Overzicht
Bij het gebruik van Google Analytics moet je rekening houden met de cookiewet (artikel 11.7a Telecommunicatiewet) en de AVG:
- AVG: De AVG is van toepassing op de verwerking van persoonsgegevens. De Autoriteit Persoonsgegevens en andere toezichthouders beschouwen gegevens die via Google Analytics worden verwerkt, zoals een unieke identifier en IP-adres, als herleidbaar naar een individuele websitebezoeker.
- Cookiewet: Google Analytics maakt gebruik van cookies en andere technologieën (zoals Javascript) waarop de cookiewet toeziet.
De cookieregels vereisen in principe toestemming voor het gebruik van cookies en vergelijkbare technieken, maar onder strikte voorwaarden zijn analytics-tools hiervan uitgezonderd. Deze uitzondering leggen we uit in de veelgestelde vragen hierna.
Naast deze regels moet je ook scherp zijn op de datadoorgifte naar de VS en andere landen bij het gebruik van Google Analytics. Sinds 2023 is het weer mogelijk om data met Google in de VS te delen, maar dit was lange tijd onduidelijk vanwege de uitspraak van de Europese rechter die bekend staat als Schrems II. Ook hierover gaan we hierna dieper in.
Relevante publicaties
Veelgestelde vragen over Google Analytics 4 (GA4)
Het korte antwoord op antwoord op deze vraag luidt: GA4 mag voor analyses zonder toestemming worden gebruikt, maar alleen als er sprake is van een geringe inbreuk op de privacy van websitebezoeker. Om hieraan te voldoen is het noodzakelijk om bepaalde opties uit te zetten of niet te gebruiken.
Dit is één van de meest gestelde vragen aan onze Legal helpdesk: “mogen wij GA4 zonder toestemming gebruiken?” De Autoriteit Persoonsgegevens (AP) heeft eerder aangegeven dat voor Universal Analytics geen toestemming vereist was. De handleiding waarin dit stond, is inmiddels verwijderd. De AP heeft nog geen oordeel gegeven over GA4, dus formeel weten we niet hoe de AP hiertegen aankijkt.
GA4 is in essentie een tool om het gebruik van een website te analyseren. De cookiewet maakt een uitzondering op het toestemmingsvereiste voor analytics-cookies die bedoeld zijn om de kwaliteit en effectiviteit van de website te verbeteren, mits de impact op de privacy gering is. Dit vertaalt zich in twee algemene voorwaarden:
- GA4 mag alleen worden gebruikt voor analytics om de kwaliteit en/of effectiviteit van de website (of app) te verbeteren.
- GA4 mag niet worden gebruikt om bezoekers anders te behandelen (bijvoorbeeld door personalisatie of reclame). Er mag met GA4 dus geen profiel worden opgebouwd. GA4 wordt met andere woorden alleen voor statistiek gebruikt.
In lijn met de analytics-voorwaarden (en de oude handleiding van de AP) is het belangrijk om de volgende zaken op orde te brengen bij GA4:
- Verwerkersovereenkomst: Sluit een verwerkersovereenkomst met Google (te vinden in GA4 onder ‘beheer’ > ‘accountinstellingen’ > ‘account’ > ‘accountgegevens’).
- Delen van gegevens met Google: Deel geen gegevens met Google voor ‘aanvullende doeleinden’ (te vinden in GA4 onder ‘beheer’ > ‘accountinstellingen’ > ‘account’ > ‘accountgegevens’).
- Demografische gegevens van ingelogde gebruikers van Google: Met ‘Google-signalen’ kunnen demografische gegevens worden verzameld voor advertentiepersonalisatie. Deze optie moet uitstaan (te vinden in GA4 onder ‘beheer’ > ‘property-instellingen’ > ‘verzameling en wijziging van gegevens’ > ‘gegevensverzameling’ > ‘gegevensverzameling door Google-signalen’).
- Gebruiker-ID’s: Google biedt de mogelijkheid om gebruiker-ID’s te verzamelen, waarmee bezoekers cross-device kunnen worden herkend. Ook deze optie mag niet worden gebruikt.
