Gebruikers Google Analytics hebben een probleem

27 januari 2022, 06:00

Nog altijd geen betrouwbaar raamwerk voor het vragen en vastleggen van toestemming

Google Analytics is sinds jaar en dag de meest gebruikte tool om gegevens van websitebezoekers te verzamelen en te analyseren. Maar het lijkt erop dat de gloriedagen van Google Analytics voorbij zijn, nu de Oostenrijkse privacywaakhond DSB onlangs tot de conclusie kwam dat Google Analytics in strijd is met de GDPR/AVG en niet langer gebruikt mag worden door organisaties die gegevens verwerken van EU-burgers.

In navolging hiervan heeft de Nederlandse Autoriteit Persoonsgegevens (AP) inmiddels gewaarschuwd dat het gebruik van Google Analytics binnenkort mogelijk niet meer toegestaan is in Nederland. De AP doet nu nader onderzoek naar het gebruik van Google Analytics.

Groot probleem bij eventueel verbod

Een ding is zeker: bij een eventueel verbod op het gebruik van Google Analytics staan Nederlandse gebruikers voor een groot probleem. Volgens W3Techs is het marktaandeel van Google in analytics 86,5%. Dit betekent dat negen van de tien Nederlandse organisaties getroffen zouden worden door een dergelijk verbod. Organisaties die dat negeren, kunnen op zware sancties rekenen. De AP kan boetes opleggen tot 20 miljoen euro of 4 procent van de wereldwijde omzet in het voorgaande boekjaar. Dan heb je het dus over serieuze bedragen.

Geen verrassing

Eigenlijk mag deze ontwikkeling niet als een verrassing komen. Volgens NOYB, de organisatie van privacy activist Max Schrems, zijn in alle 30 lidstaten van de EU en de EER (Europese Economische Ruimte) de afgelopen jaren klachten ingediend tegen in totaal 101 Europese bedrijven die nog steeds gegevens over iedere bezoeker doorsturen naar Google Analytics en Facebook Connect. Op de lijst van NYOB staan ook vier websites van bedrijven die in Nederland actief zijn. Deze klachten werden ook ingediend tegen Google en Facebook in de VS, omdat zij deze gegevensoverdrachten blijven accepteren, hoewel dit in strijd is met de AVG.

De afgelopen jaren zijn er regelmatig berichten verschenen over de twijfelachtige privacy-praktijken van Google. Denk daarbij aan het vastleggen van de aankoopgeschiedenis van gebruikers op basis van e-mailbevestigingen in Gmail, het personaliseren van advertenties in browsers in incognitomodus en het aankopen van transactiegegevens van Visa en Mastercard. Deze praktijken hebben ervoor gezorgd dat verschillende Europese organisaties Google in het verleden al voor de rechter hebben gedaagd voor overtredingen van de AVG, waaronder de CNIL in Frankrijk, de NYOB in Oostenrijk, de Panoptykon Foundation in Polen, de Ierse Data Protection Commission (DPC) en de Europese consumentenorganisatie (BEUC).

Hieronder een aantal punten waar het bij Google Analytics mis gaat voor wat betreft AVG-compliance:

EU opslag maar toch toegankelijk voor Amerikaanse autoriteiten

Ook wanneer via Google Analytics verzamelde gegevens in de EU worden opgeslagen, blijven ze toegankelijk voor de Amerikaanse autoriteiten. Een ander bezwaar tegen het gebruik van Google Analytics is dat daarmee verzamelde gegevens toegankelijk in principe altijd toegankelijk zijn voor de Amerikaanse autoriteiten. Google Analytics is namelijk geen gelokaliseerde service, wat betekent dat het bijvoorbeeld niet gehost kan worden op een Google Cloud Platform (GCP) dat in een EU-datacenter draait. Als dat wel mogelijk zou zijn, is er wellicht een mogelijkheid om de gegevens extra te beveiligen met encryptie. Het probleem is alleen dat Google volgens de Amerikaanse wet (de CLOUD Act uit 2018) wettelijk verplicht is om zowel gegevens als eventuele encryptiesleutels af te staan de aan de Amerikaanse autoriteiten, als die daarom vragen.

Ook toestemming vragen als je geen persoonsgegevens verwerkt

Als website-eigenaar met GA moet u nog steeds om toestemming vragen, zelfs wanneer u geen persoonsgegevens wilt verwerken. Zelfs wanneer u geen persoonsgegevens wil verwerken, moet u bezoekers van uw website toch om toestemming vragen. In Google Analytics wordt iedere bezoeker namelijk geregistreerd met een uniek ID-nummer. Met dit ID-nummer biedt Google Analytics gebruikers onder andere inzicht in hoeveel mensen een website bezoeken en hoeveel daarvan terugkeren. Deze online identifiers worden volgens de AVG echter als persoonsgegevens beschouwd. Deze persoonsgegevens kunnen weliswaar versleuteld (‘gehasht’) worden, maar volgens de AVG worden deze gehashte gegevens nog altijd als persoonsgegevens beschouwd en is er daarom toestemming van de bezoeker nodig om deze te verzamelen en te verwerken. Dat is een probleem voor organisaties, want 30-70% van de bezoekers geeft daar geen toestemming voor.

