Google Analytics is veruit de populairste analysetool op de markt. Het is gratis en u kunt er websiteverkeer mee analyseren en waardevolle gegevens mee verzamelen over gebruikersgedrag. Maar is het AVG-conform?
Google Analytics en zijn moederbedrijf, Google LLC, staan nu al enige tijd op de radar van Europese privacy-activisten. De afgelopen jaren zijn er berichten verschenen over twijfelachtige privacypraktijken van Google, die hebben geleid tot gerechtelijke stappen op basis van de AVG. Het gaat onder meer om klachten van activistische organisaties zoals de Oostenrijkse NYOB en de Panoptykon Foundation in Polen.
Google heeft ook boetes van miljoenen dollars gekregen van verschillende Europese gegevensbeschermingsautoriteiten, waaronder de Franse CNIL, het Zweedse IMY en het Belgische APD.
Tegelijkertijd hebben het Schrems II-arrest van het Hof van Justitie van de Europese Unie (HJEU) en de ongeldigverklaring van het Privacy Shield de aandacht gevestigd op platforms zoals Google Analytics die de gegevens van EU-inwoners opslaan op cloudservers in de VS.
Tot nu toe is het antwoord op de vraag “Is Google Analytics AVG-conform?” onduidelijk gebleven. Sommige in de EU gevestigde organisaties waren gealarmeerd door de controverses rond Google Analytics en wenden zich tot meer privacyvriendelijke alternatieven. Anderen bleven de tool gebruiken.
Het recente besluit van de Oostenrijkse autoriteit voor gegevensbescherming, de DSB, geeft meer uitsluitsel. Volgens de DSB is het gebruik van Google Analytics een schending van de AVG. Het is mogelijk dat meer Europese autoriteiten spoedig het voorbeeld van de DSB zullen volgen. Dit zou kunnen leiden tot een volledig verbod op Google Analytics in Europa.
Lees dit artikel voor meer informatie over de achtergrond van het besluit en de gevolgen die het zal hebben voor hoe bedrijven met de gegevens van EU-inwoners omgaan. We zullen ook de stappen presenteren die door Google Analytics worden ondernomen om AVG-conform te worden, evenals enkele onopgeloste problemen met het platform.
Google Analytics en AVG-conformiteit: 5 belangrijke productwijzigingen
FirLaten we eerst ingaan op de positieve wijzigingen in Google Analytics die zijn doorgevoerd om te voldoen aan de AVG-normen. De lijst van nieuwe functies en aanpassingen omvat:
1) Data deletion mechanism – Mechanisme voor het wissen van gegevens – In Google Analytics kunt u informatie over bezoekers wissen als zij daarom vragen. Deze functionaliteit werkt echter alleen voor volledige gegevenscategorieën, zoals alle paginatitels, gebeurtenislabels, gebeurteniscategorieën, gebeurtenisacties, aangepaste dimensies of gebruikers-ID’s die u in een bepaald tijdsbestek hebt verzameld. Om gegevens op basis van een bepaalde cookie of gebruikers-ID te verwijderen, moet u gebruik maken van de API voor verwijdering van gebruikers van Google Analytics, waarvoor enige coderingsvaardigheden nodig zijn.
2) Instellingen voor het bewaren van gegevens – Google heeft instellingen voor het bewaren van gegevens geïntroduceerd. Hiermee kunt u bepalen hoe lang individuele gebruikersgegevens worden opgeslagen voordat ze automatisch worden verwijderd. De standaardinstelling is 26 maanden.
3) Nieuw privacybeleid – Google heeft ook nieuwe AVG-voorwaarden in het standaardcontract, opgenomen waarin het zichzelf definieert als de “gegevensverwerker” met betrekking tot Analytics en Analytics 360.
4) Bijgewerkte voorwaarden voor gegevensverwerking – Google heeft belangrijke wijzigingen aangebracht in hun voorwaarden voor gegevensverwerking. Deze voorwaarden fungeren tevens als een gegevensverwerkingsovereenkomst.. Het nieuwe document somt uw verantwoordelijkheden op, zoals het informeren en het verkrijgen van geldige toestemming van Europese ingezetenen. Bovendien vertrouwt Google op de standaardcontractbepalingen (SCC) om de veiligheid van zijn grensoverschrijdende gegevensoverdracht te garanderen.