- Koppeling met advertentieplatformen: Maak geen koppeling met Google Ads of andere advertentie-integraties (te vinden in GA4 onder ‘beheer’ > ‘property-instellingen’ > ‘productkoppelingen’). Daarnaast moet de instelling voor ‘Geavanceerde instellingen om advertentiepersonalisatie toe te staan’ worden uitgeschakeld (te vinden in GA4 onder ‘beheer’ > ‘property-instellingen’ > ‘verzameling en wijziging van gegevens’ > ‘gegevensverzameling’).
Naast de bovenstaande vereisten is het ook noodzakelijk om in het cookiebeleid te informeren over het gebruik van GA4.
In de oude handleiding van de AP over Universal Analytics (UA) was vereist dat het IP-adres deels werd gemaskeerd met de Anonymize IP-functie. GA4 verschilt hierin wezenlijk van UA: in GA4 staat ‘Anonymize IP’ standaard aan. Dit werkt als volgt: het IP-adres wordt gebruikt om de geschatte geolocatie (de afgeleide breedte- en lengtegraad van de stad) van de websitebezoeker te bepalen en vast te leggen. Voor Europese IP-adressen gebeurt dit op servers in de EU, waarna het IP-adres wordt verwijderd.
Ja, volgens DDMA is een afmeldmogelijkheid voor GA4 noodzakelijk.
Bij het gebruik van GA4 is naast de cookiewet ook de AVG van toepassing. De gegevens die met GA4 worden verzameld (zoals IP-adres, client-id, apparaat en gebeurtenissen) worden door de Autoriteit Persoonsgegevens als herleidbaar naar een individu beschouwd. Dit betekent dat er een verwerkingsgrondslag moet zijn.
Voor analyses en statistiek kom je vaak uit op het gerechtvaardigd belang. Deze grondslag vereist een zorgvuldige afweging tussen het privacybelang van de betrokkene en het zakelijke belang van jouw organisatie. Het bieden van een afmeldmogelijkheid wordt gezien als een belangrijke waarborg die bijdraagt aan de onderbouwing dat het belang van de websitehouder zwaarder weegt dan dat van de bezoeker. Bovendien draagt het bij aan een ‘geringe impact op de privacy van de websitebezoeker’, zoals vereist door de cookiewet.
Om deze redenen is het aanbieden van een afmeldmogelijkheid bij GA4 volgens DDMA noodzakelijk.
Veelgestelde vragen over datadoorgifte en Google Analytics
Korte antwoord: Nee Google Analytics is niet verboden.
Naar aanleiding van de Schrems II uitspraak uit 2020 hebben meerdere toezichthouders geoordeeld dat het gebruik van Google Analytics in de specifieke situaties die door de toezichthouders zijn onderzocht, in strijd is met de AVG. In 2022 heeft de Autoriteit Persoonsgegevens (AP) in haar oude handleiding voor het gebruik van Google Analytics gewaarschuwd voor een mogelijk verbod. Er is ondertussen al veel veranderd, want in 2023 is het Data Privacy Framework (DPF) geïntroduceerd.
Met de komst van het DPF lijkt het gebruik van Google Analytics (en andere Amerikaanse tools) weer toegestaan. Het is echter wel noodzakelijk om te controleren of een partij bij het DPF is aangesloten.
Er zijn nog steeds lopende klachten tegen Google Analytics waarbij toezichthouders met terugwerkende kracht een besluit kunnen nemen. Dit betekent dat het gebruik van Google Analytics in de periode vóór het DPF nog als in strijd met de AVG kan worden beoordeeld. Het is daarom belangrijk om deze ontwikkelingen in de gaten te houden. Voor nu lijkt een algeheel verbod echter van de baan.
Extra achtergrond: Hieronder volgt een tijdslijn van de uitspraken en besluiten die relevant zijn voor datadoorgifte en Google Analytics.