Geen betrouwbaar raamwerk voor toestemming

Dit brengt ons bij een volgend probleem. Google Analytics heeft namelijk nog altijd geen betrouwbaar raamwerk voor het vragen en vastleggen van toestemming voor het bijhouden van die bezoekersgegevens. In november 2021 werd bekend dat het in Europa veelgebruikte IAB Consent Framework voor cookie-toestemming de AVG overtreedt. Dit betekent dat organisaties die met Google Analytics informatie over bezoekers willen verzamelen een andere manier moeten vinden om met toestemmingen en gegevensverzoeken om te gaan.

Gegevens zijn de basis van het verdienmodel van Google

Het grootste bezwaar tegen het gebruik van Google Analytics is echter het fundament van dit platform. Het verdienmodel van Google draait om het gebruik van de gegevens van websitebezoekers, bijvoorbeeld om de eigen (betaalde) diensten van Google te verbeteren. De informatie die organisaties via Google Analytics verzamelen wordt gedeeld met gebruikers van andere Google-producten, zoals Google Ads, YouTube en Google AdSense. Met de gegevens die via Google Analytics verstrekt worden is het voor Google mogelijk om gebruikersprofielen aan te maken. Omdat daarbij gegevens uit verschillende bronnen worden verzameld en gecombineerd, is het mogelijk om privacygevoelige gebruikerskenmerken zoals geslacht en locatie te bepalen.

Die gegevens kunnen vervolgens in rapporten beschikbaar gesteld worden aan derden. Bovendien zijn Google Ads-adverteerders dankzij de Google Analytics-code op websites bekend met de voorkeuren van bezoekers. Die informatie kunnen ze vervolgens gebruiken om bezoekers gerichte advertenties te tonen. Google stelt weliswaar in een reactie op het nieuws over de GDPR/AVG dat “Google Analytics niet gebruikt kan worden om mensen over het web of in apps te volgen” en dat het “geen gebruikersprofielen creëert”, maar daarbij draaien ze om de zaken heen. Die gebruikersprofielen worden inderdaad niet in Google Analytics zelf gecreëerd, maar door Google. Daarvoor kan wel degelijk data van Google Analytics gebruikt worden.

Begin nu te kijken naar alternatieven

Als het inderdaad tot een verbod komt, zal het vanwege deze en andere fundamentele kenmerken van Google Analytics voor Nederlandse organisaties bijzonder moeilijk – zo niet onmogelijk – zijn om dit platform te blijven gebruiken en ook te voldoen aan de AVG. Daarom is het sterk aan te raden om alternatieven te onderzoeken die wél voldoen aan alle privacyrichtlijnen in de AVG. En gelukkig zijn er uitstekende Europese alternatieven, zoals Plausible, Piwik PRO (waar ik werk) Simple Analytics en Splitbee. Wacht daarmee niet tot zo’n verbod er daadwerkelijk is, maar begin direct zodat uw organisatie een goede vertrouwensrelatie opbouwt met klanten en u zonder onderbrekingen – en volledig AVG-compliant – bezoekersgegevens kan blijven verzamelen en analyseren.

Vincent de Winter houdt zich als Regional Manager voor Piwik PRO in de Benelux actief bezig met het onder de aandacht brengen van alternatieven voor Adobe en Google Analytics, met een sterke nadruk op privacy en compliance. Hij bouwt daarbij op zijn jarenlange ervaring binnen de overheid en bij financiële dienstverleners. Zo probeert hij meer bewustzijn te creëren over het verantwoord omgaan met data die is verkregen via online analytics oplossingen zoals Piwik PRO.

Categorie
Tags

3 Reacties

    Lars Maat

    Haha.. wij van WC-eend… 😉 Dank voor je heldere toelichting op de dingen die nu in de wandelgangen rondgingen in ieder geval!


    27 januari 2022 om 20:53
    Jorg

    Bedankt voor de info maar deze ontwikkelingen zullen er echt niet voor zorgen dat er op korte termijn afscheid genomen wordt van GA. Apart van Marketingfacts dat een platform wordt geboden aan een commerciële partij voor haar eigen diensten. Dat haalt tevens de geloofwaardigheid van het verhaal wat onderuit.


    27 januari 2022 om 22:25
    luuk.ros

    Hi Jorg, dat doen we vaker. Vrijwel iedereen die hier schrijft heeft ergens een commercieel belang, je mag er alleen niet teveel op leunen of obligaat reclame maken voor je eigen toko, maar kom vooral met een weerwoord. Onze intentie is het vak verder te brengen. Als je vindt dat we dat we bovenstaand moeten nuanceren, ga je gang. Kom met tekst, audio, video. Plaatsen we graag.


    28 januari 2022 om 09:18

Marketingfacts. Elke dag vers. Mis niks!

Welke nieuwsbrief