Terug naar blog

Is Google Analytics AVG-conform? 10 dingen om te overwegen

GDPR/AVG Web Analytics

Geschreven door

Gepubliceerd september 27, 2021

Is Google Analytics AVG-conform? 10 dingen om te overwegen

Google Analytics (GA) is veruit het populairste analyse-instrument op de markt. Het is gratis en u kunt er websiteverkeer mee analyseren en waardevolle gegevens mee verzamelen over gebruikersgedrag. 

Het verzamelen van analytische gegevens vereist echter naleving van de regelgeving inzake gegevensbescherming, zoals AVG. 

De afgelopen jaren zijn er berichten verschenen over twijfelachtige privacy-praktijken van Google. Bijvoorbeeld het traceren van de aankoopgeschiedenis van gebruikers op basis van e-mailontvangsten, het personaliseren van advertenties in browsers die op incognitomodus zijn ingesteld en het stiekem kopen van transactiegegevens van Visa en Mastercard. Een aantal daarvan heeft geleid tot gerechtelijke stappen op grond van de AVG. Tot nu toe hebben verschillende organisaties Google voor de rechter gedaagd. De lijst omvat onder meer de Franse CNIL, de Oostenrijkse NYOB, de Panoptykon Foundation in Polen, de Ierse Data Protection Commission (DPC) en de Europese consumentenorganisatie (BEUC). 

Voor consumenten en bedrijven die waarde hechten aan de privacy van hun gegevens, is dit alarmerend. De vraag rijst dus: “Is Google Analytics AVG-conform?” Misschien niet. Maar deze vraag is moeilijk met een eenvoudig ja of nee te beantwoorden. Hieronder vindt u 10 factoren die u in gedachten moet houden bij het evalueren van de AVG-conformiteit van Google Analytics.

Google Analytics en AVG-conformiteit: 5 belangrijke productwijzigingen

Maar laten we eerst ingaan op de positieve wijzigingen in Google Analytics die zijn doorgevoerd om te voldoen aan de AVG-normen. 

Als u Google Analytics gebruikt, is Google uw gegevensverwerker. Dat is een belangrijke rol onder AVG.

Hier kunt u meer lezen over de plichten van gegevensverwerkers.

Aangezien Google gegevens van mensen over de hele wereld verwerkt, heeft het maatregelen moeten nemen om aan de AVG-normen te voldoen. De lijst van nieuwe functies en aanpassingen omvat:

1) Mechanisme voor het wissen van gegevens

In Google Analytics hebt u nu de mogelijkheid om informatie over bezoekers te verwijderen als zij daarom vragen. Toch moet u er rekening mee houden dat het mechanisme enkele ernstige beperkingen heeft.

Standaard kunt u er geen gegevens mee wissen die aan één enkele bezoeker gekoppeld zijn. In plaats daarvan kunt u alle paginatitels, gebeurtenislabels, gebeurteniscategorieën, gebeurtenisacties, aangepaste dimensies of gebruikers-ID’s wissen die u in een bepaald tijdsbestek hebt verzameld:

Verzoek om verwijdering van gegevens in Google Analytics

Om gegevens op basis van een bepaald cookie of gebruikers-ID te verwijderen, moet u gebruik maken van de Google Analytics User Deletion API. U zult echter wel wat programmacodes moeten aanpassen om deze functie in uw account te kunnen integreren.

2) Instellingen voor het bewaren van gegevens

Google heeft ook instellingen voor het bewaren van gegevens ingevoerd. Hiermee kunt u bepalen hoe lang individuele gebruikersgegevens worden opgeslagen voordat ze automatisch worden verwijderd:

Instellingen voor het bewaren van gegevens in Google Analytics

De standaardinstelling is 26 maanden.

3) Nieuw privacybeleid

Google heeft ook nieuwe AVG-voorwaarden opgenomen in het standaardcontract, waarin het zichzelf definieert als de “gegevensverwerker” met betrekking tot Analytics en Analytics 360. In hun helpcentrum stelt Google dat:

Google Analytics en Google Analytics for Firebase blijven verwerkers voor Analytics-gegevens die niet onder deze instelling worden gedeeld en gebruikt.

