Om het gedrag van je website bezoekers veilig te kunnen meten dien je een aantal maatregelen te nemen. Google helpt daar al bij door de overgang van GUA naar GA4, echter zijn er nog een aantal factoren waar je aan moet voldoen voor het meten van persoonsgegevens. In dit artikel leggen we het volgende uit:
- Waarom Google Analytics Universal verboden is;
- Wat de autoriteiten aanraden bij het meten van data;
- Hoe Google Analytics tracking werkt;
- Welke gegevens Google Tag Manager vastlegt;
- Welke gegevens Hotjar vastlegt;
- Wat de belangrijkste wetgevingen in de AVG zijn voor tracking;
- Aan welke regels je website MOET voldoen;
- En tot slot hoe je jouw website veilig maakt en gedrag kunt meten.
Waarom is Google Analytics Universal verboden?
Google Analytics Universal valt onder de wetgeving 50 US Code § 1881 (b) (4). Op grond van die wetgeving kunnen de Verenigde Staten Google verplicht stellen tot het delen en verschaffen van gegevens. Dit is in strijd met de AVG/GDPR, omdat de bezoeker van een website geen toestemming verleent tot het delen van de gegevens met de Amerikaanse inlichtingendienst. Het gaat hierbij om persoonsgegevens zoals IP-adressen, deze adressen worden niet geanonimiseerd en dus is het delen hiervan in strijd met de GDPR (sinds 2022).
Wat raden de autoriteiten aan voor Google Analytics Universal en GA4?
In het nieuwe GA4 wordt een automatische ‘Anonimize IP’ uitgevoerd, hierdoor ben je al een stuk beter beschermd tegen de AVG.
Wanneer je echter gegevens meet met andere datatools dan zijn er een aantal waaraan de tool moet voldoen. Voorwaarden om goed na te lopen:
- Verwerking van het IP adres;
- Met wie worden de gegevens gedeeld;
- Staat het delen van gegevens met advertentiedoeleinden uit;
- Worden User Id’s gedeeld;
- Is het mogelijk om een verwerkingsovereenkomst te sluiten.
Hoe werkt Google Analytics (versie) 4 tracking?
Vervolgens gebruikt Google tags op de pagina’s van je website of een SDK(Software Development Kit) om metingen te doen. Een Software Development Kit is vaak een stukje code die ingebouwd wordt om metingen te doen. Zowel de tags en de SDK gebruiken cookies om interacties en informatie te meten. Voorbeelden van die gegevens zijn:
- bezoekersaantallen;
- de bron van een bezoeker;
- gebeurtenissen van een bezoeker;
- conversies/aankopen van een bezoeker
- bezochte pagina’s van een bezoeker;
- apparaatgegevens van een bezoeker.
Welke gegevens legt Tag Manager vast?
Door online marketeers wordt vaak gebruikgemaakt van Google Tag Manager om acties van bezoekers in kaart te brengen. Zo kun je met GTM gegevens over activering van tags verzamelen. Met die gegevens kun je website prestaties, systeemstabiliteit en meer meten.
Dit zijn echter geen IP-adressen of metings ID’s die zijn gekoppeld aan een bepaalde bezoeker. Het gaat hier dus alleen om vastgestelde acties (wanneer dit is ingesteld).
Welke gegevens legt Hotjar vast?
Ook met Hotjar worden gegevens gemeten. Echter heeft Hotjar zelf al bepaalde stappen ondernomen om te werken op een manier die voldoet aan de AVG. Hotjar geeft geen inzicht in persoonsgegevens. Je kunt er mee zien welke patronen en intenties (algemene)gebruikers hebben. Wat je wel nog moet doen als je gebruik maakt van Hotjar is je privacy beleid bijwerken met de services(bijvoorbeeld mousetracking, heatmaps, etc.) die je gebruikt.
Als je nog verder wilt gaan dan is het ook mogelijk om een gegevensverwerking overeenkomst met Hotjar te ondertekenen.
Wat zijn de belangrijkste wetgevingen in de AVG omtrent tracking?
In de AVG staan 6 grondslagen voor het verwerken van persoonsgegevens (je moet er aan tenminste 1 voldoen om persoonsgegevens te verwerken).
- Er is toestemming van de persoon om wie het gaat.
- Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
- Het is noodzakelijk om gegevens te verwerken omdat u dit wettelijk verplicht bent.
- Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
- Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
- Het is noodzakelijk om gegevens te verwerken om het gerechtvaardigde belang te behartigen.
Voor het verwerken van gegevens van een website bezoekers kan vaak regel 1 gebruikt worden.
De regels waar je volgens de AVG moet doen
Wanneer je gebruik wilt maken van Google Analytics 4 voor het verwerken van persoonsgegevens, dan dien je jouw bezoekers te vragen om gegevens vast te leggen.
Wanneer de bezoeker akkoord is met het delen van gegevens en je aan de AVG voldoen. Dan is het mogelijk om gegevens te verwerken en inzicht te krijgen in het gedrag van de bezoeker. Geeft de bezoeker echter geen akkoord? Dat betekent dat je geen data mag tracken.
Daarnaast dien je ook je bezoeker inzicht te geven in de gegevens die je verzamelt. Deze informatie dien je te verwerken in de privacyverklaring op je website, het privacybeleid(dit is niet voor elke organisatie verplicht) en eventueel in het verwerkings register.
Hoe maak je jouw website veilig en AVG proof?
Een cookiebanner instellen op je WordPress website
Door middel van een cookie banner kun je toestemming vragen om gegevens te verzamelen. Dit kun je eenvoudig instellen met een plugin op WordPress (of andere CMS-systemen). Voor onze WordPress klanten maken we gebruik van Complainz om dit goed in te stellen.
De privacyverklaring bijwerken van je website
Op basis van wat je wilt gaan tracken met je website moet je de privacyverklaring van je website aanpassen. Er zijn verschillende soorten cookies, omdat cookies verschillende functies kunnen hebben. De meest voorkomende zijn:
- Functionele cookies
- Cookies voor Statistieken
- Cookies voor Marketing
Deze kunnen wel per website verschillende benamingen hebben.
Omdat er verschillende soorten cookies zijn, dien je in het privacybeleid te verwerken wat er met de cookies gemeten wordt en wat er met de gegevens gedaan wordt. Daarnaast dien je te beschrijven wat er van een gebruiker wordt vastgelegd.