Data | Uitspraken / besluiten |
---|---|
2020/7: | Schrems II uitspraak Europees Hof van Justitie |
2020/8: | 101 Modelklachten ingediend door NOYB |
2021/3: | Besluit Beierse toezichthouder (Duitsland) over Mailchimp |
2021/4: | Portugese toezichthouder schorst doorgifte naar VS met Cloudflare |
2021/6: | Nieuwe SCC’s gepubliceerd door Europese Commissie |
2021/11: | Guideline internationale doorgifte EDPB |
2022/1: | Besluit Oostenrijkse toezichthouder over Google Analytics |
2022/1: | Waarschuwing door Autoriteit Persoonsgegevens in handleiding over Google Analytics |
2022/1: | Statement Noorse toezichthouder Google Analytics |
2022/2: | Besluit Franse toezichthouder Google Analytics |
2022/3: | Toezichthouder Liechtenstein seponeert klachten over Google Analytics |
2022/3: | Principeakkoord EU-VS over ‘Privacy Shield 2.0’ |
2022/4: | Franse toezichthouder neemt nog twee besluiten over Google Analytics |
2022/4: | Autoriteit Persoonsgegevens rond onderzoek af, maar neemt nog geen besluit |
2022/5: | Oostenrijkse toezichthouder verwerpt risico gebaseerde aanpak |
2022/6: | FAQ’s Franse toezichthouder, verwerpt hierin risico gebaseerde aanpak |
2022/6: | Besluit Italiaanse toezichthouder over Google Analytics |
2022/7: | Besluit Deense toezichthouder over Google Workspace |
2022/7: | Franse toezichthouder legt proxy-alternatief verder uit |
2022/9: | FAQ’s Deense toezichthouder, roept op tot aanvullende maatregelen om gebruik te legaliseren |
2022/10: | President Biden ondertekent Executive Order |
2022/12: | Europese Commissie publiceert conceptvoorstel adequaatheidsbesluit VS (Privacy Shield 2.0) |
2022/12 | Spaanse toezichthouder wijst Google Analytics klacht van de hand |
2023/02 | Comité Europees Parlement wijst adequaatheidsbesluit af in conceptopinie |
2023/02 | Besluit Finse toezichthouder over Google Analytics |
2023/02 | EDPB-opinie over conceptvoorstel adequaatheidsbesluit |
2023/03 | Oostenrijkse toezichthouder neemt besluit over Facebook Pixel |
2023/05 | Europees Parlement tegen nieuw adequaatheidsbesluit |
2023/05 | Miljardenboete Meta voor datadoorgifte naar de VS |
2023/07 | Eerste boete voor Google Analytics gebruik in Zweden |
2023/07 | Europese Commissie neemt Data Privacy Framework aan |
Er waren twee belangrijke gedeelde opvattingen in de besluiten van toezichthouders die we kunnen benadrukken:
- Ondanks de maatregelen van Google (zoals Anonymize IP) worden persoonsgegevens doorgegeven buiten Europa.
- De standaardcontractbepalingen (SCC’s) en getroffen technische maatregelen beperken de mogelijke toegang door inlichtingendiensten niet voldoende.
In combinatie met de conclusie in de Schrems II-zaak dat Europese burgers geen toegang hebben tot de Amerikaanse rechter, en het destijds ontbreken van een adequaatheidsbesluit, hebben deze overwegingen geleid tot het oordeel van de toezichthouders dat het gebruik van Google Analytics door websitehouders in strijd is met de AVG (in deze specifieke omstandigheden).
De besluiten van de toezichthouders over Google Analytics werden genomen in een tijd (2020-2023) waarin er geen adequaatheidsbesluit bestond voor datadoorgifte naar de VS. Dit is met de komst van het DPF weer veranderd.
Het probleem zat namelijk niet zozeer in Google Analytics zelf zit, maar in het overkoepelende vereiste van de AVG dat Europese burgers gelijkwaardig beschermd moeten worden in het land waar de persoonsgegevens naar worden doorgegeven. Zo zijn er door Europese toezichthouders ook al besluiten genomen t.a.v. andere tools uit de VS (zie ook de tijdlijn hierboven). Maar net als in het geval van Google Analytics bevatten deze besluiten een beoordeling van gebruik van de tools in specifieke omstandigheden.
Wil je meer antwoorden bekijken op veelgestelde vragen?
Log in of word lid om de content te bekijken
onze legal specialisten
Heb je het antwoord op jouw vraag hier niet kunnen vinden én ben je lid van DDMA? Bel dan één van onze Legal Counsels (020- 4528 413) of mail je vraag naar legal@ddma.nl. De juristen proberen je vraag zo snel mogelijk te beantwoorden. Nog geen lid? Bekijk hier alle voordelen van het DDMA-lidmaatschap.