Hoe implementeer je Privacy by Design in server-side tracking

Een uitgebreid stappenplan

  • Artikel
  • Technical Web Analytics
Implementing privacy by design (PbD)
Bram Ooms
Bram Ooms
Technisch Webanalist
8 min
15 Aug 2024

In ons vorige blogartikel onderzochten we het belang van Privacy by Design (PbD) in server-side tracking om te zorgen voor naleving van databeschermingsregels zoals de GDPR. Nu zullen we een stapsgewijze handleiding delen om je te helpen deze essentiële privacypraktijken te implementeren. Dit zorgt voor dataprivacy en -beveiliging in elke fase van het ETL-proces in tagmanagementsystemen.

Lees onze vorige blog over het belang van PbD hier.

Voorbeeldcase “Organisatie XYZ”

Organisatie XYZ wil gegevens combineren van client-side en server-side tracking voor hun dataverzameling, maar wil ervoor zorgen dat hun aanpak privacygericht is. Ze hebben een gegevensinventaris gemaakt en toepasselijke gebieden gekoppeld. Ze willen nu het ETL-proces uitvoeren op basis van PbD om te laten zien welke stappen er ondernomen moeten worden. In dit voorbeeld kiezen we ervoor om IP-adressen van gebruikers te verwerken.

ETL process
ETL process

Stap 1: Data van gebruikers extraheren met Privacy by Design-principes

In de extractiestap worden gegevens uit verschillende bronnen verzameld in de datalaag, zoals ontwikkeling, websites, applicaties of opgeslagen data. Toestemming van de gebruiker (of andere wettelijke gronden) bepaalt wat in de datalaag terechtkomt en wat niet wordt verwerkt.

Voorbeeld: Organisatie XYZ

XYZ gebruikt IP-adressen voor verschillende doeleinden: het voldoen aan wettelijke verplichtingen voor het registreren van toestemming, het verkrijgen van toestemming voor marketing en analyse, en het nastreven van legitieme belangen voor fraude-detectie. Omdat XYZ altijd het IP-adres nodig heeft, ongeacht toestemming, wordt het nooit volledig uit de datalaag verwijderd.

Extracting data

Als je ook een gemakkelijke manier wilt hebben om je gegevenslaag te bekijken, kijk dan eens naar onze Tagbird-chrome-extensie voor je browser. Je kunt meer leren over onze gratis extensie in dit artikel.

Stap 2: Data veilig transformeren om de privacy van gebruikers te beschermen

In de transformatiestap verwerk en organiseer je de geëxtraheerde data in een bruikbaar formaat. Aan het begin van deze fase bevat de datalaag alleen de gegevenspunten die door het eerste filter zijn gekomen. Door je datapunten in je datalaag specifiek voor een doel te maken, maak je transparant welke datapunten kunnen worden geladen voor verschillende doeleinden. Afhankelijk van de behoeften aan granulariteit kun je ook datapunten onleesbaar maken om ze minder gevoelig te maken als de use case dit toelaat.

transforming data

Voorbeeld: Organisatie XYZ

XYZ wil de doeleinden voor persoonlijke gegevens splitsen en dit duidelijk maken in de gegevenslaag:

  • Wettelijke verplichting: Maak het gegevenspunt “client_ip_address_legal_obligation”.
  • Analyse en marketing: Vul “client_ip_address_marketing” of “client_ip_address_analytics” alleen in als gebruikers specifieke toestemming hebben gegeven.
  • Fraude-detectie: Maak “client_ip_address_fraud” aan met alleen de eerste twee cijferparen om onnodige specifieke IP-informatie te verwijderen.

De PbD-paginaweergave wordt idealiter naar de server-side oplossing gestuurd, waar er meer opties zijn om te beperken welke gegevens server-naar-server worden verzonden.