Maar als u de instellingen voor het delen van gegevens in uw Google Analytics-account inschakelt om de gegevens te delen met Google Ads, wordt Google een gedeelde verwerker van de gegevens:

Wanneer klanten van Google Analytics de instelling voor het delen van gegevens voor “Google-producten & -diensten” (Google Analytics) inschakelen en de “Voorwaarden voor de bescherming van gegevensmeting en verwerking” aanvaarden (waarin het EU-beleid inzake toestemming van de gebruiker is opgenomen), is Google voor AVG-doeleinden een verwerker van de gegevens die onder deze instelling worden gedeeld en gebruikt.

4) Bijgewerkte voorwaarden voor gegevensverwerking

Google heeft belangrijke wijzigingen aangebracht in hun voorwaarden voor gegevensverwerking. Deze voorwaarden fungeren ook als een gegevensverwerkingsovereenkomst – een van de belangrijkste documenten die u moet ondertekenen met elke entiteit die u toegang verleent tot de persoonsgegevens van uw bezoekers.

Het nieuwe document somt uw verantwoordelijkheden op, zoals het informeren en het verkrijgen van geldige toestemming van Europese ingezetenen.

Een kanttekening: Het bijwerken van het beleid inzake gegevensverwerking, zodat het ingaat op de verplichtingen volgens de AVG, is een geweldige zet. Maar door gebruikers te vragen een vakje aan te vinken om toegang te krijgen tot diensten worden gebruikers gedwongen tot een alles-of-niets keuze. En dat is een schending van de AVG. Max Schrems, een Oostenrijkse voorvechter van gegevensprivacy, heeft deze kwestie aangekaart in zijn eerste rechtszaak tegen Google, die is aangespannen op de allereerste dag van de AVG-handhaving.

5) Bestaande hulpmiddelen die helpen bij de naleving van de AVG

Google Analytics herinnert zijn gebruikers ook aan alle privacy-instellingen die al beschikbaar zijn in hun accounts – hulpmiddelen en functies zoals:

  • Aanpasbare cookie-instellingen
  • Instellingen voor het delen van gegevens
  • Privacy-instellingen
  • Verwijdering van gegevens bij beëindiging van de account
  • IP-anonimisering

Google Analytics AVG-naleving: enkele onopgeloste problemen

Tot zover toe gaat alles goed. Maar er zijn ook dingen die Google niet heeft aangepakt, ondanks het feit dat de AVG al meer dan twee jaar van kracht is.

1) U mag van Google Analytics de meeste soorten persoonsgegevens niet opslaan

In de verwerkingsvoorwaarden verbiedt Google gebruikers om alle soorten persoonsgegevens te verzamelen, met uitzondering van:

Online-identifiers, waaronder cookie-identifiers, internetprotocoladressen en apparaatidentifiers; clientidentifiers

Dit mag handig zijn voor Google, aangezien het een aantal AVG-gerelateerde taken van hun schouders neemt. Maar vanuit uw perspectief is deze aanpak helemaal niet interessant. Wat als u meer persoonsgegevens wilt gaan verwerken en alle verantwoordelijkheden die dat met zich meebrengt op u wilt nemen? Misschien wilt u bijvoorbeeld CRM-gegevens of e-mailmarketingstatistieken uploaden naar uw analytics-dienst.

Als dat het geval is, zult u moeten overstappen op een analytics-platform waarmee u dat wel kunt doen.

2) U moet nog steeds toestemmingen verzamelen, zelfs als u geen persoonsgegevens wilt verwerken

Zelfs als u geen persoonsgegevens wilt verwerken, zit er een addertje onder het gras. In Google Analytics wordt elke gebruiker geregistreerd met een unieke ID. Dankzij deze ID geeft Google Analytics u inzicht in hoeveel mensen uw site bezoeken en bijvoorbeeld hoeveel van hen terugkeren. Die online identifiers worden volgens de AVG als persoonsgegevens beschouwd.

Om te vermijden dat persoonsgegevens naar Google Analytics worden gestuurd, raadt Google u aan een minimale hash-waarde van SHA256 te gebruiken. Hier vindt u de gidsen van Google over hoe u kunt voorkomen dat PII wordt verzameld en hoe u IP-adressen kunt anonimiseren.

