Google Analytics

Het korte antwoord op antwoord op deze vraag luidt: GA4 mag voor analyses zonder toestemming worden gebruikt, maar alleen als er sprake is van een geringe inbreuk op de privacy van websitebezoeker. Om hieraan te voldoen is het noodzakelijk om bepaalde opties uit te zetten of niet te gebruiken.

Dit is één van de meest gestelde vragen aan onze Legal helpdesk: “mogen wij GA4 zonder toestemming gebruiken?” De Autoriteit Persoonsgegevens (AP) heeft eerder aangegeven dat voor Universal Analytics geen toestemming vereist was. De handleiding waarin dit stond, is inmiddels verwijderd. De AP heeft nog geen oordeel gegeven over GA4, dus formeel weten we niet hoe de AP hiertegen aankijkt.

GA4 is in essentie een tool om het gebruik van een website te analyseren. De cookiewet maakt een uitzondering op het toestemmingsvereiste voor analytics-cookies die bedoeld zijn om de kwaliteit en effectiviteit van de website te verbeteren, mits de impact op de privacy gering is. Dit vertaalt zich in twee algemene voorwaarden:

• GA4 mag alleen worden gebruikt voor analytics om de kwaliteit en/of effectiviteit van de website (of app) te verbeteren.
• GA4 mag niet worden gebruikt om bezoekers anders te behandelen (bijvoorbeeld door personalisatie of reclame). Er mag met GA4 dus geen profiel worden opgebouwd. GA4 wordt met andere woorden alleen voor statistiek gebruikt.

In lijn met de analytics-voorwaarden (en de oude handleiding van de AP) is het belangrijk om de volgende zaken op orde te brengen bij GA4:

• Verwerkersovereenkomst: Sluit een verwerkersovereenkomst met Google (te vinden in GA4 onder ‘beheer’ > ‘accountinstellingen’ > ‘account’ > ‘accountgegevens’).
• Delen van gegevens met Google: Deel geen gegevens met Google voor ‘aanvullende doeleinden’ (te vinden in GA4 onder ‘beheer’ > ‘accountinstellingen’ > ‘account’ > ‘accountgegevens’).
• Demografische gegevens van ingelogde gebruikers van Google: Met ‘Google-signalen’ kunnen demografische gegevens worden verzameld voor advertentiepersonalisatie. Deze optie moet uitstaan (te vinden in GA4 onder ‘beheer’ > ‘property-instellingen’ > ‘verzameling en wijziging van gegevens’ > ‘gegevensverzameling’ > ‘gegevensverzameling door Google-signalen’).
• Gebruiker-ID’s: Google biedt de mogelijkheid om gebruiker-ID’s te verzamelen, waarmee bezoekers cross-device kunnen worden herkend. Ook deze optie mag niet worden gebruikt.
• Koppeling met advertentieplatformen: Maak geen koppeling met Google Ads of andere advertentie-integraties (te vinden in GA4 onder ‘beheer’ > ‘property-instellingen’ > ‘productkoppelingen’). Daarnaast moet de instelling voor ‘Geavanceerde instellingen om advertentiepersonalisatie toe te staan’ worden uitgeschakeld (te vinden in GA4 onder ‘beheer’ > ‘property-instellingen’ > ‘verzameling en wijziging van gegevens’ > ‘gegevensverzameling’).

Naast de bovenstaande vereisten is het ook noodzakelijk om in het cookiebeleid te informeren over het gebruik van GA4.

In de oude handleiding van de AP over Universal Analytics (UA) was vereist dat het IP-adres deels werd gemaskeerd met de Anonymize IP-functie. GA4 verschilt hierin wezenlijk van UA: in GA4 staat ‘Anonymize IP’ standaard aan. Dit werkt als volgt: het IP-adres wordt gebruikt om de geschatte geolocatie (de afgeleide breedte- en lengtegraad van de stad) van de websitebezoeker te bepalen en vast te leggen. Voor Europese IP-adressen gebeurt dit op servers in de EU, waarna het IP-adres wordt verwijderd.

