Google Analytics privacy-vriendelijk instellen: 6 stappen

13 april 2018

Als organisatie word je er mee plat gegooid: de ePrivacy Verordening. Deze nieuwe cookiewet stelt dat cookies vanaf mei 2018 alleen zijn toegestaan, wanneer de bezoeker er bewust en vrijwillig toestemming voor heeft gegeven, óf de geplaatste cookies puur functioneel van aard zijn óf enkel dienen voor het bijhouden van webstatistieken. Deze laatste voorwaarde geldt niet perse voor een derde partij zoals Google. What?! Geen paniek, gelukkig kunnen we Google Analytics privacy-vriendelijk instellen. In dit blog lees je hoe!

Wanneer je via Google Analytics webstatistieken verzameld, worden er persoonsgegevens verwerkt van je websitebezoekers middels analytische cookies. Hiervoor is toestemming van je websitebezoekers nodig. Om Google Analytics toch te blijven gebruiken moet je voldoen aan de Wet bescherming persoonsgegevens (Wbp). Hoe? Autoriteit Persoonsgegevens (AP) heeft een handleiding uitgegeven waarin 6 eenvoudige stappen beschreven worden:

Stap 1: Sluit een verwerkersovereenkomst af met Google

Wanneer een derde partij persoonsgegevens voor je verwerkt – in dit geval Google – dan moet hiervoor een verwerkersovereenkomst afgesloten worden. Hierin is vastgelegd dat Google alleen als bewerker optreedt bij de verwerking van de persoonsgegevens van je websitebezoekers. Een verwerkersovereenkomst kan een behoorlijk juridisch gepuzzel zijn, maar Google Analytics heeft een standaard overeenkomst beschikbaar gesteld. Deze kun je eenvoudig aangaan via het instellingenmenu.

1. Log in.
2. Ga naar Beheer.
3. Kies Accountinstellingen
4. Kies Aanpassing van de gegevensverwerking (onderaan pagina).
5. Klik op Geüpdatet amendement.
6. Klik op Akkoord.
7. Klik op Opslaan.

Verwerkersovereenkomst Google Analytics

Boom! Je hebt nu een verwerkersovereenkomst met Google Analytics.

Gegevensbehoud

Daarnaast heeft Google een nieuwe functie aangekondigd die 25 mei in werking zal worden gezet: gegevensbehoud. Hiermee kun je instellen hoe lang Google Analytics gegevens op gebruikersniveau en gebeurtenisniveau bewaart voordat deze automatisch worden verwijderd:

Stel de optie ‘Resetten op nieuwe activiteit’ in op AAN om de bewaarperiode van de gebruikers-ID te resetten voor elke nieuwe gebeurtenis van die gebruiker. Als u niet wilt dat de bewaarperiode voor een gebruikers-ID wordt gereset wanneer die gebruiker nieuwe activiteit heeft, schakelt u deze optie UIT. Gegevens die zijn gekoppeld aan de gebruikers-ID worden na de bewaarperiode automatisch verwijderd.

Stap 2: Anonimiseer het IP-adres

Google biedt de mogelijkheid om een gedeelte van het IP-adres van je websitebezoekers te verwijderen, nog voordat het IP-adres door Google wordt opgeslagen. Hoewel Google dit ‘anonimiseren’ noemt, is volgens AP het overige gedeelte van het IP-adres ook een persoonsgegeven. Desalniettemin, de AP vindt het verwijderen van het laatste octet wél een belangrijke maatregel. Het anonimiseren van het IP-adres kan door een stukje code toe te voegen aan het Google Analytics script. Dit kan zowel in de broncode als via Google Tag Manager.

IP anonimiseren in de broncode

IP anonimiseren met gtag.js

Voeg onderstaande configuratie-optie toe aan het gtag.js-script, zoals in het voorbeeld eronder:

, { 'anonymize_ip': true }

Anonimiseren IP analytics gtag.js

IP anonimiseren met analytics.js

Voeg onderstaande configuratie-optie toe aan het analytics.js-script, zoals in het voorbeeld eronder:

ga('set', 'anonymizeIp', true);

Anonimiseren IP analytics analytics.js

Plaats je Google Analytics voor het eerst? De trackingcode vind je als volgt:

1. Log in.
2. Ga naar Beheer.
3. Kies Property-instellingen.
4. Kies Trackinginfo.
5. Kies Trackingcode.
6. Selecteer & kopieer de trackingcode
7. Vergeet niet , { 'anonymize_ip': true } toe te voegen 🙂
8. Kopieer de code en plak deze als eerste item in het -gedeelte van elke webpagina die je wilt bijhouden.

NB: Autoriteit Persoonsgegevens adviseert om een schermafdruk met datum/tijd van het moment dat je de regel heeft toegevoegd, zodat je kunt aantonen wanneer je de code hebt toegepast.

