Hoe verzamel je data terwijl je de privacy van EU-burgers beschermt?

Thomas schreef dit artikel samen met Bram Ooms en Ben van de Burgt, technisch webanalisten bij Digital Power.

Disclaimer: het onderwerp dat in deze blog wordt behandeld, kan veranderen. De blog is gebaseerd op de situatie in mei 2023. Neem contact met ons op als je twijfelt over de situatie op het moment dat je deze blog leest!

Op juridisch vlak zagen we in de Europese Unie een toename van wetten en voorschriften en, meer recentelijk, verhoogde spanningen tussen de EU en de VS met betrekking tot de overdracht van consumentengegevens. Beide ontwikkelingen gaan hand in hand als het gaat om het onderwerp van deze blog: naleving van EU-wetten door identificeerbare persoonlijke informatie te verwijderen via server-sidetagging.

Wat is er gebeurd?

De EU en de VS maakten in 2016 een regeling voor het uitwisselen van persoonsgegevens voor commerciële doeleinden. Dit maakte het legaal voor bedrijven die webanalyse doen om gegevens op te slaan bij Amerikaanse bedrijven. Maar in 2020 besliste het Europese Hof van Justitie dat deze regeling niet voldoende was om de privacy van EU-burgers te beschermen. Dit creëerden mogelijkheden voor nationale gegevensbeschermingsautoriteiten om zich te mengen in de uitwisseling van persoonsgegevens tussen EU-websites en Amerikaanse bedrijven (bijv. Google Analytics).

Een concreet voorbeeld hiervan is Frankrijk, waar het gebruik van Google Analytics (GA) illegaal is verklaard sinds 10 februari 2022 door de Franse autoriteit voor gegevensbescherming (CNIL). Als je bedrijf actief is in Frankrijk en een Franse domeinnaam heeft, moet je de tracking van je website halen. In andere landen (Oostenrijk, Italië en Denemarken) volgden gegevensbeschermingsautoriteiten het voorbeeld van CNIL en vaardigden ze hun eigen verboden uit.

Bij Digital Power zijn we van mening dat elke wetgeving die is gemaakt om de privacy van consumenten te verbeteren, goed is. Zelfs als dit betekent dat webanalyse complexer wordt. We begrijpen de kritische kijk die gegevensbeschermingsautoriteiten hebben op gegevensopslag. Anderzijds zijn we ook van mening dat bedrijven bepaalde gegevens moeten kunnen verzamelen om hun diensten kunnen verbeteren.

Wat is de impact op mijn activiteiten?

Als je bedrijf in Europa actief is, mag je Google Analytics niet meer gebruiken op de gebruikelijke manier. Dit komt omdat het tracking-script direct met Google Analytics communiceert via de browser van de bezoeker, wat in strijd is met de wetgeving. Als je dit toch doet, kun je een boete krijgen die in sommige gevallen erg hoog kan zijn.

Om te voldoen aan de eerdere GDPR-wetgeving, heb je misschien al maatregelen genomen om gebruikersgegevens te anonimiseren voordat ze naar Google Analytics worden verzonden. Maar deze maatregelen voldoen niet aan de vereisten van alle gegevensbeschermingsautoriteiten in de EU. Dit komt doordat Google Analytics nog steeds de mogelijkheid heeft om bijvoorbeeld tracking cookies in de browser van de websitebezoeker in te stellen en het IP-adres van binnenkomende netwerkverzoeken te ontvangen.

Is er een manier om mijn huidige tracking-implementatie te behouden zonder de wet te overtreden?

Een alternatieve methode om gegevens te verzamelen zonder de wet te overtreden is ontwikkeld door CNIL in Frankrijk. Deze methode is alleen van toepassing op geanonimiseerde en geaggregeerde gegevens die zijn ontdaan van alle tracering voordat ze worden verzameld door Google Analytics. Het betekent dus dat je niet meer de mogelijkheid hebt om individuele bezoekers te volgen en dat er geen persoonlijk identificeerbare informatie buiten de EU mag worden gedeeld.

In de praktijk zal dit resulteren in Google Analytics-dimensies zoals 'apparaatcategorie' of 'sessiebron/medium' die niet langer functioneel zijn. Door server-side tagging als proxy te gebruiken, kunnen analisten geaggregeerde en geanonimiseerde prestatiegegevens van websites verzamelen in Google Analytics.

Privacyvriendelijk meten met behulp van server-side tagging: hoe het werkt

Server-side tagging kan een haalbaar alternatief zijn als een volledige stopzetting van web-/app-gegevensverzameling niet acceptabel is voor je bedrijf. Je moet een tagserver instellen die als proxy wordt gebruikt tussen de bezoeker van je website en Google Analytics. Op de server voer je verschillende wijzigingen uit in de gegevensstroom. Zo zorg je ervoor dat je voldoet aan de nationale vereisten voor gegevensbescherming.

Geldt de wetgeving alleen voor Google Analytics?

Voor de leesbaarheid van dit artikel is Google Analytics als voorbeeld gebruikt. Google kan echter net zo gemakkelijk worden vervangen door elk Amerikaans bedrijf dat inkomende gegevens verwerkt in de Verenigde Staten. De Oostenrijkse gegevensbeschermingsautoriteit (DSB) heeft bijvoorbeeld geoordeeld dat de Facebook-trackingpixel in strijd is met de AVG. Google Analytics is de meest gebruikte externe leverancier met tracking mogelijkheden in de EU en krijgt daarom de meeste aandacht van de lokale autoriteiten.

