Alles wat je moeten weten over: privacy, GDPR en website analytics tools

Blog
Gepost op
5/04/2023
Privacy wouter

Er is heel wat te doen over privacy, GDPR en website analytics tools zoals Google Analytics. 

Als Digital Experience Agency vinden we het erg belangrijk om een duidelijke visie te hebben over deze onderwerpen. In dit artikel vatten we een aantal belangrijke evoluties samen en werpen we een blik op de toekomst en hoe die er volgens ons zal komen uit te zien.

Lees verder en ontdek…

  • Een bondige samenvatting van wat nu precies het probleem is met Google Analytics
  • Welke settings in Google Analytics een issue zijn op vlak van GDPR
  • Andere tools die je kan inzetten ter vervanging van GA
  • Waarom we van mening zijn dat de huidige wetgeving meer kwaad doet dan goed

Laten we erin duiken…

De huidige situatie in Google Analytics land

Elke maand verschijnt er wel een nieuw artikel over een of andere autoriteit die een uitspraak heeft gedaan gerelateerd aan de GDPR-wetgeving.

In de loop van 2022 regende het uitspraken van de Oostenrijkse DSB, Franse CNIL, Italiaanse GPDP en verschillende andere gegevensbeschermingsautoriteiten over websites die moesten stoppen met het gebruik van Google Analytics.

Als we de complexe wetteksten en uitspraken even vertalen naar mensentaal dan komt het in de meeste gevallen hier op neer:

  • De websites in kwestie verzamelen gegevens die beschouwd worden als persoonlijke informatie
  • Deze informatie werd verzameld zonder voorafgaande toestemming
  • Al deze website analytics data komt terecht op Amerikaanse servers

Gezien de gegevens fysiek bewaard worden op servers in de VS kunnen Amerikaanse autoriteiten (zoals de NSA) deze ook raadplegen.

En daar wringt het schoentje: Google kan de privacy die de GDPR vraagt niet garanderen omdat de Amerikaanse wetgeving deze sowieso overruled.

Hoe persoonlijk is persoonlijke data?

Het is ondertussen wel duidelijk: het verzamelen van persoonlijke data én het bewaren van die data op Amerikaanse servers ligt aan de grond van heel wat heisa.

“Maar Wouter, onze website verzamelt helemaal geen persoonlijke data!”

Ben je zeker?

Volgens de definitie van de GDPR vallen namelijk erg veel zaken onder de noemer “persoonlijk”...

Van zodra iemand op eender welke manier rechtstreeks of onrechtstreeks te identificeren valt spreekt men over “persoonlijke” data. Denk hierbij niet alleen aan de usual suspects zoals geboortedata en e-mailadressen, maar ook aan IP-adressen of geanonimiseerde IP-adressen in combinatie met browsergegevens, schermresolutie of type van toestel dat je bezoeker gebruikt.

Indien Google Analytics een uniek identificatienummer toewijst aan een bezoeker en ditzelfde identificatienummer wordt gebruikt wanneer die bezoeker met een ander toestel jouw website bezoekt (omdat deze bijvoorbeeld ingelogd is op zijn Google account) dan is ook dit een vorm van persoonlijke data.

Sterker nog: indien data in Google Analytics kan gecombineerd worden met data uit andere tools en dit kan op een of andere manier leiden tot het identificeren van een persoon, dan is ook dit een vorm van persoonlijke data.

Hoe je ervoor kan zorgen dat je zo weinig mogelijk “persoonlijke” data verzamelt hangt af van de tool die je gebruikt:

  • Google Universal Analytics: schakel zo snel mogelijk over naar GA4 of een alternatieve tool
  • Google Analytics 4 (GA4): volg de privacy-friendly setup in het volgende onderdeel
  • Matomo Analytics (een mogelijke alternatieve tool): configureer deze volgens hun eigen gids
  • Gebruik je een andere tool: laat deze reviewen door je DPO

Een privacyvriendelijke Google Analytics 4 setup

Indien je Google Analytics 4 gebruikt op je website doe je er goed aan om deze zodanig in te stellen dat er geen persoonlijke data wordt bewaard of gedeeld met derden.