5) Bestaande hulpmiddelen die helpen bij de naleving van de AVG – Google Analytics herinnert gebruikers ook aan alle privacy-instellingen die al beschikbaar zijn in hun accounts. Deze instellingen hebben betrekking op cookies, het delen van gegevens, privacycontroles, het verwijderen van gegevens bij het beëindigen van een account en IP-anonimisering.
Deze wijzigingen, in combinatie met talloze gidsen over hoe Google Analytics AVG-conform te maken, hebben de indruk gewekt dat het mogelijk is het platform te gebruiken zonder de EU-wetgeving te overtreden. Maar de realiteit is niet zo rooskleurig voor website-eigenaren die Google Analytics gebruiken.
Google Analytics en AVG: hoe het platform de EU-wetgeving schendt
Het belangrijkste nalevingsprobleem met Google Analytics vloeit voort uit het feit dat het gebruikersgegevens, waaronder informatie over EU-inwoners, opslaat op cloudservers in de VS. Bovendien is Google LLC een Amerikaans bedrijf en dus onderworpen aan Amerikaanse toezichtswetten, zoals de Cloud Act.
Waarom is dit een probleem?
In juli 2020 heeft het Hof van Justitie van de Europese Unie (HJEU) de Privacy Shield-wetgeving, die de regels bevatte voor de overdracht van gegevens tussen de EU en de VS, ongeldig verklaart. In de uitspraak, die bekend staat als Schrems II, heeft het Europese Hof bepaald dat het illegaal is persoonsgegevens van de EU naar de VS te sturen als bedrijven niet kunnen garanderen dat deze gegevens veilig zijn voor Amerikaanse inlichtingendiensten.
Bij gebrek aan een adequaatheidsovereenkomst namen sommige bedrijven, waaronder Google, hun toevlucht tot standaardcontractbepalingen (SCB) als middel om naar de VS verzonden gegevens te beveiligen.
Sinds het vonnis heeft de privacywaaorganisatie NYOB 101 klachten ingediend tegen bedrijven die bezoekersgegevens verzamelen met Google Analytics en Facebook Connect. De lijst van aangeklaagde bedrijven omvat bedrijven uit verschillende sectoren, met een prominente vertegenwoordiging van uitgeverijen en de financiële sector.
Tot dusver hebben de gegevensbeschermingsautoriteiten slechts één klacht beoordeeld. Op 12 januari 2022 heeft de Oostenrijkse DSB zijn uitspraak gedaan in de zaak van een niet met naam genoemde Duitse internetuitgever. De regelgever verklaarde dat het gebruik van Google Analytics om gegevens van EU-inwoners te verzamelen onwettig is volgens de AVG.
Volgens de DSB is het mogelijk om de met Google Analytics verzamelde informatie te koppelen aan een natuurlijk persoon. Tegelijkertijd kunnen de door Google ingevoerde SCC’s de gegevens van EU-inwoners niet beschermen tegen Amerikaanse inlichtingendiensten. Daarom zouden organisaties die analytische gegevens over EU-inwoners verzamelen, Google Analytics niet moeten gebruiken.
We weten nog niet hoe andere gegevensbeschermingsautoriteiten zullen reageren op de overige 100 klachten. Maar ten minste enkele van hen zouden in de voetsporen van de DSB kunnen treden. Dit is de reden:
- In 2020 heeft het Europees Comité voor gegevensbescherming (EDPB) een taskforce opgericht om de communicatie tussen alle Europese gegevensbeschermingsautoriteiten na het Schrems II-arrest te coördineren en hen te helpen klachten als gevolg van het arrest te behandelen.
- De Nederlandse gegevensbeschermingsautoriteit, de AP, de autoriteit van een handleiding over hoe Google Analytics op een privacy-vriendelijke manier kan worden gebruikt, heeft nu verklaard dat het gebruik van Google Analytics “mogelijk niet is toegestaan”.
- De Noorse gegevensbeschermingsautoriteit, de EDPS, heeft een soortgelijk advies uitgebracht als dat van de AP.
Hoewel in het besluit alleen Google Analytics wordt genoemd, zal het gevolgen hebben voor alle platforms die gegevens opslaan op servers die eigendom zijn van de VS. Maar het is mogelijk dat bedrijven met behulp van andere analytische producten hun risico’s kunnen beperken. Eén van de opties is de invoering van veiligheidsmaatregelen waardoor Amerikaanse inlichtingendiensten geen toegang kunnen krijgen tot gebruikersgegevens in het kader van de Cloud Act.
