrecht dat in dat artikel is vastgelegd.
  • Individuen zullen geen direct contact hebben met de rechtbank die hun klachten zal herzien. In plaats daarvan wordt de procedure namens hen gestart door hun lokale gegevensbeschermingsautoriteit en wordt er een speciale advocaat aangewezen om toezicht te houden.
  • De rechtvaardiging achter elke beslissing wordt geheim gehouden en is niet beschikbaar voor de aanklager, wat rechtstreeks indruist tegen de normen van het juridische systeem van de EU.

Gezien het verhitte debat rond het nieuwe kader, kunnen we verwachten dat er de komende maanden nieuwe klachten zullen opduiken. NOYB heeft zijn volgende stappen al aangekondigd:
 
“We hebben verschillende opties voor een uitdaging al in de la […]. Op dit moment verwachten we dat dit begin volgend jaar terugkomt bij het Hof van Justitie. Het Hof van Justitie zou de nieuwe overeenkomst dan zelfs kunnen opschorten terwijl het de inhoud ervan bekijkt”, zegt Schrems.

Het Franse parlementslid Philippe Latombe stapt naar het Europees Gerechtshof om het ‘EU-US Data Privacy Framework’ aan te vechten.

“De tekst die voortvloeit uit deze onderhandelingen is in strijd met grondrechten van de Europese Unie. Er zijn onvoldoende garanties dat de Algemene Verordening Gegevensbescherming (AVG) wordt gerespecteerd”, aldus Latombe in zijn verklaring.

Google Analytics en AVG-conformiteit: Andere onopgeloste problemen

Trans-Atlantische overdracht van persoonsgegevens was het meest urgente probleem met Google Analytics met betrekking tot AVG, maar niet het enige. De gegevensbeschermingsautoriteit van Noorwegen, Datatilsynet, wijst erop in de verklaring die direct na de introductie van het nieuwe kader werd uitgebracht:

Wat tot nu toe een groot probleem was met Google Analytics lijkt te zijn opgelost. Dat gezegd hebbende, sluiten we niet uit dat er nog meer privacyproblemen kunnen zijn met de tool. Iedereen die ervoor kiest om een analysetool op zijn of haar website te gebruiken, is er ook verantwoordelijk voor dat het gebruik van de tool voldoet aan de privacyregels. De overdracht van persoonsgegevens naar landen buiten de EER is slechts één element dat moet worden gecontroleerd.

Organisaties die gegevens willen verzamelen via Google Analytics moeten nog steeds zorgvuldig vaststellen hoe dit hun naleving zal beïnvloeden. Hieronder zetten we een aantal factoren op een rij waar u rekening mee moet houden.

Google gebruikt bezoekersgegevens voor eigen doeleinden

Google gebruikt gegevens van Google Analytics om zijn diensten te verbeteren. Dit kunt u lezen in Privacybeleid en Voorwaarden van Google:

Google gebruikt de informatie die wordt gedeeld door sites en apps om onze diensten te leveren, deze te onderhouden en te verbeteren, nieuwe diensten te ontwikkelen, de effectiviteit van advertenties te meten, bescherming te bieden tegen fraude en misbruik en inhoud en advertenties die u op Google en op sites en apps van onze partners ziet, te personaliseren.

Als u Google Analytics-code op uw website hebt en het delen van gegevens toestaat, weten adverteerders in Google Ads wat de voorkeuren van uw bezoekers zijn op basis van de inhoud die ze consumeren. Dat stelt Google dan weer in staat die gebruikers te benaderen met advertenties.

Voor elke organisatie die volledige privacy van haar gegevens eist, is dit alarmerend. De meest privacyvriendelijke optie is om het delen van gegevens uit te schakelen. Het nadeel hiervan is dat u wel de toegang tot veel functionaliteiten verliest, waaronder gepersonaliseerde retargeting met producten van Google Ads en rapporten met demografische gegevens

Google Analytics biedt geen betrouwbaar toestemmingskader

Zoals we al eerder zeiden, verzamelt Google Analytics standaard unieke gebruikersidentificatoren. Voor het gebruik van dergelijke identificeerbare gegevens is toestemming van de gebruiker vereist. Dat brengt ons bij het laatste onderwerp – het beheer van toestemmingen van bezoekers en de verzoeken om gegevens met Google Analytics.

Het transparantie- en toestemmingskader van IAB

Google probeerde in eerste instantie het verkrijgen van toestemming van bezoekers toe te wijzen aan uitgevers en gebruikers van Google Analytics. Ze moesten een platform voor toestemmingsbeheer van derden implementeren of hun eigen manier bedenken om aan de eisen van de EU-wetgeving te voldoen.