Stap 3: Data verantwoord laden in server-side tracking

In de laadstap verplaats je de getransformeerde data om het doel waarvoor ze zijn verwerkt uit te voeren. Of je nu data client-side of server-side verzendt, elk laadpunt moet worden geconfigureerd met het juiste doelgerichte datapunt om de juiste dimensie te bieden. Zorg ervoor dat het eindpunt dat de data opslaat, kan voldoen aan de bewaartijdcriteria van de data-inventaris.

loading data

Voorbeeld: Organisatie XYZ

XYZ configureert elke eindpuntconnector of tag met het specifieke gegevenspunt, en toestemmingsvoorkeuren bepalen of de gegevens naar het eindpunt worden geladen:

  • Wettelijke verplichting: Stuur “client_ip_address_legal_obligation” naar hun toestemmingsregistratieserver met een bewaartijd van 13 maanden.
  • Marketing en analyse: Stuur “client_ip_address_marketing” of “client_ip_address_analytics” naar een server-side tagmanagementsysteem als de gebruiker toestemming heeft gegeven.
  • Fraude-detectie (niet afgebeeld): Stuur “client_ip_address_fraud_obfuscated” server-side, waar het verder wordt gecodeerd en omgezet naar een landcode, en vervolgens naar een fraude-data lake met een bewaartijd van 3 maanden.

Conclusie

Het implementeren van Privacy by Design (PbD) in tagmanagementsystemen via het ETL-proces zorgt voor robuuste dataprivacy en naleving. Door PbD-principes te integreren in elke stap van de data lifecycle kun je een privacygerichte aanpak creëren die zowel de organisatie als de individuen wiens data worden verwerkt ten goede komt. Voor een algemeen overzicht van het belang van PbD in server-side tracking, lees onze inleidende blog hier.

Dit is een artikel Bram Ooms

Bram begon in 2019 als Technisch Webanalist, waar hij zich richtte op data-implementaties bij klanten als Univé, DPG Media, Boels en Vodafone. Door zijn ervaringen met de impact van wetgeving op het mogelijk maken van datastromen ontwikkelde hij een interesse in dataprivacy, waar hij nu actief mee bezig is binnen Digital Power.

Bram Ooms

Technisch Webanalist

1x per maand data insights, praktijkcases en een kijkje achter de schermen ontvangen?

Meld je aan voor onze maillijst en blijf 'up to data':

Raak geïnspireerd:

Transformeer je web- en appdata naar bruikbare inzichten met server-side tracking

Server-side tracking is het proces van het verzamelen en verwerken van data via een server in plaats van op het apparaat van de gebruiker. Door je tagging implementatie te migreren naar een gecontroleerde serveromgeving, verbeter je de datanauwkeurigheid en bescherm je de privacy van gebruikers. Zet je gegevens om in bruikbare inzichten en begrijp de interacties van je gebruikers volledig.

Lees meer

De impact van server-side tracking op privacy

In het digitale tijdperk, waar dataprivacy een prominente zorg is geworden, is server-side tracking een cruciaal instrument voor organisaties die gebruikersinzichten verantwoord willen verzamelen. Ondanks het potentieel zijn er tal van mythen rondom het gebruik ervan en de naleving van regelgeving. Dit artikel ontkracht deze mythen en biedt een genuanceerd beeld van server-side tracking, de naleving van privacywetten en de rol van toestemming bij de uitvoering ervan.

Lees meer
third-party-cookies - afbeelding van een koekje

Third-party cookies: blijf je ze gebruiken of niet?

Er is de afgelopen maanden veel te doen geweest om third-party cookies en het naderende einde ervan in de browser Google Chrome. Is dit veel gedoe om niks of moet je je schrap zetten voor het einde van een tijdperk? In dit artikel lichten we een tipje van de sluier op over dit belangrijke thema. Ook delen we 7 praktische tips om je voor te bereiden op wat komen gaat.

Lees meer
what is not server-side tracking

Wat is server-side tracking níet?

Server-side tracking is een hot topic onder agencies, marketeers en analisten. Er is dan ook veel informatie beschikbaar, maar deze is niet altijd accuraat. Server-side tracking wordt vaak verkocht als een wondermiddel tegen dataverlies, AVG (ook wel bekend als GDPR) en andere ethische uitdagingen.

Lees meer
Eneco header

Eneco wordt zelf eigenaar van hun webdatastromen met behulp van server-side tracking

Eneco werkt al jaren met ons samen voor de (client-side) tracking van hun onlineverkeer. Toen eind 2022 server-side tracking opkwam, was het een logische stap voor ze ons te vragen mee te denken over de businesswaarde van deze tracking methode. Ze wilden hun bestaande Google Analytics implementatie vergelijken met een tagging server op Microsoft Azure.