IP anonimiseren met ga.js 

Maak je gebruik van de oude ga.js trackingcode (voor 2014). Voeg dan onderstaande configuratie-optie toe aan het ga.js-script, zoals in het voorbeeld hieronder:

_gaq.push (['_gat._anonymizeIp']);

IP adres anonimiseren met ga.js

IP anonimiseren via Google Tag Manager

Het anonimiseren van het IP-adres via Google Tag Manager is iets eenvoudiger.

1. Log in bij Google Tag Manager.
2. Maak een variabele van het type Instellingen van Google Analytics aan met de UA-tracking code.
3. Kies Meer instellingen.
4. Kies Velden die moeten worden ingesteld.
5. Klik op + VELD TOEVOEGEN.
6. Vul onder Veldnaam anonymizeIp in en onder Waarde true.
7. Klik op opslaan en verzend de container.

Google Tag Manager anonymizeIp

Tip: met de Chrome-extensie Google Analytics Debugger kun je checken of IP-adressen correct geanonimiseerd worden.

Stap 3: Schakel Gegevens delen met Google uit

Standaard staat ingesteld dat de gegevens die je verzameld van je websitebezoekers deelt met Google voor 5 doelen:

1. De verbetering van producten en services van Google;
2. Benchmarking: vergelijking van geaggregeerde gegevens met andere websites;
3. Technische ondersteuning;
4. Toegang voor accountspecialisten;
5. Toegang voor Google-verkopers/salesexperts.

Achter elk van deze 5 punten staat dan ook in mooi oranje gedrukt dat dit AANBEVOLEN is. Als je deze functies ingeschakeld wilt houden, dan is Google niet alleen een bewerker van de gegevens, maar ook een verantwoordelijke. Ofwel, de verzamelde persoonsgegevens van jouw websitebezoekers worden gebruikt voor Googles’ eigen doeleinden. Je moet daarvoor toestemming vragen aan de bezoeker namens Google voor de verwerkingen van persoonsgegevens met Analytics-cookies.

Wil je deze functie uitschakelen? Dat kan:

1. Log in
2. Ga naar Beheer.
3. Kies Accountinstellingen.
4. Vink – desgewenst – alle 5 de opties uit.

Gegevens met Google delen uitschakelen

Stap 4: Schakel Gegevensverzameling voor advertentiefuncties uit

In aanvulling op de gegevensverzameling vermeld onder stap 3, verzameld Google ook gegevens voor advertentiedoeleinden. Deze functie moet apart uitgeschakeld worden. Wanneer dit niet wordt gedaan, kan Google nog steeds de persoonsgegevens van je websitebezoekers gebruiken – en dat is natuurlijk niet de bedoeling. Om dit uit te schakelen, volg de volgende stappen:

1. Log in.
2. Ga naar Beheer.
3. Kies Property-instellingen.
4. Kies Trackinginfo.
5. Kies Gegevensverzameling.
6. Vink – desgewenst – beide opties uit.

Google Analytics Gegevensverzameling voor advertentiedoeleinden

Stap 5: Schakel User ID uit

Google Analytics biedt de mogelijkheid om interacties van gebruikers over verschillende apparaten en meerdere sessies te meten en vervolgens aan elkaar te koppelen. Dit gaat via de functie User ID, of Gebruiker-ID. Dit mag natuurlijk enkel met voorafgaande toestemming van de bezoeker. Mocht je dit willen uitschakelen:

1. Log in.
2. Ga naar Beheer.
3. Kies Property-instellingen.
4. Kies Trackinginfo.
5. Kies Gebruiker-ID.
6. Deactiveer “Ik ga akkoord met het Beleid voor User ID’s”.

Google Analytics User ID

Stap 6: Informeer over gebruik Analytics en opt-out

Zelfs als alle stappen zijn doorlopen, ben je verplicht je websitebezoekers te informeren over je cookie-beleid. Dit kan via je privacy-beleid. Hier moet tenminste instaan dat je:

1. Google Analytics-cookies gebruikt;
2. Een verwerkersovereenkomst met Google hebt gesloten;
3. Het laatste octet van het IP-adres hebt gemaskeerd;
4. Gegevens delen hebt uitgeschakeld;
5. Geen gebruik maakt van andere Google-diensten in combinatie met de Google Analytics-cookies.

Bovendien wordt sterk aangeraden om je bezoekers een opt-outmogelijkheid aan te bieden voor Google Analytics. Lees hierover – en andere punten hoe jij je website AVG-ready maakt – in onze AVG-checklist.

Wil je het uiterste uit je AVG-ready Google Analytics halen? Volg dan onze Google Analytics training.

AVG, kom maar op! We got this.

Gerelateerde berichten

Cookiebot: de eerste AVG cookie banner

Voordat we ingaan op Cookiebot leggen we eerst uit waar een cookie banner aan moet voldoen om AVG compliant te zijn. Dit is handig voor […]

AVG-checklist

AVG-checklist: jouw website in 7 stappen AVG-ready

AVG-checklist: Stap 1. Privacy- en cookieverklaring Stap 2. Beveiliging van persoonsgegevens Stap 3. Formulieren en accounts Stap 4. Opt-in & opt-out Stap 5. Verwerkersovereenkomsten Stap […]

volg ons op