Een overeenkomst tussen Google en IAB Europe wijst op een verschuiving in deze aanpak.
De integratie is echter zeer beperkt in de soorten toestemming die u kunt krijgen. Het heeft alleen betrekking op gegevensverzamelingsdoeleinden die verband houden met de advertentiefuncties van Google Analytics.

Bovendien wordt het toestemmingskader van IAB in sommige Europese landen als onwettig beschouwd. In november 2021 oordeelde de Belgische gegevensbeschermingsautoriteit dat het kader in strijd is met de AVG. Het IAB Consent Framework slaat de voorkeuren van gebruikers op in de vorm van een unieke Transparency and Consent (TC) String, die kan worden gekoppeld aan een persoon.

Volgens de Belgische gegevensbeschermingsautoriteit heeft het IAB geen geldige rechtsgrondslag voor de verwerking van dergelijke gegevens. Het voorziet gebruikers ook niet van de informatie die nodig is om te begrijpen hoe IAB de verzamelde gegevens gebruikt.

In maart 2022 ging IAB Europe in beroep tegen de beslissing bij het Belgische Marktenhof. We wachten nog steeds op de definitieve uitspraak in deze zaak.

Lees hier meer over de beslissing van de Belgische gegevensbeschermingsautoriteit:

Google toestemmingsmodus

De tweede optie die Google voorstelt is de toestemmingsmodus. De toestemmingsmodus is de reactie van Google op gegevensverlies als gevolg van de toestemmingsvereisten die worden opgelegd door de AVG en andere wetten op het gebied van gegevensprivacy.

Het is een functie die samenwerkt met uw externe of op maat gemaakte platform voor toestemmingsmanagement. In het geval van Universal Analytics maakt het gebruik van cookieless pings in plaats van cookies wanneer bezoekers tracking weigeren. In Google Analytics 4 worden de gaten in de gegevensverzameling opgevuld met conversiemodellen, die een inschatting maken van de “verloren” online conversies met behulp van een op AI gebaseerd algoritme.

Het vervangen van cookies door cookieless pings is weliswaar nuttig, maar brengt nog meer privacyproblemen met zich mee. Met de standaardinstellingen die door Google worden aanbevolen, blijft het platform gebruikersgegevens verzamelen zonder toestemming van de gebruiker. De hit die naar Google wordt verzonden, bevat nog steeds het IP-adres van de gebruiker en mogelijk andere unieke identificatoren, zoals apparaatinformatie en user_id en transaction_id. Aangezien het verzamelen van deze informatie niet strikt noodzakelijk is en het hier gaat om het verzamelen van persoonsgegevens, kunt u dit alleen doen met toestemming van bezoekers.

“Als een bezoeker expliciet aangeeft niet gevolgd te willen worden of zijn of haar gegevens niet verwerkt te willen hebben – buiten de categorie van wat “strikt noodzakelijk” is voor het functioneren van de site of app – en u als gegevensverwerker negeert dat verzoek, dan hebt u zojuist bewust de regels van de AVG en de e-privacyrichtlijn overtreden. In feite waarschijnlijk elke privacywet, ongeacht het rechtsgebied,” Brian Clifton, Ph.D., expert op het gebied van privacy en gegevensanalyse.
 
U kunt het verzenden van gebruikersgegevens naar Google voorkomen door de instellingen van de toestemmingsmodus te wijzigen. Gebruikers die niet op de hoogte zijn van deze functionaliteit zullen echter nog steeds gegevens delen met GA, waardoor de naleving van hun toestemmingsverzameling in gevaar komt.

Lees dit informatieve stuk van Brian Clifton voor meer informatie over de privacyproblemen van de toestemmingsmodus van Google en manieren om ze op te lossen: Google toestemmingsmodus – Waarom deze privacywetten schendt

Google Analytics en AVG: veelgestelde vragen

Verzamelt Google Analytics persoonsgegevens?

Ja. In de verwerkingsvoorwaarden verbiedt Google Analytics gebruikers om alle soorten persoonsgegevens te verzamelen, met uitzondering van:

Online-identifiers, waaronder cookie-identifiers, internetprotocoladressen en apparaatidentifiers; clientidentifiers

Bovendien anonimiseert GA bepaalde gegevens over bezoekers, waaronder IP-adressen. Er worden echter nog steeds identificatoren gebruikt die vallen onder persoonsgegevens. Volgens de Oostenrijkse DSB:

“[In Google Analytics] heeft IP-anonimisering alleen betrekking op het IP-adres. Andere soorten gegevens, zoals online identificatoren, die zijn ingesteld via cookies of apparaatgegevens, worden nog steeds als platte tekst verzonden door Google. IP-anonimisering vindt pas plaats nadat de gegevens zijn overgedragen aan Google.”

