Bloggen en de wet: Google Analytics privacyvriendelijk instellen voor je (WordPress) blog

google analyticsHet leidt geloof ik aan alle kanten tot hoofdbrekens terwijl het toch zo’n goed idee leek. Afspraken maken over privacy in de digitale communicatie en deze vastleggen in een Europese richtlijn 2002/58/EG. Zo’n Europese richtlijn moet (verplicht) verwerkt worden in de wetgeving van alle Europese landen en om die reden werd in 2012 de Telecommunicatiewet gewijzigd en een aangepast deel geïntroduceerd dat inmiddels bekend staat als de cookiewet.

Om de privacy van burgers te beschermen werd het verplicht om alle bezoekers van websites en blogs te informeren over, en toestemming te vragen voor, de cookies die door deze sites worden geplaatst. Het bleef hierbij echter onduidelijk hoe dit nou precies gedaan zou moeten worden en welke soorten cookies nou echt mogelijke inbreuken op de privacy opleverden. Moest je nou echt bezoekers waarschuwen met banners? Hoezo opt-out mogelijkheden geven? En mocht je nou wel of niet Google Analytics blijven gebruiken? Onduidelijk genoeg voor mij tenminste om het allemaal maar even op zijn beloop te laten.

Na veel reacties uit de samenleving ging de Tweede Kamer in oktober 2014 akkoord met een minder strenge versie van de cookiewet. Voor de meeste soorten analytische cookies hoeft dan geen toestemming meer gevraagd te worden. Het is echter nog niet duidelijk wanneer – en of – de wet ook daadwerkelijk aangepast wordt aangezien deze nog door de Eerste Kamer goedgekeurd moet worden en de huidige versie nu afwijkt van wat er in die Europese richtlijn staat. De richtlijn maakt geen onderscheid tussen analytical cookies die bedoeld zijn voor ‘onschuldige’ doelen en tracking cookies die consumenten volgen van site naar site. Het blijft voorlopig dus nog steeds onduidelijk hoe en of je nou moet gaan voldoen aan die cookiewet.

En dan heb je ook nog die andere privacywet

In Nederland hebben we echter ook nog de Wet bescherming persoonsgegevens (Wbp). Die bevat (o.a.) de randvoorwaarden en eisen waar iedereen aan moet voldoen die persoonsgegevens verwerkt in de meest brede zin. En aangezien je met bepaalde soorten cookies ook bezig bent met het verwerken van persoonsgegevens van je bezoekers op je website of blog, is ook die wet dus van toepassing.

Dat vindt het College Bescherming Persoonsgegevens – de instantie die toeziet op de naleving van de Wbp – ook en die publiceerde een instructie (PDF) hoe je Google Analytics zo kunt instellen dat je daarmee voldoet aan de vereisten uit de Wbp. Dat leidde bij Webwereld al meteen tot verwarring aangezien dit op sommige punten niet overeenkomt met de versoepelde versie van de cookiewet maar zelf ben ik er wel gecharmeerd van. Als de toezichthouder op de privacywetgeving tevreden is met hoe je als blogger omgaat met de privacy van je bezoekers, dan wacht ik wel met plezier verder rustig af hoe het verder gaat met de cookiewet. Ik heb liever wat concrete afspraken nu dan vage plannen voor straks. Beter één vogel in de hand dan tien in de lucht, nietwaar?

Hoe stel je Google Analytics dan privacyvriendelijk in?

Natuurlijk kun je de instructie van het Cbp doornemen maar ik heb deze toegespitst op mijn eigen situatie als blogger. Bij de verschillende onderdelen maak ik ook onderscheid tussen de beide wetten en hoe ze dus verschillend zouden kunnen gaan uitpakken.