Lees meer

Hoe weet je of je GTM tagging server werkt?

Er zijn redenen te over om een taggingserver op je website te installeren. Deze Engelstalige blog gaat niet over waarom het zinvol is (of waarom misschien in jouw geval niet) om server-side tagging te gebruiken. In plaats daarvan springen we vooruit in de tijd en stellen we onszelf een andere relevante vraag: 'hoe kun je zien of je taggingserver doet wat hij moet doen?

Lees meer

Meet ecommerce events in GA4 én Universal Analytics met alleen de vernieuwde datalayer pushes

Met onze variabele in de Google Tag Manager Community Template Gallery is het makkelijk om gebruik te gaan maken van alle nieuwe ecommerce analysemogelijkheden die Google Analytics 4 biedt en tegelijkertijd de 'oude' enhanced ecommerce van Universal Analytics volledig te ondersteunen. Ontdek hoe de variabele werkt.

Lees meer
unive blog

Integratie web- en appdata draagt bij aan 360 graden klantbeeld

Univé is een Nederlandse verzekeraar die verzekeringen, financiële producten en diensten aanbiedt voor consumenten en bedrijven. Het bedrijf richt zich op het bieden van een hoogwaardige service en het helpen van klanten bij het maken van verantwoorde financiële beslissingen. Sinds 2014 werken we intensief samen met Univé.

Lees meer

Overstappen van Universal Analytics naar Google Analytics 4 (GA4)

Op 14 oktober 2020 lanceerde Google de nieuwe versie van Analytics: Google Analytics 4 (GA4). Al snel na de lancering werd duidelijk dat een aantal belangrijke functionaliteiten uit Universal Analytics (GA3) ontbraken, waardoor het moment van overstappen nog ver weg leek te zijn. Gelukkig zien we dat het ontwikkelteam aan de zijde van Google niet stil heeft gezeten. Er zijn inmiddels mooie functionaliteiten binnen GA4 geïntroduceerd die het gat tussen GA3 en GA4 hebben verkleind. Dit artikel geeft antwoord op de vragen die steeds meer worden gesteld over GA4.

Lees meer

Hoe stel ik Google Tag Manager in?

Een tag management systeem als Google Tag Manager (GTM) stelt je in staat om het bezoekersgedrag op je website te meten. Je kunt ook marketingpixels (als Google Ads en Facebook) en cookiebanners implementeren via dit platform. Dit artikel geeft je tips waar je op kunt letten bij het instellen van GTM. Hierdoor kun je betrouwbare en bruikbare data verzamelen én ben je minder afhankelijk van je web developers.

Lees meer

De impact van ITP op analytics en de gebruikerservaring

Intelligent Tracking Prevention (ITP) is in 2017 door Apple in het leven geroepen in een poging “de balans tussen privacy en de noodzaak voor on-device data opslag te herstellen”. Met Intelligent Tracking Prevention wil Apple cross-site tracking (het volgen van gebruikers over verschillende websites) verminderen door het gebruik van cookies te limiteren. Leer wat dit betekent voor jou.

Lees meer
web analytics quality

Hoe goed is jouw webanalytics-implementatie?

Hoe zeker ben jij van je webanalytics data? In dit artikel leggen we eerst uit waarom webanalytics-tools nooit 100% nauwkeurige data kan leveren en waarom dat niet per se een probleem hoeft te zijn. Vervolgens duiken we in de praktijk: hoe betrouwbaar zijn de meeste webanalytics-implementaties?

Lees meer

Wat is Tagbird, waar gebruik je het voor en wat kun je ermee?

Tagbird is een door Digital Power ontwikkelde Chrome extensie. Je kunt hem downloaden in de Chrome Web Store en toevoegen aan je browser. Het is een debug-/visualisatietool die eenvoudig en overzichtelijk inzage geeft in onder andere de datalaag, tag management events en analytics requests van een website. Je kunt met Tagbird dus snel en gemakkelijk je gehele analytics implementatie testen.

Lees meer