De juiste Google Analytics instellingen om te voldoen aan de privacywet (AVG)

6 stappen om Google Analytics privacyvriendelijk in te stellen

In mei 2018 trad de nieuwe privacywet in werking. Goed dat er meer aandacht kwam voor de privacy van consumenten, maar wat je precies mocht en moest in het kader van de AVG, was voor velen onduidelijk en verwarrend. Twijfel je nog steeds aan de manier waarop je website data verzamelt? Dit artikel legt je uit hoe je Google Analytics instelt om aan de AVG te voldoen.

De juiste Google Analytics instellingen om te voldoen aan de privacywet (AVG)

6 stappen om Google Analytics privacyvriendelijk in te stellen

Anton Bies
Technisch Webanalist bij Digital Power
Laatst bijgewerkt: 24-04-2019

10 min.

In mei 2018 trad de nieuwe privacywet in werking. Goed dat er meer aandacht kwam voor de privacy van consumenten, maar wat je precies mocht en moest in het kader van de AVG, was voor velen onduidelijk en verwarrend. Twijfel je nog steeds aan de manier waarop je website data verzamelt? Dit artikel legt je uit hoe je Google Analytics instelt om aan de AVG te voldoen.

Privacyvriendelijke instelling Google Analytics in 6 stappen

De Autoriteit Persoonsgevens (AP) heeft een document opgesteld voor het privacyvriendelijk instellen van Google Analytics. Hiermee is het in ieder geval duidelijk wanneer de Nederlandse handhavingsinstantie vindt dat er geen toestemming voor Google Analytics tracking nodig is.

Het is aan te raden dat je Google Analytics instelt volgens de 6 stappen uit het document. Vraag je, via een AVG-proof cookiebanner, toestemming voor het verzamelen van cookies? Dan kun je de functionaliteiten van Google Analytics wat uitgebreider gebruiker. Daarom volgt hieronder een uitleg van de stappen met toelichting op eventuele aanpassingen die je kunt doorvoeren wanneer je consent hebt van je websitebezoeker.

Stap 1. Een bewerkersovereenkomst met Google afsluiten

Het begint simpel. Onder Admin / Account Settings binnen de Google Analytics interface is het kopje Data Processing Amendment te vinden:
google-analytics-privacy-amendement

Die moet je accepteren. Gedaan? Mooi, dan ben je klaar met deze stap.

Stap 2. Google niet het volledige IP-adres laten verwerken

De volgende stap is om niet het volledige IP-adres van de gebruiker naar Google Analytics te sturen. Hier is, zeker als je Google Tag Manager gebruikt, een eenvoudige oplossing voor. Je voegt bij elke tag (hopelijk gebruik je al een Settings variabele op al je GA-tags, dan hoef je het maar 1 keer te doen) onder ‘Fields to set’ het veld anonomizeIp toe en geeft het de waarde true: 
google-analytics-ip-adressen-verzamelen
Dit maakt het wel direct een stuk moeilijker om nog je interne verkeer te filteren. En dat wil je natuurlijk wel graag doen. De makkelijkste, maar niet geheel waterdichte, manier om dat op te lossen is om het anonimiseren alleen te doen voor de mensen die geen toestemming hebben gegeven. Je maakt dan een javascript variable die op basis vanonsent true of false teruggeeft. True als er geen consent is (want dan willen we het IP adres wél nonimiseren), false als er wel consent is. Je voegt dan weer anonymizeIp toe aan de Fields to set van je settings variabele / GA tags en vult als waarde nu die variabele in:
google-tag-manager-anonymize-ip
Waarom niet geheel waterdicht? Als je collega’s geen cookies accepteren zullen ze niet gefilterd worden. Nog een stapje verder zou dan zijn om het IP adres van de gebruiker in de dataLayer te zetten voor Google Tag Manager (GTM) laadt. – Wel fijn als dat met php kan, want als je er een Application Programming Interface (API) voor moet gebruiken, krijg je last van race conditions en kun je het beter niet doen. – Op basis van dat IP adres bepaal je dan al in GTM, bijvoorbeeld met een lookup variable, of het intern of extern verkeer is en dat stuur je dan als custom dimension mee naar GA. Vervolgens filter je intern verkeer zonder dat je afhankelijk bent van cookieconsent en kun je anonymizeIpaltijd op true zetten. Of nog steeds op de variabele, als je waarde haalt uit het preciezer weten van de locatie van je gebruikers.
google-tag-manager-anonymize-ip

