Stap 1: Sluit een bewerkersovereenkomst met Google

Op grond van artikel 14 van de Wet Bescherming Persoonsgegevens (Wbp) dient u als verantwoordelijke een bewerkersovereenkomst te sluiten met Google. In deze overeenkomst wordt vastgelegd dat Google alleen als bewerker optreedt bij de verwerking van de persoonsgegevens van uw websitebezoekers.

De overeenkomst is eenvoudig aan te gaan via een standaard instelling in Google Analytics.
Je kunt de overeenkomst vinden in uw Google Analytics account onder ‘Beheer’, ga vervolgens naar ‘Account Instellingen’.

Amendment

Klik op ‘Aanpassing bekijken’ voor de volledige overeenkomst of ‘Amendment gegevensverwerking’ in te zien.

voorwaarden

Klik op ‘accepteren’. Let op: als je op accepteren klikt is de overeenkomst nog niet geaccepteerd. Hiervoor dien je ook nog op ‘opslaan’ te klikken.

aanpassingen-bekijken

Indien je op opslaan hebt geklikt is de bewerkersovereenkomst met Google officieel afgesloten.

Stap 2: Anonimiseer het IP-adres

Standaard biedt Google Analytics de functie om het IP-adres van de bezoeker binnen Google Analytics te anonimiseren. Hierbij wordt de laatste 3 cijfers van het IP-adres verwijderd. Dit gebeurd in het tijdelijke geheugen, nog voordat het IP-adres door Google wordt opgeslagen.
Door deze functionaliteit toe te passen wordt een extra stap ondernomen om te voorkomen dat data tot op het niveau van een enkele bezoeker kan worden teruggehaald. Het aantal bezoekers dat dan nog binnen een range van IP-adressen zit loopt dan nog op tot 256 computer. Omdat dit nog steeds een vrij beperkt aantal is ziet het CBP het resterende deel van het IP adres, dat dus nog wel naar Google Analytics wordt gestuurd, nog steeds als een persoonsgegeven.

Om de anonymize IP functie binnen Google Analytics te kunnen gebruiken dient er een toevoeging te worden gedaan aan de tracking code die op de site wordt geladen. Onderstaand zie je hoe je deze toevoeging eruit ziet binnen je standaard tracking code:

Universal Analytics

<!– Google Analytics –>
<script>// <![CDATA[
(function(i,s,o,g,r,a,m){i[‘GoogleAnalyticsObject’]=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,’script’,’//www.google-analytics.com/analytics.js’,’ga’);

ga(‘create’, ‘UA-XXXX-Y’, ‘auto’); //vervang ‘UA-XXXX-Y’ door uw property ID
ga(‘set’, ‘anonymizeIp’, true);
ga(‘send’, ‘pageview’);
// ]]></script>
<!– End Google Analytics –>

Het CBP geeft als tip mee om het een screenshot te bewaren van wanneer u de anonymize IP functie heeft toegevoegd aan uw tracking code.

Google Tag Manager

Mocht het zo zijn dat u Google Tag Manager gebruikt kunt u gebruik maken van een ingebouwde functionaliteit om anonymize IP te activeren. Deze aanpassing dient gedaan te worden aan de standaard Google Analytics pageview tag binnen Google Tag Manager. Kies onder het kopje More Settings → Basic configuration en hier ziet u de Anonymize IP functie staan (zie ook onderstaand afbeelding).
google tag manager

Stap 3: Deel niet al uw gegevens met Google

Standaard is in de instellingen van Google Analytics aangevinkt dat u data met Google deelt. Deze data wordt onder andere gebruikt voor benchmark analyses, technische ondersteuning en toegang voor Google- account specialisten.

Als je deze standaard instellingen dus niet wijzigt ga je akkoord met het feit dat Google de gegevens van uw websitebezoekers voor eigen doeleinden gebruikt. Hiermee veranderd de rol van Google van slechts uw bewerker naar verantwoordelijke en moet er toestemming aan de bezoekers altijd worden gevraagd namens Google voor de verwerking van persoonsgegevens met Analytics-cookies. Bij het niet-uitzetten van deze functionaliteit, is de toestemmings- en informatieplicht op grond van de cookiewet verplicht!

Je kunt deze instellingen eenvoudig wijzigen via je Google Analytics account onder ‘Beheer’, ga vervolgens naar ‘Account Instellingen’. Vink alle 4 de opties hier uit en klik op ‘Opslaan’.

Stap 4: Laat aan uw gebruiker weten dat u Analytics gebruikt

Ruim binnen je website ruimte in waar bezoekers overzichtelijk kunnen inzien wat je op je website allemaal doet met de persoonsgegevens van bezoekers. Je kunt dit opnemen binnen je privacystatement of hier een aparte pagina voor opnemen. Informeer de bezoeker van het feit dat je bovenstaande stappen hebt uitgevoerd om vertrouwelijk met zijn persoonlijke informatie om te gaan. Benoem de stappen die je hebt doorlopen:
Het feit dat je gebruik maakt van analytische cookies (bijvoorbeeld Google Analytics).
Geef aan dat je een bewerkersovereenkomst met de aanbieder van het web analyse pakket hebt afgesloten.
Het IP-adres van de bezoeker hebt geanonimiseerd.
Geef tot slot aan dat je de gegevens die je met behulp van deze analytische cookies verzamelt niet deelt met andere partijen, zoals Google of binnen andere Google producten.
Om bezoekers op de hoogte te stellen over het gebruik van persoonsgegevens binnen de website heeft het CPB zelf een goede voorbeeldpagina. Deze pagina geeft je een goede indruk van wat er op een dergelijke pagina verwacht wordt.

Het CBP adviseert om naast eerder genoemde stappen ook het bezoekers de mogelijkheid te bieden om er bewust voor te kunnen kiezen om niet gemeten te worden door analytische cookies. Met behulp van onderstaand script kun je deze functie aanroepen binnen Google Analytics en zorg je ervoor dat bezoekers zelf kunnen aangeven om bewust niet gemeten te worden. Let op! deze Opt-out functie werkt niet voor mobiele apparaten.
<script>
// Set to the same value as the web property used on the site
var gaProperty = ‘UA-XXXX-Y’;

// Disable tracking if the opt-out cookie exists.
var disableStr = ‘ga-disable-‘ + gaProperty;
if (document.cookie.indexOf(disableStr + ‘=true’) > -1) {
window[disableStr] = true;
}

// Opt-out function
function gaOptout() {
document.cookie = disableStr + ‘=true; expires=Thu, 31 Dec 2099 23:59:59 UTC; path=/’;
window[disableStr] = true;
}
</script>

Vervolgens dient er op de site een button of link aanwezig te zijn die de bezoeker in staat stelt om de Google Analytics Opt-out te activeren. Deze link zou er als volgt uit kunnen zien:

<a href=”javascript:gaOptout()”>Klik hier voor een Google Analytics opt-out</a>

Persoonlijk Advies?

Benieuwd naar welke invloed deze aanpassing zal hebben op uw onderneming of hoe u dient om te gaan met de veranderingen in de cookiewetgeving? Neem dan contact op met onze specialisten.

Bekijk ook onze andere artikelen over de cookiewetgeving:
https://orangevalley.nl/cookiewet-update/
https://orangevalley.nl/wijziging-cookiewet-op-1-januari-2013/
https://orangevalley.nl/update-cookiewet-5-mei-2012/

Dit artikel is eerder gepubliceerd op Emerce.nl.