Handleiding voor het instellen van server-side tagging

Vanuit technisch oogpunt is het beheren van een tagging server aanzienlijk complexer dan het beheren van een webcontainer in een tag managementsysteem zoals Google Tag Manager. Voor het laatste is alleen een JavaScript-codefragment op je website nodig dat door een ontwikkelaar moet worden geïmplementeerd. Alle communicatie tussen de browser en Google Analytics wordt verzorgd door Google zelf. Nu moet je het overnemen van Google en je eigen serveromgeving draaien waarin netwerkverkeer wordt ontvangen, geanalyseerd en naar Google Analytics wordt gestuurd.

De vereisten om een tagging server op de juiste manier en kosteneffectief op te zetten, zijn complex voor een Online Marketeer of Webanalist om te beheren. Afhankelijk van de technologieën die je wilt gebruiken, zijn Data Engineers en Developers nodig om je serveromgeving op te zetten. 

Belangrijk om op te merken is dat de standaardoplossing die wordt geboden door Google Cloud Platform's App Engine Instances onvoldoende is om te voldoen aan de vereisten van CNIL. Deze service maakt standaard gebruik van servers die zijn gevestigd in de Verenigde Staten, wat het doel van het implementeren van een server proxy niet bereikt.

Hieronder volgen de vijf stappen die we aanbevelen bij het opzetten van de server proxy op basis van de richtlijnen van CNIL:

1. Raadpleeg het juridische team van je bedrijf

Als je je website verplaatst van een web- naar een servertag omgeving, kunnen eindgebruikers niet meer zien welke derde partijen hun browse gegevens ontvangen. Dit komt doordat alle webstromen naar je eigen server leiden. Daarom moet je het privacybeleid van je website aanpassen aan deze nieuwe realiteit.

Als je gebruik maakt van Google Analytics, is het ook belangrijk om te bekijken welke gegevens moeten worden verwijderd voordat ze worden overgedragen. CNIL heeft eenlijst samengesteld van gegevens die moeten worden verwijderd. De onderstaande gegevens zijn onder andere in de lijst opgenomen. Het volledige overzicht is hier te vinden.

1. IP-adres
2. Geografische locatie
3. User agent (apparaat fingerprinting)
4. Verwijzingen
5. UTM-parameters

2. Controleer of je KPI (Key Performance Indicators) framework moet worden bijgewerkt

Sommige KPI's van je bedrijf voor web en app kunnen worden beïnvloed door de wetgeving. Zorg ervoor dat interne stakeholders op de hoogte zijn van de gegevens die server-side worden verzameld en laat hen akkoord gaan met het bijgewerkte KPI-framework.

3. Stel een task force samen bestaande uit Developers, Technisch Webanalisten, Analisten en juridisch personeel

Zoals eerder vermeld, is het proces van het opzetten van een tagging server complex en vereist het de medewerking van verschillende belanghebbenden. Zoek naar teamleden die betrokken willen zijn bij dit project. Nadat de juridische obstakels zijn overwonnen en de naam voor je server-side endpoint is bepaald, moeten de Ingenieurs en Developers aan het werk om de tagging server op te zetten. De belangrijkste vraag hierbij zal zijn waar de server moet worden gehost. Aangezien het centrale thema van deze blog privacy is, wordt aanbevolen om (cloud) servers te gebruiken die eigendom zijn van en worden beheerd door je bedrijf. Sommige van onze klanten gebruiken hiervoor Azure App Services of Azure Kubernetes Services.

Vervolgens kunnen de Technische Webanalisten de bestaande tagging migreren naar de nieuwe tagging server. Ze zorgen ervoor dat de implementatie voldoet aan de wettelijke vereisten. Tot slot kunnen de Data Analisten de binnenkomende server-side datastroom verifiëren en dashboards maken die de KPI's van het bedrijf weergeven.

4. Implementeer een test-tagging server

Het draaien van een tagging server kost geld omdat je betaalt voor de dataopslag die je gebruikt. Zorg ervoor dat je de implementatie eerst op een test- of acceptatie-omgeving draait voordat je deze uitrolt op de productieomgeving. Op deze manier kun je onaangename rekeningen vermijden. Wij hebben zowel Data Engineers als Technisch Webanalisten die als multidisciplinair team met je mee kunnen denken.

5. Verdeel rollen voor het onderhoud van de productieserver omgeving

De tagging server wordt een integraal onderdeel van de data-architectuur van je bedrijf. Dit betekent dat het werk aan de server nooit af is. Nadat het implementatiewerk is voltooid en de gegevens erdoorheen stromen, moet de server worden onderhouden en bewaakt. Het is belangrijk dat er aandacht wordt besteed aan schaalbaarheid en downtime-detectie. Individuele belanghebbenden moeten verantwoordelijkheid dragen om deze taken uit te voeren. Als niemand verantwoordelijk is, worden problemen waarschijnlijk niet snel opgelost

Kun je hulp gebruiken bij het waarborgen van de privacy van eindgebruikers en tegelijkertijd te voldoen aan de wetgeving? Neem contact met ons op en wij helpen je graag verder! Wij begrijpen dat het analyseren van gegevens op een privacyvriendelijke manier van cruciaal belang is voor het verbeteren van je diensten.

1x per maand data insights, praktijkcases en een kijkje achter de schermen ontvangen?

Meld je aan voor onze maillijst en blijf 'up to data':