Volgens de AVG worden gehashte gegevens echter nog steeds als persoonsgegevens beschouwd en hebt u een geldige toestemming van de bezoeker nodig om ze te verzamelen en te verwerken. Dat kan leiden tot ernstig gegevensverlies, want 30-70% van de bezoekers geeft geen toestemming voor het bijhouden van hun persoonsgegevens.

Als alternatief zou u kunnen overschakelen op een product waarmee u persoonsgegevens en de aansprakelijkheden die het verzamelen ervan met zich meebrengt, kunt vermijden. De beste manier om dat te doen is door geavanceerde anonimiseringsmethoden te gebruiken. Kijk hoe u nuttige analytics kunt uitvoeren zonder persoonsgegevens.

3) Google Analytics heeft geen betrouwbaar toestemmingskader

Dat brengt ons bij het volgende onderwerp – het beheer van toestemmingen van bezoekers en de verzoeken om gegevens. 

Google probeerde aanvankelijk de taak toe te wijzen aan uitgevers en gebruikers van Google Analytics. Maar een recente overeenkomst tussen Google en IAB Europe wijst op een verschuiving in hun aanpak. Het eerste resultaat van de samenwerking is Funding Choices. Funding Choices is een platform voor toestemmingsbeheer dat speciaal bestemd is voor grote uitgevers die hun gegevensinventaris via Google-producten te gelde maken.

Al integreert het instrument weliswaar met Google’s Ad Manager en AdMob, het biedt helaas geen oplossingen voor de behandeling van analytische gegevens. Dit betekent dat gebruikers die informatie over bezoekers willen verzamelen met Google Analytics nog steeds hun eigen manier moeten vinden om met toestemmingen en gegevensverzoeken om te gaan.

4) Google gebruikt bezoekersgegevens standaard voor eigen doeleinden

Er is ook een probleem met eigendom van de gegevens. Google gebruikt gegevens van Google Analytics om zijn eigen diensten te verbeteren. De informatie die gebruikers verzamelen in het platform wordt gedeeld met gebruikers van andere Google-producten, zoals:

  • Google Ads 
  • YouTube
  • Google AdSense

Dit kunt u lezen in Privacybeleid en Voorwaarden van Google:

Veel websites en apps zijn gratis en verbeteren hun inhoud dankzij het gebruik van Google-diensten. Wanneer deze sites en apps onze diensten integreren, delen ze informatie met Google.

Wanneer u bijvoorbeeld een website bezoekt die advertentiediensten zoals AdSense gebruikt, met inbegrip van analysehulpmiddelen zoals Google Analytics, of video-inhoud van YouTube insluit, stuurt uw webbrowser automatisch bepaalde informatie naar Google. Dit omvat de URL van de pagina die u bezoekt en uw IP-adres. Wij kunnen ook cookies op uw browser plaatsen of cookies lezen die daar al staan. Apps die gebruikmaken van advertentiediensten van Google delen ook informatie met Google, zoals de naam van de app en een unieke identificatie voor advertenties.

De gegevens die gebruikers via Google Analytics verstrekken, stellen Google in staat gebruikersprofielen aan te maken. Omdat het gegevens uit verschillende bronnen verzamelt, is het mogelijk gebruikerskenmerken als geslacht en locatie te bepalen. Later worden de gegevens beschikbaar gemaakt in rapporten. 

Bovendien kennen adverteerders in Google Ads dankzij de Google Analytics-code op uw website de voorkeuren van uw bezoekers op basis van de inhoud die zij tot zich nemen. Dat maakt het dan weer mogelijk die gebruikers te benaderen met advertenties.

Als eigenaar van de site gaat u daar standaard mee akkoord in de instellingen voor het delen van gegevens:

Dat kan alarmerend zijn voor elke organisatie die volledige gegevensprivacy nastreeft. Hoe meer entiteiten toegang hebben tot uw gegevens, hoe groter de kans dat de beveiliging ervan in gevaar komt. Bovendien is voor het gebruik van bezoekersgegevens voor al deze doeleinden toestemming vereist. Maar er is geen manier om het verzamelen van gegevens afhankelijk te maken van de toestemming van de bezoeker. 

Daarom is uitschakelen van het delen van gegevens de beste optie. Daarmee verliest u echter wel de toegang tot veel functionaliteiten, waaronder integraties met producten van Google Ads en rapporten met demografische gegevens.