Ja, volgens DDMA is een afmeldmogelijkheid voor GA4 noodzakelijk.

Bij het gebruik van GA4 is naast de cookiewet ook de AVG van toepassing. De gegevens die met GA4 worden verzameld (zoals IP-adres, client-id, apparaat en gebeurtenissen) worden door de Autoriteit Persoonsgegevens als herleidbaar naar een individu beschouwd. Dit betekent dat er een verwerkingsgrondslag moet zijn.

Voor analyses en statistiek kom je vaak uit op het gerechtvaardigd belang. Deze grondslag vereist een zorgvuldige afweging tussen het privacybelang van de betrokkene en het zakelijke belang van jouw organisatie. Het bieden van een afmeldmogelijkheid wordt gezien als een belangrijke waarborg die bijdraagt aan de onderbouwing dat het belang van de websitehouder zwaarder weegt dan dat van de bezoeker. Bovendien draagt het bij aan een ‘geringe impact op de privacy van de websitebezoeker’, zoals vereist door de cookiewet.

Om deze redenen is het aanbieden van een afmeldmogelijkheid bij GA4 volgens DDMA noodzakelijk.

Korte antwoord: Nee Google Analytics is niet verboden.

Naar aanleiding van de Schrems II uitspraak uit 2020 hebben meerdere toezichthouders geoordeeld dat het gebruik van Google Analytics in de specifieke situaties die door de toezichthouders zijn onderzocht, in strijd is met de AVG. In 2022 heeft de Autoriteit Persoonsgegevens (AP) in haar oude handleiding voor het gebruik van Google Analytics gewaarschuwd voor een mogelijk verbod. Er is ondertussen al veel veranderd, want in 2023 is het Data Privacy Framework (DPF) geïntroduceerd.

Met de komst van het DPF lijkt het gebruik van Google Analytics (en andere Amerikaanse tools) weer toegestaan. Het is echter wel noodzakelijk om te controleren of een partij bij het DPF is aangesloten.

Er zijn nog steeds lopende klachten tegen Google Analytics waarbij toezichthouders met terugwerkende kracht een besluit kunnen nemen. Dit betekent dat het gebruik van Google Analytics in de periode vóór het DPF nog als in strijd met de AVG kan worden beoordeeld. Het is daarom belangrijk om deze ontwikkelingen in de gaten te houden. Voor nu lijkt een algeheel verbod echter van de baan.

Extra achtergrond: Hieronder volgt een tijdslijn van de uitspraken en besluiten die relevant zijn voor datadoorgifte en Google Analytics.

Er waren twee belangrijke gedeelde opvattingen in de besluiten van toezichthouders die we kunnen benadrukken:

• Ondanks de maatregelen van Google (zoals Anonymize IP) worden persoonsgegevens doorgegeven buiten Europa.
• De standaardcontractbepalingen (SCC’s) en getroffen technische maatregelen beperken de mogelijke toegang door inlichtingendiensten niet voldoende.

In combinatie met de conclusie in de Schrems II-zaak dat Europese burgers geen toegang hebben tot de Amerikaanse rechter, en het destijds ontbreken van een adequaatheidsbesluit, hebben deze overwegingen geleid tot het oordeel van de toezichthouders dat het gebruik van Google Analytics door websitehouders in strijd is met de AVG (in deze specifieke omstandigheden).

De besluiten van de toezichthouders over Google Analytics werden genomen in een tijd (2020-2023) waarin er geen adequaatheidsbesluit bestond voor datadoorgifte naar de VS. Dit is met de komst van het DPF weer veranderd.

Het probleem zat namelijk niet zozeer in Google Analytics zelf zit, maar in het overkoepelende vereiste van de AVG dat Europese burgers gelijkwaardig beschermd moeten worden in het land waar de persoonsgegevens naar worden doorgegeven. Zo zijn er door Europese toezichthouders ook al besluiten genomen t.a.v. andere tools uit de VS (zie ook de tijdlijn hierboven). Maar net als in het geval van Google Analytics bevatten deze besluiten een beoordeling van gebruik van de tools in specifieke omstandigheden.