Overzicht Actueel

Wel of geen toestemming nodig voor Google Analytics?

Sinds afgelopen woensdag is de nieuwe cookiewet in werking getreden. Voorafgaand informeren en toestemming vragen hoeft niet langer voor (i) cookies die de kwaliteit en effectiviteit van een website in kaart brengen én (ii) privacyvriendelijk zijn. Dit brengt ons tot de vraag: hoe zit het nu met Google Analytics?

(i) Cookies die de kwaliteit en effectiviteit van een website in kaart brengen?

Veel websitehouders maken gebruik van Google Analytics om statistieken van hun website te verzamelen, denk daarbij aan: het aantal bezoekers, paginaweergaves, bouncepercentages en de gemiddelde tijd die een bezoeker op de website doorbrengt. Gelet op de functies van deze dienst, zou je dus menen dat voorafgaand informeren over en toestemming vragen voor Google Analytics niet langer nodig is. Of toch wel?!

(ii) Privacyvriendelijk?

Het College Bescherming Persoonsgegevens (Cbp) heeft – vooruitlopend op de versoepeling van de cookiewet – een handleiding gepubliceerd voor het privacyvriendelijk instellen van Google Analytics. Zoals de titel van deze handleiding al doet vermoeden: de privacytoezichthouder vindt het gebruik van Google Analytics niet privacyvriendelijk, tenzij je de handleiding volgt!

Het is alleen mogelijk zonder toestemming gebruik te maken van Google Analytics, indien de volgende vier stappen worden gevolgd:

Stap 1:   Sluit een bewerkersovereenkomst af met Google

Dit doe je door het ‘Amendement gegevensverwerking’ te accepteren via de instellingen in je account.

Stap 2:   Voorkom dat Google volledige IP-adressen verwerkt (Anonymize ID)

Dit doe je door een regel tekst toe te voegen aan het Javascript van Google op je webserver (zie de handleiding voor de tekst). Daarmee verwijder je het laatste octet van een IP-adres, dat normaal gesproken bestaat uit vier octetten van drie cijfers. Daarnaast raadt het Cbp aan om het gebruik van SSL te forceren.

Stap 3:   Zet het delen van gegevens met Google uit

Dit doe je door alle vier de opties onder ‘Instellingen voor gegevens delen’ uit te vinken via de instellingen in je account.

Stap 4:   Informeer de bezoekers over Google Analytics

Dit doe je door bezoekers in je cookiestatement (of privacy statement) te informeren dat je gebruik maakt van Google Analytics, een bewerkersovereenkomst met Google hebt gesloten, de ip-adressen anonimiseert en geen gegevens met Google deelt.

Na het doorlopen van bovengenoemde stappen, is het gebruik van Google Analytics volgens het Cbp privacyvriendelijk. Privacyvriendelijk genoeg om onder de nieuwe uitzondering van de cookiewet te vallen, zodat toestemming voor de cookies van Google Analytics niet nodig is.

Wildgroei aan pop-ups

Voldoe je aan de stappen uit de Handleiding van het Cbp, is voorafgaand informeren over Google Analytics niet nodig. De cookiebanner of pop-up kan dus achterwege blijven. Dit was ook één van de beweegredenen van de wetgever voor het introduceren van de nieuwe uitzondering, namelijk: het terugdringen van de wildgroei aan pop-ups op het internet. Echter, ook de privacywet verplicht tot informeren. Op basis van die informatieplicht vindt het Cbp dan ook dat je de bezoeker wel via een cookiestatement of privacy statement dient te informeren (stap 4).

Bezoekersprofielen

Tot slot, de nieuwe uitzondering geldt alleen indien de cookies worden gebruikt voor webstatistieken. Indien de cookies ook gebruikt worden voor  het opstellen van bezoekersprofielen, geldt de uitzondering niet.