GA4 privacyvriendelijk instellen doe je als volgt:

  1. Google Signals: uitschakelen
  2. User ID: uitschakelen
  3. User-provided data capabilities: niet toestaan
  4. Granular location and device data collection: uitschakelen
  5. Advanced Settings to allow for Ads Personalization: alles uitschakelen
  6. Data Sharing Settings (terug te vinden op account-niveau): alles uitschakelen

En uiteraard: stuur pas gegevens door naar Google Analytics nadat je websitebezoeker expliciet toestemming gegeven heeft i.v.m. het verzamelen van statistische data.

There can’t be only one

Google Analytics is lang niet de enige web analytics tool die ons nuttige inzichten kan verschaffen.

Er zijn tal van alternatieven, elk met hun eigen voor- en nadelen. Deze allemaal oplijsten en met elkaar vergelijken zou ons te ver brengen, maar hierbij toch een overzicht van enkele tools die we zelf prefereren en hun belangrijkste eigenschappen.

Matomo Analytics

  • Open-source
  • EU-Cloudoplossing (betalend) én on-premise oplossing (deels gratis)
  • Goedgekeurd door de Franse gegevensbeschermingsautoriteit (CNIL) om te gebruiken zonder voorafgaande toestemming van websitebezoekers* (mits bepaalde features zijn uitgeschakeld)
  • Gebruikt geen cookies
  • Heeft een ingebouwde tag management oplossing

Piwik Pro

  • Heeft een gedeelde historiek met Matomo (wat vroeger de naam “Piwik” had) maar is niet open-source
  • EU-Cloudoplossing (gratis) én on-premise oplossing (enkel voor enterprise klanten)
  • Door de historiek met Matomo zijn veel features en eigenschappen van Piwik Pro gelijkaardig aan die van Matomo (Piwik Pro gebruikt bijvoorbeeld ook geen cookies, heeft een ingebouwde tag management oplossing en is net als Matomo goedgekeurd door CNIL* om data te capteren zonder voorafgaande toestemming mits de tool correct werd geconfigureerd)

Simple Analytics

  • Sterk vereenvoudigde tracking en rapportage (what’s in a name…). Verwacht geen al té uitgebreide features (al hebben ze wel een publieke roadmap en GitHub om te kijken of een bepaalde feature op de planning staat)
  • EU-Cloudoplossing (betalend)
  • Zeer transparant. Zo delen ze bijvoorbeeld hoeveel klanten ze hebben, hun bedrijfskosten, winstmarge, … en gegevens over hun websitebezoekers (op een SimpleAnalytics dashboard, uiteraard)
  • Niet goedgekeurd door CNIL (zoals Matomo en Piwik Pro) al voldoen ze wél aan de vereisten

*Belangrijke opmerking: het Franse CNIL keurde Matomo en Piwik Pro dan wel goed om in te zetten zonder voorafgaande toestemming van je bezoekers, Frankrijk is uiteraard België niet. De Belgische GBA keurde de richtlijnen van CNIL nooit af, maar ook nooit goed. Ook al hebben ze zich in Frankrijk gebaseerd op de Europese GDPR-wetgeving, we moeten hierin voorzichtig blijven. Net daarom raden we voorlopig nog steeds aan om altijd toestemming te vragen aan je bezoekers alvorens je iets van tracking uitvoert.

Welke tool is nu voor jouw organisatie het meest geschikt?

Wel, mogelijk bezorgt de bovenstaande opsomming van belangrijkste features je al een “aha!” moment.

Indien niet, dan is het een kwestie van te bepalen welke features en eigenschappen must-haves zijn voor jouw organisatie…

  • Mag de tool in de cloud staan of vraagt je DPO om een on-premise oplossing?
  • Moet de tool gratis zijn?
  • Moet de data kunnen doorstromen naar andere tools? (Bijvoorbeeld naar een CRM-systeem of BI-dashboards.)
  • Wil je veel data en rapporten om complexe analyses te maken, of heb je voldoende info met wat algemene cijfers?