Dit betekent dat gegevens die worden verzameld met Google Analytics onder de AVG vallen.

Heeft Google Analytics 4 dezelfde problemen met AVG-naleving als Universal Analytics?

Het korte antwoord is: ja. Ondanks wijzigingen in de privacy-instellingen verzamelt Google Analytics 4 nog steeds persoonsgegevens (unieke gebruikersidentificatoren) en verwerkt deze buiten de EU. Tot slot is Google Analytics 4 nog steeds een product dat ontwikkeld en onderhouden wordt door Google – een Amerikaanse entiteit die onderworpen is aan Amerikaanse surveillancewetten, zoals FISA en EO 12.333.

Kan ik versleuteling en pseudonimisering van gegevens gebruiken om Google Analytics privacyvriendelijker te maken?

Volgens sommige gegevensbeschermingsautoriteiten, waaronder Datatilsynet en CNIL kunnen aanvullende privacymaatregelen sommige privacyproblemen met GA oplossen. Een wettige implementatie van het platform houdt het volgende in:

  • Ervoor zorgen dat Google Analytics scripts pas activeert na toestemming van de gebruiker.
  • Het opzetten van analyses aan de serverzijde en deze implementeren op servers in de EU en in eigen beheer.
  • Het verwijderen van alle persoonlijke identificatoren (zoals gebruikersidentificatoren, IP’s, useragent, cross-side identificatoren, verwijzende URL, URL van volledige pagina inclusief gegevens in UTM-tags en aangepaste dimensies die persoonsgegevens kunnen bevatten) voordat gegevens naar de VS worden verzonden.

Deze instelling is duur en moeilijk te onderhouden. Bovendien beperkt het de analysemogelijkheden drastisch. U zult onder andere niet in staat zijn om:

  • De prestaties van marketingkanalen te meten – u weet niet welke sites, kanalen of campagnes verkoop opleveren en welke niet. U verliest een basis waarop budgetoptimalisatie kan worden uitgevoerd.
  • De customer journey en de trechters op de site te volgen – bijvoorbeeld waar de klant afhaakt voordat er een aankoop wordt gedaan. Er zijn dus geen gegevens over hoe de conversies op de site kunnen worden geoptimaliseerd.
  • Geolocatie – u weet niet waar uw bezoekers/conversies vandaan komen (die informatie komt van het IP-adres).

Als deze configuratie in uw geval onmogelijk of onhaalbaar is, overweeg dan om Google Analytics te vervangen door software die voldoet aan de EU-privacynormen.

Kan ik tracking aan de serverzijde gebruiken om Google Analytics privacyvriendelijker te maken?

Als u een proxyserver gebruikt, hebt u meer controle over de gegevens die u naar Google verzendt. Het stelt u onder andere in staat om unieke gebruikersidentificatoren te verwijderen voordat ze in Amerikaanse datacenters terechtkomen en onder de surveillancewetgeving vallen.

Het onderhouden van deze configuratie brengt echter aanzienlijke kosten met zich mee. Bovendien kan GA zonder unieke gebruikersidentificatoren geen gebeurtenissen koppelen aan sessies. Dit maakt het onmogelijk om de customer journey, de trechters of de conversies te analyseren.

Gezien deze compensaties is het misschien effectiever om analytics uit te voeren met een privacyvriendelijk platform waarvoor u geen dergelijke opofferingen hoeft te doen.

Server-side analysetracking met first-party collector: Wat je moet weten

Welke instellingen voor AVG-naleving zijn beschikbaar in Google Analytics?

De lijst met Google Analytics-instellingen die zijn ontworpen om u te helpen met AVG-naleving omvat:

