Google Analytics en de AVG

Melanie Borreman
Geplaatst op 22 mei 2018

Met ingang van 25 mei is de AVG van toepassing. Zo ook op het bewaren van gegevens in Google Analytics. Waarschijnlijk heb je al enkele mails van Google voorbij zien komen. Of heb je ingelogd in Google Analytics. Dan kon je niet om die foeilelijke gele balk heen met de melding over de nieuwe beheeropties.

google analytics beheeropties gegevens bewaren

Raak je lichtelijk in paniek? Niet doen! Na het lezen van deze blog en het volgen van de onderstaande stappen, ben je weer een stapje dichterbij het AVG-proof maken van je bedrijf.

Stap 1: De functie ‘gegevens delen’ uitzetten

Log in bij Google Analytics. Helemaal links onderin zie je een ID radartje. Klik hierop om in de beheeromgeving van je Google Analytics account te komen. Klik vervolgens op accountinstellingen.

google analytics beheer

Je ziet hier vijf vakjes staan. Om de functie ‘gegevens delen’ uit te zetten, vink je alle vakjes uit. Alle functies van Google Analytics blijven het gewoon doen. Maar je deelt nu niet zomaar gegevens met Google of medewerkers van Google.

Stap 2: Amendement gegevensverwerking accepteren

Scroll je iets verder naar beneden in ‘Accountinstellingen’, dan zie je onderaan de pagina een kopje ‘Aanpassing van gegevensverwerking’. Om het Amendement gegevensverwerking te accepteren klik je op Aanpassing bekijken en vervolgens Akkoord. Je moet alleen nog de pagina Opslaan.

Let op, als je de voorwaarden accepteert moet je ook de volgende informatie verstrekken:

  • Juridische entiteit, dit is de geregistreerde naam van uw organisatie.
  • Primair contact, ook bekend als e-mailadres voor meldingen.
  • Functionaris voor gegevensbescherming, de persoon die (waar van toepassing) zorgt dat de vereisten van de AVG worden nageleefd.
  • EER-vertegenwoordiger, de persoon die (waar van toepassing) klanten vertegenwoordigt die niet zijn gevestigd in de EU met betrekking tot hun verplichtingen volgens de AVG.

Deze benodigde gegevens kan je instellen door op DPA-gegevens beheren te klikken. Je komt in een omgeving terecht van Google Analytics Suite Home 360, waar je vervolgens de benodigde gegevens kan invullen.

google analytics amendement

Keer je vervolgens terug naar Google Analytics dan zie je dat het amendement is geaccepteerd en op welke datum dit is gebeurd.

Stap 3: Andere Google diensten

Om aan de AVG te voldoen mag je niet zomaar gegevens delen voor advertentiefuncties. Gebruik je bijvoorbeeld AdWords voor remarketing, dan staan waarschijnlijk nog twee opties aangevinkt. Ga naar het beheer van je Property (middelste kolom op de beheerpagina), klik op ‘Trackinginfo’ en vervolgens op ‘Gegevensverzameling’. Beide schuifbalkjes moeten op uit gezet worden.

google analytics beheer advertentiefuncties

Stap 4: ID-functies

Google kan het gedrag van een persoon op meerdere apparaten en sessies koppelen door User ID’s aan te maken. Dit mag je alleen inschakelen wanneer je de gebruiker om toestemming vraagt. Schakel de functie uit door in hetzelfde menu op Gebruikers- ID te klikken.

google analytics beheer user ID

Stap 5: Het IP-adres anonimiseren

Het IP-adres is een persoonsgegeven en daarmee met de AVG beschermt. Het laatste deel van het IP adres moet geanonimiseerd worden.  Dit doe je door in de Google Analytics code op je site
ga(‘set’,’anonymizeIp’,true) toe te voegen. Dit doen wij al enkel jaren standaard bij alle sites. Desondanks, check het door in de broncode te zoeken op anonymizeIp (via control+F).

Stap 6: Gegevensbehoud Google

Tot slot de actie die je moet doen naar aanleiding van de recente mails van Google en de gele balk in het scherm.

Google geeft je sinds kort de mogelijkheid een termijn in te stellen voor het behouden van gegevens op gebruikers- en gebeurtenissenniveau die op hun servers bewaard worden. Of als je het andersom bekijkt, je mag nu bepalen wanneer deze data verwijderd wordt. Het gaat alleen om data die direct aan een gebruiker gekoppeld zijn door middel van cookies, gebruiker-ID’s en advertentie-ID’s.  Bijvoorbeeld een aankoop in een webshop. De andere niet aan een gebruiker te koppelen gegevens blijven behouden. Dit kan je instellen via het beheer van je property, klik op trackinginfo en vervolgens op gegevensbehoud.

Google geeft de volgende mogelijkheden:

  • 14 maanden
  • 26 maanden
  • 38 maanden
  • 50 maanden
  • Niet automatisch verwijderen

Aan het einde van de bewaarperiode worden gegevens maandelijks automatisch verwijderd.

Een periode selecteren korter dan 14 maanden is dus niet mogelijk. Maar bewaar je de gegevens langer? Leg dan in je privacyverklaring uit waarom je dit doet.

Verwijderen van gebruikersdata in Google Analytics

Met de komst van de AVG hebben mensen het recht om hun gegevens te laten verwijderen. Google geeft daarom ook de mogelijkheid om data van een specifieke gebruiker te verwijderen. Op basis van de Analytics-client-ID (standaard Google Analytics first party-cookie), gebruiker-ID (indien ingeschakeld) of app-instance-ID (bij gebruik van Google Analytics voor Firebase) verwijderd kunnen worden.

Stap 7: Informeren

Tot slot moet je de bezoekers van je site over bovenstaande instellingen informeren in je privacyverklaring.

Leg de volgende zaken duidelijk uit:

  • Gebruik van  Google Analytics (geen toestemming voor nodig);
  • Waarom je dit doet;
  • De functie ‘gegevens delen’ is uitgezet;
  • Amendement gegevensverwerking is geaccepteerd;
  • Je maakt geen gebruik van andere Google diensten in combinatie met de analytics cookies;
  • IP-adres is geanonimiseerd;
  • Ingestelde termijn dat gegevens van Google Analytics op gebruikersniveau bewaard mogen worden.

Google Analytics AVG-Proof

Heb je al deze stappen voltooid en dit verwerkt in je privacyverklaring? Dan ben je weer een stapje verder!

Heb jij vragen over privacy met betrekking tot Google Analytics waar je antwoorden op wil? Neem dan contact met me op.

 

Blijf op de hoogte!