Stap 3. Gegevens delen met Google uitzetten

Ook onder Admin / Account Settings binnen Google Analytics is een lijstje met Data Sharing Settings te vinden. Volgens de AP is Google niet louter meer bewerker, maar ook verantwoordelijke als (één van) deze opties aangevinkt is/zijn. De makkelijkste van de 6 stappen, want er is maar 1 optie om het goed te doen. Vink alles uit. Klaar.
google-analytics-avg-instellingen

Stap 4. Gegevens delen voor advertentiedoeleinden uitzetten

Onder Admin / Tracking Info (op property-niveau in Google Analytics) / Data Collection zijn opties te vinden om data delen voor Remarketing en Advertising Reporting Features (in het Nederlands: gegevensverzameling) aan of uit te zetten. De AP geeft aan dat deze opties uit moeten staan, omdat er data met Doubeclick (valt in de marketing-categorie) gedeeld wordt als ze aanstaan.
google-analytics-gegevens-delen-advertentiefuncties
Ook dit valt via GTM nog aan te passen. De opties in de Google Analytics interface kunnen daar aanstaan, als je in Google Tag Manager onder Fields to Set de optie allowAdFeatures gebruikt. Die optie kan het data delen met Doubleclick namelijk toestaan of blokkeren. Als er geen marketing-niveau consent aanwezig is, blokkeer je de advertising features. Net als bij anonymizeIP gebruik je daar een javascript variabele voor. In dit geval moet die bij consent trueteruggeven en als er geen consent aanwezig is moet hij false zijn, precies andersom dus.
google-analytics-privacy-tagmanager
Remarketing staat in het GA-screenshot uit, maar zou nu dus eventueel aangezet kunnen worden. Alternatief is om in dezelfde settings variabele waar allowAdFeatures wordt toegevoegd, “Enable Display Advertising Features” aan te vinken:
googletagmanager-advertising-features-privacy

Het kan allebei, maar ik heb een voorkeur voor de laatste optie. Omdat je dan deze optie alleen aanzet op de plek waar je hem ook blokkeert als er geen consent is. Dat betekent een kleinere kans op fouten.

Als je per ongeluk een GA-tag toevoegt zonder de settings variabele te gebruiken, zou het bij optie 1 kunnen dat je voor sommige gebruikers toch WEL data naar Doubleclick verstuurt als er GEEN consent is. Bij optie 2 verstuur je in dat voorbeeld juist toch GEEN data naar Doubleclick stuurt als er WEL consent voor is. Zo blijf je dus ook compliant als je een foutje maakt. 

Stap 5. De functie voor User ID’s niet inschakelen

De AP geeft aan dat de UserID functionaliteit binnen Google Analytics alleen gebruikt mag worden met toestemming van de gebruiker. Ook deze kan eventueel toch aan. Zorg dan dat het UserID alleen beschikbaar wordt in de dataLayer als er consent is.
google-analytics-user-id-privacy-instellingen

Stap 6. Gebruikers informeren over Google Analytics

Gewoon doen. Schrijf een privacy statement en/of cookiebeleid en vertel in gewone taal waarom en hoe je Google Analytics gebruikt:
privacy-statement-avg-proof

Webdata verzamelen én voldoen aan de privacywet: best eenvoudig

Als je bovenstaande stappen hebt gevolgd, voldoet je Google Analytics implementatie helemaal aan de privacywet. Heb je nog geen AVG-proof cookiebanner of wil je naast Google Analytics ook pixels van partijen als Facebook en een chatmogelijkheid op je site plaatsen? Onze Technische Webanalisten geven advies of nemen je complete web tagging uit handen.

Leren hoe je betrouwbare data verzamelt?

Vul onderstaand formulier en ontvang een stappenplan in je mailbox.
Als je bovenstaande optie aanvinkt, ontvang je 5 wekelijkse e-mails van ons met persoonlijke tips, Daarna ontvang je +/- 1 keer per maand insights, klantcases, trainingen en ontbijtsessies. Je kunt je onderaan elke e-mail eenvoudig afmelden.
Dit is een artikel van Anton Bies, Technisch Webanalist bij Digital Power
Anton is groot voorstander van data-driven marketing. Niet beslissen wat te doen puur op basis van ervaring, intuïtie of 'dit is wat iedereen doet', maar zoveel mogelijk gebruik maken van cijfers. Het professionele motto van Anton is 'meten wat je wilt weten'.

Lees onze andere artikelen over datagedreven werken

whitepaper-customer-experience-klantgedreven-organisatiepraktijkvoorbeelden-datascience