  • Mechanisme voor het wissen van gegevens – In Google Analytics kunt u informatie over bezoekers wissen als zij daarom vragen. Deze functie werkt echter alleen voor hele categorieën gegevens. Deze lijst omvat alle paginatitels, gebeurtenislabels, gebeurteniscategorieën, gebeurtenisacties, aangepaste dimensies of gebruikers-ID’s die u in een bepaald tijdsbestek hebt verzameld. Om gegevens op basis van een cookie of gebruikers-ID te verwijderen, moet u gebruik maken van de API voor verwijdering van gebruikers van Google Analytics, waarvoor enige coderingsvaardigheden nodig zijn.
  • Instellingen voor het bewaren van gegevens – Google heeft nieuwe instellingen voor het bewaren van gegevens geïntroduceerd. Hiermee kunt u bepalen hoe lang gebruikersgegevens worden opgeslagen voordat ze automatisch worden verwijderd. In Google Analytics 4 kunt u kiezen tussen 2 en 14 maanden gegevensbehoud.
  • Nieuw privacybeleid – Google heeft ook nieuwe AVG-voorwaarden in het standaardcontract opgenomen waarin het zichzelf definieert als de “gegevensverwerker” voor Analytics en Analytics 360.
  • Bijgewerkte voorwaarden voor gegevensverwerking – Google heeft belangrijke wijzigingen aangebracht in hun voorwaarden voor gegevensverwerking. Deze voorwaarden fungeren tevens als een gegevensverwerkingsovereenkomst. Het nieuwe document somt uw verantwoordelijkheden op, zoals het informeren en het verkrijgen van geldige toestemming van Europese ingezetenen.
  • Privacy-instellingen – Deze instellingen omvatten cookies, het delen van gegevens, privacycontroles, het verwijderen van gegevens bij het beëindigen van een account en IP-anonimisering.
  • Standaard geen gegevens delen met derden – Sommige functies van Google Analytics 4 die het delen van gegevens met het Google-ecosysteem vereisen, zijn nu standaard uitgeschakeld. Hieronder vallen bijvoorbeeld signalen – sessiegegevens van sites en apps over ingelogde gebruikers die worden gebruikt voor gepersonaliseerde advertenties en remarketing.
  • De toestemmingsmodus van Google – Google Analytics heeft nu een speciale toestemmingsmodus waarmee u op AI gebaseerde conversiemodellen kunt gebruiken wanneer bezoekers toestemming weigeren voor tracking.

Google Analytics en AVG: Hoe u zich kunt voorbereiden op elk scenario

Bedrijven die vrezen dat de nieuwe klachten zullen leiden tot Schrems III, of die niet tevreden zijn met Google Analytics’ benadering van de privacy van de gebruiker, zouden meer toekomstbestendige opties kunnen overwegen voor het verzamelen van gegevens onder AVG.
 
Aangezien uitspraken zoals Schrems II met terugwerkende kracht gelden en geen respijtperiode kennen, is het verstandig om u op elk scenario voor te bereiden voordat de mogelijke uitspraak in het nieuws komt.
 
Hier zijn enkele van de mogelijke keuzes:

  • Beperking/uitsluiting van overdracht en anonimisering van gegevens. De grote technologische softwareleveranciers zijn sterk afhankelijk van gebruikersidentificatie en gegevensoverdracht. Door de overdracht te beperken of de gegevens te ontdoen van persoonlijke informatie kan dit probleem worden opgelost, maar daar hangt een prijskaartje aan. Wanneer Google Analytics bijvoorbeeld wordt geconfigureerd om te voldoen aan de normen van AVG (zoals bijvoorbeeld volgens richtlijnen van de Franse CNIL), verliest het de meeste van zijn mogelijkheden.
  • De technologiestapel bijwerken met alternatieven uit de EU. Schrems II creëerde een opening in de markt voor bedrijven in de EU die bedrijfs- en marketingsoftware met lokale hosting in de EU aanbieden. Met deze alternatieven kunnen organisaties volledig onafhankelijk worden van trans-Atlantische overdracht van gegevens.
  • De minder privacygerichte optie is te kiezen voor een analyticsplatform met minder privacyfuncties en het nalevingsrisico te beperken door extra beveiligingsmaatregelen toe te passen. Deze oplossingen sturen de gegevens echter nog steeds naar servers die zich in de VS bevinden of eigendom zijn van Amerikaanse bedrijven, waarop Amerikaanse surveillancewetten van toepassing zijn.

Als u meer wilt weten over Google Analytics-alternatieven, bekijk dan onze gedetailleerde productvergelijkingen:

Neem contact met ons op voor meer informatie over hoe Piwik PRO Analytics Suite u helpt te voldoen aan de AVG. We beantwoorden uw vragen graag.

Vraag een op maat
gemaakte demo aan
Probeer het gratis
Piwik PRO Core-abonnement

Schrijver

Karolina Lubowicka

Senior Content Marketer and Social Media Specialist

An experienced copywriter who takes complex topics of data privacy & GDPR and makes them understandable for all. LinkedIn Profile

Zie meer berichten van deze auteur

Categorieën