5) Google Analytics bewaart uw gegevens op servers op verafgelegen locaties

Laten we het ten slotte hebben over het bewaren van gegevens. De gegevens van gebruikers van Google Analytics bevinden zich verspreid over willekeurig gekozen publieke cloud-datacenters, waarvan de meeste zich in de VS bevinden.

Om de veiligheid van deze gegevensoverdrachten tussen de EU en de VS te waarborgen, steunde Google vroeger de Amerikaanse Privacy Shield-wetgeving.

Wilt u meer weten over Privacy Shield, lees dan vooral deze post van Aurelie Pols: Het verhaal achter safe harbor en Privacy Shield

Update: Vanaf 16 juli 2020 is Privacy Shield niet langer een geldig juridisch kader voor het transporteren van gegevens van de EU en Zwitserland naar de VS. De situatie evolueert echter snel. We hebben hier over het besluit geschreven en we zullen updates geven als er iets verandert.

Dit betekent dat u, om ervoor te zorgen dat uw gegevensverwerking met Google Analytics rechtmatig is, een Standaardcontractclausule (SCC) met Google zult moeten ondertekenen. Google past zich al aan deze oplossing aan:

[…] Google zal voor relevante gegevensoverdrachten overschakelen op standaardcontractbepalingen, die volgens de uitspraak een geldig juridisch mechanisme kunnen blijven om gegevens over te dragen volgens de AVG. Wij zullen zo spoedig mogelijk meer informatie delen aangaande deze updates (inclusief tijdschema’s). [bron]

U moet zich er wel van bewust zijn dat SCC’s zware verplichtingen inhouden voor u als verantwoordelijke voor de verwerking van gegevens. De SCC’s dragen de verantwoordelijkheid voor het handhaven van de normen inzake gegevensbescherming over aan u, de ondertekenaar van het contract. Volgens de verklaring van het Europees Comité voor gegevensbescherming:

Bij deze voorafgaande beoordeling houdt de exporteur (zo nodig met de hulp van de importeur) rekening met de inhoud van de SCC’s, de specifieke omstandigheden van de overdracht en de wettelijke regeling die van toepassing is in het land van de importeur.[…] 

Indien het resultaat van deze beoordeling is dat het land van de importeur in wezen geen gelijkwaardig beschermingsniveau biedt, moet de exporteur wellicht overwegen aanvullende maatregelen te nemen naast die welke in de SCC’s zijn opgenomen. Het Europees Comité voor gegevensbescherming onderzoekt verder waaruit deze aanvullende maatregelen zouden kunnen bestaan.

Dit maakt de risico’s voor individuele bedrijven veel groter dan onder Privacy Shield het geval was.

Veel Europese gegevensbeschermingsautoriteiten, waaronder de Nederlandse Autoriteit Persoonsgegevens en de Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (Duitsland), maken zich zorgen over de overdracht van gegevens aan landen zonder strenge wetgeving inzake gegevensbescherming. Zij stellen bijvoorbeeld dat bij gebrek aan een algemene wet inzake gegevensbescherming in de VS, het land er niet in slaagt bescherming te bieden op hetzelfde niveau als de AVG.

Alles bij elkaar genomen lijkt het erop dat u deze kwestie het beste kunt aanpakken door de vinger aan de pols te houden van de privacywetgeving, en te wachten op een duidelijker standpunt over dit onderwerp door Europese wetgevers.

Google Analytics en AVG: wat zijn de alternatieven? 

We hopen met deze tekst in ieder geval een deel van uw vragen over Google Analytics en AVG te hebben beantwoord. Mocht u intussen Piwik PRO met Google Analytics willen vergelijken, dan vindt u hier een nuttig witboek: Vergelijking van Piwik PRO met Google Analytics: De ultieme gids voor het kiezen van de juiste tool voor web-analytics

Mocht u nog vragen hebben, neem dan vooral contact op met ons team. Wij laten u graag zien hoe wij u kunnen helpen hoogwaardige analyses uit te voeren en de privacywetgeving te respecteren!

Schrijver

Karolina Lubowicka

Content Marketeer

Content Marketeer en Social Media Specialist bij Piwik PRO. Een ervaren copywriter die complexe onderwerpen als gegevensbescherming en AVG begrijpelijk maakt voor iedereen.

Zie meer berichten van deze auteur