Google Analytics en AVG: andere onopgeloste problemen
De trans-Atlantische overdracht van persoonsgegevens is het meest urgente probleem met Google Analytics in het kader van de AVG. Maar dit is niet het enige probleem. Hieronder staan vier factoren die u in gedachten moet houden wanneer u de conformiteit van Google Analytics beoordeelt:
1) Google gebruikt bezoekersgegevens standaard voor eigen doeleinden
Google gebruikt gegevens van Google Analytics om zijn diensten te verbeteren. De informatie die gebruikers verzamelen in het platform wordt gedeeld met andere Google-producten, zoals:
- Google Ads
- YouTube
- Google AdSense
Dit kunt u lezen in Privacybeleid en Voorwaarden van Google:
Veel websites en apps zijn gratis en verbeteren hun inhoud dankzij het gebruik van Google-diensten. Wanneer deze sites en apps onze diensten integreren, delen ze informatie met Google.
Wanneer u bijvoorbeeld een website bezoekt die advertentiediensten zoals AdSense gebruikt, met inbegrip van analysehulpmiddelen zoals Google Analytics, of video-inhoud van YouTube insluit, stuurt uw webbrowser automatisch bepaalde informatie naar Google. Dit omvat de URL van de pagina die u bezoekt en uw IP-adres. Wij kunnen ook cookies op uw browser plaatsen of cookies lezen die daar al staan. Apps die gebruikmaken van advertentiediensten van Google delen ook informatie met Google, zoals de naam van de app en een unieke identificatie voor advertenties.
De gegevens die gebruikers via Google Analytics verstrekken, stellen Google in staat gebruikersprofielen aan te maken. Omdat het gegevens uit verschillende bronnen verzamelt, is het mogelijk gebruikerskenmerken als geslacht en locatie te bepalen. Later worden de gegevens beschikbaar gemaakt in rapporten.
Bovendien kennen adverteerders in Google Ads dankzij de Google Analytics-code op uw website de voorkeuren van uw bezoekers op basis van de inhoud die zij tot zich nemen. Dat stelt Google dan weer in staat die gebruikers te benaderen met advertenties.
Voor elke organisatie die volledige privacy van haar gegevens eist, is dit alarmerend. Hoe meer entiteiten toegang hebben tot uw gegevens, hoe groter de kans dat de beveiliging ervan in gevaar komt. Bovendien is voor het gebruik van bezoekersgegevens voor al deze doeleinden toestemming vereist. Maar er is geen manier om het verzamelen van gegevens afhankelijk te maken van de toestemming van de bezoeker.
Daarom is uitschakelen van het delen van gegevens de beste optie. Daarmee verliest u echter wel de toegang tot veel functionaliteiten, waaronder integraties met producten van Google Ads en rapporten met demografische gegevens.
2) U mag van Google Analytics de meeste soorten persoonsgegevens niet opslaan
IIn de verwerkingsvoorwaarden verbiedt Google Analytics gebruikers om alle soorten persoonsgegevens te verzamelen, met uitzondering van:
Online-identifiers, waaronder cookie-identifiers, internetprotocoladressen en apparaatidentifiers; clientidentifiers.
Dit kan handig zijn voor Google, aangezien het een aantal AVG-gerelateerde taken wegneemt. Maar vanuit uw perspectief is deze aanpak nadelig. Wat als u meer persoonsgegevens wilt gaan verwerken en alle verantwoordelijkheden die het met zich meebrengt op u wilt nemen? Misschien wilt u bijvoorbeeld CRM-gegevens of e-mailmarketingstatistieken uploaden naar uw analytics-dienst.
Lees hier meer: Waarom eerstelijnsgegevens het meest waardevol zijn voor marketeers [EN]
Als dat het geval is, zult u moeten overstappen op een analytics platform dat het verzamelen van persoonlijke gegevens toestaat.
3) U moet nog steeds toestemmingen verzamelen, zelfs als u geen persoonsgegevens wilt verwerken
Zelfs als u geen persoonsgegevens wilt verwerken, zit er een addertje onder het gras. Google Analytics registreert elke gebruiker met een unieke ID. Dankzij deze ID geeft Google Analytics u inzicht in hoeveel mensen uw site bezoeken en bijvoorbeeld hoeveel van hen terugkeren. De AVG beschouwt die online-identificatiemiddelen als persoonsgegevens.