Stap 1. Amendement gegevensverwerking

In de cookiewet (artikel 11.7a van de Telecommunicatiewet) zelf wordt weliswaar verwezen naar de Wbp maar het is in die laatste wet waar expliciet in artikel 14 vereist wordt dat als je gegevens door een ander verwerkt worden (en niet door jezelf), je met die partij daar afspraken over moet maken. In het geval van Google Analytics moet je als blogger dus afspraken met Google maken hoe ze de gegevens verwerken die ze via hun Analytics-tracker over jouw bezoekers binnenkrijgen. Daar hoef je gelukkig niet ingewikkeld voor te doen want dat kan je gewoon zelf regelen in je Google Analytics-account.

google analytics
Log in bij Google Analytics en bovenaan zie je de menu-optie voor Beheerder. Klikken maar.

google analytics
Dan door naar de Accountinstellingen om in het Instellingen voor Analytics-account scherm te komen. Onderaan deze pagina zie je een kopje Amendement gegevensverwerking staan waar je een omschrijving ziet staan van dit amendement, kunt doorklikken voor meer informatie en waar je kunt zien of het amendement al geaccepteerd is.

google analytics
Klik op Aanpassing bekijken om de tekst van het amendement te bekijken. Dit is een (juridisch) stukje tekst dat de bestaande overeenkomst tussen Google en jou als Analytics-gebruiker aanpast waarbij er ten aanzien van de gegevensverwerking uit wordt gegaan van een andere Europese richtlijn, 95/46/EG, oftewel de Databeschermingsrichtlijn. Het zorgt er dus voor dat Google zich conformeert aan de Europese Databeschermingsrichtlijn als je op Accepteren klikt. Klikkerdeklik.

Je krijgt dan vervolgens een extra tussenscherm:

google analytics
Hoewel het in rood aangegeven staan is het zaak te beseffen dat de wijziging in hoe Google met de gegevensverwerking moet omgaan nog niet opgeslagen is. Onder deze melding staat de knop om de wijzigingen op deze pagina op te slaan of te annuleren. Klik op Opslaan om de wijziging definitief te maken.

google analytics
Heb je dit gedaan, dan zie je een bijna identieke tekst als die er in het begin stond. Behalve dat bij de status nu in het groen vermeld wordt op welke datum het amendement gegevensverwerking geaccepteerd is. Vanaf nu gelden de Europese regels voor gegevensverwerking van jouw Analytics-gegevens en niet de Amerikaanse.

Stap 2. Gegevens niet (meer) met Google delen

In hetzelfde Instellingen voor Analytics-account scherm vind je als eerste de Instellingen voor gegevens delen. Google deelt deze niet met anderen maar je Analytics-gegevens kunnen wel worden gebruikt voor een vijftal doeleinden die onderverdeeld zijn in de categorieën Uitsluitend bij andere Google-producten, Anoniem met Google en anderen, Technische ondersteuning en Accountspecialisten. Google doet de aanbeveling om ze allemaal aan te vinken maar de Wet bescherming persoonsgegevens is er heel duidelijk in: persoonsgegevens mogen alleen maar verwerkt worden ten behoeve van het doel waarvoor ze ook verzameld zijn. Dus wel voor je statistieken maar niet voor al die andere doelen die Google aanbeveelt.

google analytics
Vink ze dus allemaal af en vergeet niet om wederom de wijzigingen op te slaan van deze pagina!

Stap 3. Anonimiseren van de verzamelde IP-adressen

Een IP-adres is normaliter te herleiden naar een specifieke computer en daarmee ook de eigenaar ervan. Dat is de reden dat ook een IP-adres als een persoonsgegeven wordt beschouwd. Google biedt de mogelijkheid om het laatste blokje van drie getallen in de verzamelde IP-adressen te verwijderen, voordat het door ze opgeslagen wordt. Dat noemen ze anonimiseren omdat op die manier niet meer te herleiden valt welke computer of persoon je site bezocht heeft. Het Cbp beschouwt een dergelijk geanonimiseerd IP-adres nog steeds als een persoonsgegeven maar dat gaat mij wel wat te ver. Hoe dan ook, ook het Cbp vindt het een goed plan om gebruik te maken van die mogelijkheid IP-adressen te anonimiseren.

Helaas kun je dat niet in de instellingen van Google Analytics regelen maar moet je zelf de trackingcode aanpassen die je op je site of blog moet zetten om de gegevens door te sturen naar Google. Je kunt het onderstaande voorbeeld gebruiken als je de UA-XXXXXX-X vervangt door je eigen Analytics ID.

