AVG, GDPR, Privacy Shields, cookieverboden en dataverdragen: gegevensbescherming is en blijft een hot topic. Niet alleen voor ‘lokale’ ondernemers: ook (of júist) voor multinationals als Google zijn de veranderende regels en voorschriften soms een struggle.

Even terug in de tijd: misschien heb je meegekregen dat in meerdere Europese landen de lokale gegevensbeschermingsautoriteit Google Analytics verboden heeft. Dit was vanwege een inbreuk op privacy van gebruikers.

Google heeft de aanklachten aangegrepen voor het pushen van de overstap naar de ‘nieuwe analytics’: GA4. Maar, is die nieuwe versie wel privacyproof?

Wat is het privacyprobleem van Google?

Google Analytics is een programma dat het gedrag van websitegebruikers trackt. Op basis van die data kan een beheerder verbeteringen doorvoeren op een website. Niks mis mee, zou je denken.

Maar waar Google Analytics (UA) volgens Europese regels onder andere de fout in gaat is het opslaan van die data. Google gebruikt servers uit de Verenigde Staten, en is verplicht om die opgeslagen persoonsgebonden data te delen met de Amerikaanse autoriteiten wanneer daar om gevraagd wordt. En omdat de gegevens te herleiden zijn aan personen, is dat geen prettig idee.

Door een toenemende behoefte aan het bundelen van data én als reactie op de ophef (die ze natuurlijk al zagen aankomen) heeft Google GA4 in het leven geroepen als hét nieuwe trackingsplatform. Centraal in GA4 staat het beter naleven van de AVG-richtlijnen – ook wel bekend als de Europese GDPR – en het beschermen van persoonsgegevens.

In GA4 zijn cookies zijn niet meer nodig zijn, worden IP-adressen niet opgeslagen en gebruikers volledig geanonimiseerd. Bovendien bieden gekoppelde programma’s zoals Tag Manager en Google Ads de mogelijkheid om privacykeuzes van gebruikers direct over te nemen. Verder is de bewaartermijn van gegevensopslag behoorlijk gereduceerd (van minimaal 64 maanden naar de keus uit 14 naar 2 maanden). En misschien wel de belangrijkste wijziging: gebruikers kunnen een verzoek tot verwijdering van gegevens kunnen indienen, en per gebruiker kunnen alle gegevens verwijderd worden.

Twisten over persoonsgegevens, privacy en Google Analytics 4

Toch is het de vraag of Google Analytics 4 daadwerkelijk zo GDPR-proof is als het klinkt.

Het lijkt nog niet het geval. Zo biedt GA4 nog niet de mogelijkheid om te kiezen waar gegevens worden opgeslagen. De meeste GA4-servers bevinden zich in Amerika. Dat wil dus zeggen dat er mogelijk gegevens overgedragen worden naar Amerika, of je het nou wil of niet.

Voor Europese gebruikers houdt dit in dat Google niet voldoet aan het beleid.

Een ander twistpunt is dat Google graag gegevens wil delen met andere Google-producten op het moment dat GA wordt ingesteld. Vooral de advertentievoorkeuren en de opt-in mogelijkheden zijn instellingen die hierbij een grote rol spelen.

Wanneer je blind akkoord gaat met het delen van al deze gegevens bij het instellen van GA4, is er de mogelijkheid dat je niet voldoet aan de AVG-richtlijnen. Check dus even hoe deze instellingen staan.

Hoe voldoe je wel aan de AVG met GA4?

Als je Google Analytics gebruikt, wil je dat het gewoon werkt én voldoet aan de wetten. Je wil de gegevens van je gebruikers immers beschermen, toch?

Wat je daarvoor moet doen: zorgen dat persoonsgegevens niet herleid kunnen worden, zoals in de GDPR-richtlijnen gedefinieerd staat. Het is alleen niet altijd duidelijk wanneer de gegevens die je uit Google Analytics haalt als persoonsgegevens worden beschouwd en dat maakt het lastig.

Maar wanneer zijn gegevens uit GA4 dan te herleiden naar een persoon?

GA4 maakt een aantal indicatie-/meetpunten aan om data te verzamelen. Het apparaat-ID is hiervan de belangrijkste. Dit gegeven klinkt alsof het naar een persoon te herleiden is, maar een apparaat-ID is anoniem (én uniek). Het ID wordt toegewezen aan elk device dat wordt gebruikt om de gemeten website te bezoeken.

Ondanks dat het anoniem is en als een op zichzelf staand onderdeel niks betekent, kent het tóch z’n gebreken. Het ‘gevaar’ zit hem vooral in het feit dat het mogelijkerwijs personen kan herleiden als het ID wordt gecombineerd met gebruikersgegevens uit andere bronnen. Dan is, in het ergste geval, een persoon te herleiden.

Gelukkig is het allemaal niet volledig kommer en kwel, want er zijn oplossingen! Het is namelijk in te stellen dat verzamelde gegevens geen persoonsgegevens worden en dus niet herleid kunnen worden. Hieronder staan 4 handigheidjes die je daarvoor kunt toepassen:

        1. Gebruik GA4 alleen in het format waarin alles standaard geanonimiseerd is. Alle aanpassingen die je maakt kunnen, zonder dat je het weet, ervoor zorgen dat gegevens worden omgezet naar persoonsgegevens. Dan is er de mogelijkheid dat je niet voldoet aan de AVG-richtlijnen.
        1. Deel geen GA4-gegevens met andere Google (tracking) platformen, zoals bijv. Google Signals en Google Ads. Sommige instellingen uit deze platformen voldoen niet aan de AVG-normen en vereisen aanpassingen in je privacy beleid.
        1. Schakel de functie voor het personaliseren van advertenties in GA4 uit. Deze functie zorgt ervoor dat de anonimiteit eraf gaat en dus daarmee ook dat gegevens worden omgezet naar persoonsgegevens. Dit kan resulteren in het kunnen herleiden van gebruikers.
        1. Gebruik de (geanonimiseerde) gegevens die zijn verzameld via GA4 alleen voor statistische rapportages. Ondanks dat het anonieme data zijn, moet er nog steeds voorzichtig mee worden omgegaan. Uiteindelijk is de data bedoeld om een conclusie te kunnen trekken en verbeteringen te kunnen toepassen op de website. Gebruik ze dan ook daarvoor.

Goed om erbij te vermelden is dat bovenstaande punten alléén gelden voor het voldoen aan het AVG-beleid met gegevens vanuit GA4 en niet voor overige gegevens die verzameld zijn buiten dit programma om. 

Dus is GA4 nou een goede privacy-keus?

GA4 is zeker weten een grote verbetering ten opzichte van UA als je het hebt over het naleven van de AVG-/GDPR-richtlijnen en persoonsgegevensbescherming. Toch blijven er haken en ogen aanzitten, puur en alleen al omdat het programma van Amerikaanse afkomst is en er vanuit hun dus altijd enige invloed zal blijven.

Als je meer zekerheid wil van de bescherming van persoonsgegevens kun je dus beter op zoek naar Europese alternatieven. Er zijn voldoende alternatieven die goed te koppelen zijn aan bijvoorbeeld Tag Manager en Google Ads. In onze vorige blog 5 alternatieven voor GA geven we je een aantal alternatieven die je kunt gebruiken voor Google Analytics. Bekijk die ook eens.

Online marketingbureau in Utrecht

Wil je eens sparren over de beste trackingsmogelijkheden voor uw bedrijf? Of heb je hulp nodig bij het inrichten van je GA4-omgeving? Neem vrijblijvend contact op met online marketingbureau Sageon. We helpen je graag verder!