Google Analytics: wat mag je hiermee nog meten?

Alweer 15 jaar geleden werd Google Analytics geïntroduceerd door Google als dienst waarmee websitestatistieken weergegeven kunnen worden. Inmiddels is Google Analytics uitgegroeid tot de populairste dienst om onder meer bezoekersstromen, verkeersbronnen en paginaweergaves te meten. In die 15 jaar is er echter veel veranderd, niet alleen op technologisch gebied, maar ook juridisch gezien. Zo is de Algemene verordening gegevensbescherming (AVG) in werking getreden die, samen met de Telecommunicatiewet (Tw), de Nederlandse cookiewetgeving vormt. En omdat er in de meeste gevallen middels cookies persoonsgegevens verwerkt worden, heeft ook de Autoriteit Persoonsgegevens (AP) haar mening over cookies gegeven. Maar hoe zit dat nu met de cookies van Google Analytics? Wat mag hiermee gemeten worden en onder welke voorwaarden?

Hoe werkt het?

Om websitestatistieken op te kunnen stellen, plaatst Google (analytische) cookies op websites. Cookies zijn kleine stukjes informatie, oftewel kleine tekstbestandjes die worden opgeslagen op het apparaat (bijv. laptop of tablet) van de websitebezoeker. Dit gebeurt wanneer je een website bezoekt die gebruik maakt van cookies. Middels deze cookies worden er allerlei gegevens over de websitebezoeker verzameld, waaronder het IP-adres, de locatie en website- en klikgedrag. De verzamelde gegevens worden vervolgens door Google opgeslagen en gecombineerd om te kijken hoe websitebezoekers de website gebruiken. Op basis van deze statistieken kan de websitebeheerder haar website verbeteren en zelfs aanpassen op het gedrag van de bezoeker.

Privacy Verified quickscan

Hoe zit dat juridisch?

Het gebruik van cookies is in principe niet verboden. Er zijn echter wel strenge regels aan verbonden, die vastgelegd zijn in de Tw en de AVG. Het uitgangspunt voor het plaatsen van cookies is dat er vooraf toestemming verkregen moet worden van de websitebezoeker, om cookies te mogen plaatsen. Daarnaast moeten websitebezoekers geïnformeerd worden over het gebruik van cookies op de website. Cookies kunnen namelijk vergaande gevolgen hebben voor de privacy van websitebezoekers. De gegevens, die middels cookies verzameld worden, zijn immers te herleiden tot een identificeerbaar persoon. Om toestemming te verkrijgen, worden de inmiddels bij iedereen wel bekende cookiebanners ingezet.

Wat mag je nu meten?

In principe mag je met Google Analytics meten wat je wilt, zolang je hiervoor maar toestemming verkregen hebt. Maar bij de juiste instellingen van Google Analytics is zelfs het vragen van toestemming niet meer nodig. Om het makkelijk te maken, heeft de AP een handleiding opgesteld, waarmee Google Analytics privacyvriendelijk ingesteld kan worden. Het komt erop neer dat je de cookies van Google Analytics zonder toestemming mag plaatsen, wanneer je afspraken met Google hebt gemaakt over de omgang met persoonsgegevens, waaronder de afspraak dat het Google niet is toegestaan gegevens te delen en de verkregen informatie te gebruiken voor andere Googlediensten.

Door het treffen van een paar simpele maatregelen, hoef je dus geen toestemming meer te vragen voor het plaatsen van de analytische cookies van Google. We zien dit in de praktijk dan ook steeds meer gebeuren. De vraag is: hoe AVG-proof is dit? Is het wel wenselijk dat je hier zo makkelijk onderuit kunt komen? En draaft het beschikbaar stellen van een dergelijke handleiding door de AP niet in tegen het doel waarmee de AP is opgericht, namelijk het toezicht houden op de naleving van de AVG, en daarmee verbonden, het waarborgen van de privacy van de Nederlandse inwoners? Een andere vraag die opkomt is: is het wel de taak van de AP om hier iets over te zeggen? De Autoriteit Consument en Markt (ACM) is ten slotte de toezichthouder op het gebied van cookies, niet de AP.

Deze laatste vraag is makkelijk te beantwoorden. De AP heeft namelijk wel degelijk iets te zeggen over cookies. Er worden middels cookies tenslotte persoonsgegevens verwerkt en de AVG is hierop van toepassing. Met de handleiding voor het privacyvriendelijk instelling van Google Analytics maakt de AP het websitebeheerders mogelijk om zaken te meten zónder voorafgaande toestemming. Een goede zaak, wanneer het stappenplan volledig wordt opgevolgd tenminste. Wij merken dat dit stappenplan soms niet goed wordt opgevolgd, terwijl men er veelal wél blindelings vanuit gaat dat Google Analytics zonder toestemming mag worden gebruikt. Dit is natuurlijk enkel het geval indien de stappen geheel zijn doorlopen. Google mag de gegevens dan ook niet met andere Google diensten delen. Vooral op dit laatste punt zien wij dat dit vaak nog wel gebeurt terwijl het cookie dan wel wordt gebruikt zonder toestemming.

Vraag je je na het lezen van deze blog nu af wanneer je wel en wanneer je geen toestemming moet vragen voor het plaatsen van cookies? Dan kan Privacy Verified uitkomst bieden. Wij denken graag met je mee en helpen je natuurlijk ook bij het opstellen van een rechtsgeldige toestemmingsvraag.

Wilt u meer weten over Privacy Verified?

Heeft u behoefte aan een AVG toets op maat? Wij komen graag met u in contact om privacy binnen uw organisatie zo goed mogelijk in te richten en te managen. Zo zorgen we samen dat privacy vóór uw organisatie gaat werken, en niet andersom.

Deze organisaties gingen u voor