<script>
(function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
(i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)
})(window,document,'script','//www.google-analytics.com/analytics.js','ga');

ga('create', 'UA-XXXXXX-X', 'auto');
ga('set', 'forceSSL', true); // Gebruik altijd https voor Google Analytics
ga('set', 'anonymizeIp', true); // Zet de IP-maskering aan
ga('send', 'pageview');

</script>

Gebruik je niet de trackingcode maar, zoals ik, een WordPress plugin om deze automatisch en met meer flexibiliteit op je blog te gebruiken, dan moet je controleren of je Google Analytics plugin een optie heeft voor het anonimiseren van de verzamelde IP-adressen.

Ik gebruik Google Analyticator en die heeft deze optie bij de instellingen staan maar dat zal van plugin tot plugin (kunnen) verschillen.

google analytics
Hou er wel rekening mee dat de IP-adressen ook voor jouw doeleinden anoniem verwerkt worden en dat je ook (iets) minder specifiek kunt achterhalen waar je bezoekers zich bevinden. Het gaat dan alleen om aangepaste rapporten als je bijvoorbeeld in wilt zoomen op plaatsnamen enzovoort want ook geanonimiseerde IP-adressen kun je nog steeds herleiden tot (kleine) regio’s en landen.

Stap 4. Je bezoekers informeren dat je Google Analytics gebruikt

Zowel de Wet bescherming persoonsgegevens als de cookiewet leggen sterk de nadruk op het informeren van je bezoekers en het geven van een keuze of ze wel of niet je blog willen bezoeken als jij Google Analytics cookies gebruikt en hun persoonsgegevens verwerkt.

De instructie van het Cbp stelt dat je bezoekers een mogelijkheid moet bieden om genegeerd te worden in je Analytics en beschrijft hoe je dat kan doen door de trackingcode van Google Analytics aan te passen maar constateert ook meteen dat dit niet werkt als je site via mobiele apparaten geraadpleegd wordt. Het bieden van een opt-in mogelijkheid – waarbij gebruikers kunnen weigeren van een site gebruik te maken voordat er cookies geplaatst worden – is nou ook precies het grootste praktische struikelblok bij de implementatie van de cookiewet aangezien websites er simpelweg ontoegankelijker door worden.

Op dit punt volg ik zelf niet de instructie van het Cbp en blijf ik wachten tot hier ten aanzien van de cookiewet definitief duidelijkheid over komt. In de Europese richtlijn is er sprake van een verplichte opt-out mogelijkheid achteraf en is de Nederlandse cookiewet al strenger dan nodig is. Aangezien elke moderne browser cookies kan weigeren heeft iedere internetter al die opt-out mogelijkheid om achteraf cookies te blokkeren en ik hoop dat dit voldoende zal zijn in de toekomst.

Het informeren van je bezoekers kun je het beste doen door een privacyverklaring en cookiebeleid-pagina op je blog te zetten met daarin een beschrijving van welke cookies je plaatst en hoe je met de verwerking van die gegevens omgaat. Als het gaat over Google Analytics kun je daarin dus vermelden dat je het amendement gegevensverwerking hebt afgesloten met Google, de verzamelde gegevens niet deelt met Google en dat er geen specifieke IP-adressen worden doorgegeven. Ik zal mijn eigen pagina ook aanpassen zodat ik volgens mij weer voldoe aan de wettelijke verplichtingen voor bloggers.

@foto via Pixabay met CC0-verklaring

#

Raymond Snijders

Sinds 1995 houdt Raymond zich bezig met de combinatie van ICT, bibliotheken en onderwijs vanuit het perspectief van (vooral) de bibliotheek en informatievoorziening. Thans is hij werkzaam bij de Hogeschool Windesheim als senior informatiebemiddelaar en houdt hij zich bezig met de digitale bibliotheek, contentlicenties, ebooks en auteursrecht. Over deze onderwerpen en de impact die ze (kunnen) hebben op het onderwijs en bibliotheken blogt hij sinds 2006 op zijn Vakblog. In 2013 won hij de Victorine van Schaickprijs voor zijn blog.

  • © 2006- 2016 Vakblog – werken met informatie
    Aangedreven door WordPress en liters koffie // Theme: Tatami van Elmastudio
Top