Op basis van bovenstaande vragen kan je een aantal tools schrappen, om dan met 1 of meerdere opties over te blijven. Uiteraard kunnen we je ook helpen bij deze oefening!

Europa overdrijft

Complexe configuraties van web analytics tools, het reviewen van privacy policies, het aanvullen van cookie policies of het wijzigen van de cookie banner op basis van de laatste adviezen… het vraagt allemaal heel wat tijd.

Grote ondernemingen schakelen een batterij aan eigen developers, DPO’s en advocaten in om te zorgen dat dit alles gebeurt volgens de regels van de kunst, maar voor kmo's is het vaak een enorme uitdaging om in lijn te zijn (en te blijven) met het immer wijzigende landschap en de kosten die ermee gepaard gaan.

Eenmaal in orde met de strikte wetgevingen, dan ben je als onderneming vaak heel wat nuttige informatie kwijt omdat veel websitebezoekers alle vormen van tracking weigeren wanneer ze deze keuze krijgen, en dat vaak door onterechte bangmakerij in de pers.

De verloren data kunnen bedrijven niet langer inzetten om hun diensten, marketing en onderneming in het algemeen te verbeteren, omdat ze door Europa beschouwd wordt als een inbreuk op de privacy.

99,9% van de ondernemingen heeft echter geen intentie om persoonlijke data te misbruiken. Voor hen dient Google Analytics louter om…

  • Na te gaan hoeveel bezoekers de website heeft (om te rapporteren aan het management of om cijfers te kunnen voorleggen aan potentiële adverteerders)
  • Te kijken welke kanalen goed werken en welke niet (om beslissingen te nemen op vlak van budgetverdelingen)
  • Te zien met welke content de bezoekers het meeste interactie vertonen (om de content meer te kunnen afstemmen op het doelpubliek)
  • Enz.

De gemiddelde onderneming is geen Cambridge Analytica, maar wordt door Europa wel zo behandeld.

De visie van Dropsolid

Zijn we dan tegen het vragen van toestemming om bepaalde zaken te gaan tracken? Helemaal niet!

Als open digital experience agency zijn we niet alleen voorstander van consent, we zijn ervan overtuigd dat volledige transparantie en ownership van data de way to go is.

Ook Google lijkt meer belang te gaan hechten aan data sovereignty door het aanbieden van “T-systems Sovereign Cloud” (wat het mogelijk maakt om de data van bepaalde Google Cloud tools op Duitse servers te bewaren). 

Privacy is een zeer belangrijk gegeven en we zien dit naar de toekomst toe alleen maar groeien aan belang.

Echter, de huidige wetgeving is niet de oplossing… wat momenteel beschouwd wordt als anonieme data en wat het label “persoonlijke data” opgekleefd krijgt in de Analytics-wereld moet herzien worden.

Kmo's en organisaties zonder slechte bedoelingen zijn namelijk momenteel de dupe, terwijl ondernemingen die van slechte wil zijn heus wel de nodige achterpoortjes vinden.

Het bijhouden van volledig anonieme bezoekersstatistieken moet in onze ogen mogelijk zijn zonder voorafgaande toestemming. Dit is namelijk een cruciale tool voor bedrijven en organisaties om hun website en diensten te optimaliseren.

Wat brengt de toekomst?

Respect voor de privacy van website bezoekers en tegelijkertijd Belgische bedrijven en organisaties toch de tools geven om hun online platformen te kunnen optimaliseren… volgens ons is het mogelijk.

Zolang Google Analytics echter gezien wordt als een tool die persoonlijke data capteert en bewaart op servers in de VS heb je sowieso expliciete toestemming nodig van je bezoekers alvorens je tracking uitvoert.

Het is mogelijk dat Google naar de toekomst toe extra features zal voorzien in zijn tools om toch te voldoen aan de strenge Europese regels. Denk bijvoorbeeld aan extra instellingen die veel specifieker bepalen wat wel en niet wordt gemeten, of de mogelijkheid om de fysieke locatie te kiezen van de server waar de data op terechtkomt.

Wil je graag eens sparren over jouw situatie? Geef ons dan gerust een seintje!