Leer hier meer over PII en persoonsgegevens [EN].
Google adviseert om een minimale hash-waarde van SHA256 te gebruiken, om te voorkomen dat persoonsgegevens naar Google Analytics worden verzonden. Hier vindt u de gidsen van Google over hoe u kunt voorkomen dat PII wordt verzameld en hoe u IP-adressen kunt anonimiseren.
De AVG beschouwt die online-identificatiemiddelen echter nog steeds als persoonsgegevens. U hebt een geldige toestemming van de bezoeker nodig om deze gegevens te verzamelen en te verwerken. Dat kan leiden tot ernstig gegevensverlies, want 30-70% van de bezoekers geeft geen toestemming voor het bijhouden van hun persoonsgegevens.
Als alternatief zou u kunnen overschakelen op een product waarmee u persoonsgegevens en de aansprakelijkheden die het verzamelen ervan met zich meebrengt, kunt vermijden. De beste manier om dat te doen is door geavanceerde anonimiseringsmethoden te gebruiken. Kijk hoe u nuttige analytics kunt uitvoeren zonder persoonsgegevens [EN].
4) Google Analytics heeft geen betrouwbaar toestemmingskader
Dat brengt ons bij het laatste onderwerp – het beheer van toestemmingen van bezoekers en de verzoeken om gegevens.
Google probeerde aanvankelijk de taak toe te wijzen aan uitgevers en gebruikers van Google Analytics. Maar een recente overeenkomst tussen Google en IAB Europe wijst op een verschuiving in hun aanpak. Het eerste resultaat van de samenwerking is Funding Choices. Funding Choices is een platform voor toestemmingsbeheer dat speciaal bestemd is voor grote uitgevers die hun gegevensinventaris via Google-producten te gelde maken, maar niet op de gebruikers van Google Analytics.
Dit betekent dat gebruikers die informatie over bezoekers willen verzamelen met Google Analytics nog steeds hun eigen manier moeten vinden om met toestemmingen en gegevensverzoeken om te gaan.
DIn november 2021 oordeelde de Belgische gegevensbeschermingsautoriteit dat het IAB toestemmingskader in strijd is met het AVG. Lees hier meer over hun besluit.
Google Analytics en AVG: wat zijn de alternatieven?
We weten nog niet wat de uiteindelijke uitkomst van de Google Analytics-saga zal zijn, aangezien we nog steeds wachten op de mening van andere gegevensbeschermingsautoriteiten.
Bedrijven die gegevens van EU-inwoners verzamelen, moeten nu echter hun keuzes heroverwegen om op elk scenario voorbereid te zijn. Er zijn ook veel goede redenen waarom zij zich tot andere analytics-platforms zouden kunnen wenden, ook al zullen de uitspraken van de gegevensbeschermingsautoriteiten het gebruik van Google Analytics in Europa niet effectief verbieden.
De meest privacy vriendelijke aanpak zou zijn over te schakelen op een in de EU gevestigd analytics platform dat gebruikersgegevens beschermt en veilige hosting biedt, idealiter in een datacentrum dat eigendom is van de EU. Dit zal garanderen dat u gegevens verzamelt, opslaat en verwerkt in overeenstemming met de AVG.
Read more about privacy-friendly analytics here.
De minder privacygerichte optie is te kiezen voor een analyticsplatform met minder privacyfuncties en het nalevingsrisico te beperken door extra beveiligingsmaatregelen toe te passen. Dit kan echter slechts een tijdelijke oplossing zijn als uw analytics-diensten de gegevens nog steeds naar de in de VS gevestigde of in eigendom zijnde servers sturen, waarop de Amerikaanse overheidstoezichtswetten van toepassing zijn.
Als u meer wilt weten over Google Analytics-alternatieven, bekijk dan onze gedetailleerde productvergelijkingen:
- Google Analytics-alternatieven – gratis en betalend [EN]
- Vergelijk 7 gratis webanalyticsplatforms (inclusief productanalytics)[EN]
- Piwik PRO vs. Google Analytics & Google Analytics 360 [EN]
Neem contact met ons op voor meer informatie over hoe Piwik PRO Analytics Suite u helpt te voldoen aan de AVG. We beantwoorden uw vragen graag.