ICTRecht B.V.

  • Jollemanhof 12
  • 1019 GW Amsterdam
Telefoon
Vestiging Amsterdam: 020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
btw
NL8223.30.040.B01
Terug naar overzicht

Google Analytics versus de cookiewet – een oplossing

7 september 2011 Door

Recent is de “cookiewet” door de Tweede Kamer aangenomen. Deze stelt strenge regels aan cookies en andere manieren om websitebezoekers te tracken. Bezoekers moeten expliciete toestemming geven voordat dit mag gebeuren. Dat gaat nog aardig wat problemen geven: moet je dan per cookie een popup tonen? Maar ook voor andere diensten, met name Google Analytics is dit een probleem. Ook deze dienst trackt bezoekers en is dus onderworpen aan de cookiewet.

Google Analytics is een webdienst om statistieken van een website te verzamelen en gedetailleerd weer te geven. Webmasters voegen een Javascript van Google toe aan hun website, en dit script verzamelt gegevens en stuurt deze naar de servers van Google. De webmaster kan via een account bij Google inzage krijgen in hun bezoekersstatistieken, zoals deze:

Deze statistieken zijn anoniem, je kunt als webmaster niet zien welke individuele bezoekers welke bezoeken afleggen, welke pagina’s ze doorlopen of andere handelingen verrichten.

Google weet dat allemaal wel. Iedereen die Javascript geactiveerd heeft in de browser, stuurt zijn individuele gegevens naar Google op basis van zijn IP-adres. Volgens Google wordt er geen privacygevoelige informatie bijgehouden, maar naar Europese regels is die koppeling met IP-adres genoeg om onder de privacywet te vallen – en binnenkort dus de cookiewet.

Gelukkig is er een oplossing (met dank aan Joost de Valk voor de tip). Google heeft sinds een jaar de anonymize-functie toegevoegd. Als een webmaster deze code toevoegt aan zijn Analytics-configuratie, worden geen IP-adressen meer naar Google gestuurd. Het laatste octet van het IP-adres (de 55 in 192.168.1.55) wordt verwijderd, zodat tracking op individueel niveau technisch onmogelijk wordt.

var _gaq = _gaq || [];
_gaq.push (['_setAccount', 'UA-XXXXXXX-YY']);
_gaq.push (['_gat._anonymizeIp']);
_gaq.push (['_trackPageview']);

Wie zich aan de cookiewet wil houden, kan deze code nu alvast toevoegen. Vergeet ook niet om in uw privacyverklaring te melden dat u Google Analytics gebruikt.

Steven Ras

Algemeen directeur

Steven Ras is algemeen directeur bij ICTRecht. Hij is gespecialiseerd in ICT en recht en dan met name op het gebied van ICT-contracten, digitaliseringstrajecten (elektronische handtekening), e-commerce, cloud- en privacyvraagstukken.

Juist vanwege zijn achtergrond als internetondernemer heeft hij veel belangstelling voor het internetrecht en de daarmee samenhangende juridische vraagstukken. Binnen ICTRecht houdt Steven zich tevens bezig met innovaties, acquisitie en klantcontacten.


Er zijn 22 reacties

  1. Vanuit privacyoogpunt zeer nuttig. Dank voor de tip.

    Maar, is gebruik van Google Analytics hiermee ook direct in overeenstemming met cookiewet vereisten? Er wordt toch nog steeds een cookie geplaatst om surfgedrag te volgen. Je hebt dus toch nog steeds toestemming van de bezoeker van de site nodig, of zie ik iets over het hoofd?

  2. De cookiewet verbiedt niet het plaatsen van cookies. Alleen bij tracking cookies is toestemming nodig. Technisch noodzakelijke cookies (die dus niet tracken) mag je zonder toestemming plaatsen, zolang je maar toelicht in het privacystatement waarom.

    Een cookie dat onthoudt dat er geen tracking plaats mag vinden, mag dus worden gezet zonder nadere toestemming.

  3. Leuk stukje Arnoud, en een goede manier om bezoekers wat meer privacy te geven. Ik wil nog even verder vragen op je antwoord op de eerste reactie, want je gaat er dan van uit dat de Analytics cookie “technisch noodzakelijk is”. Of zoals de wet zegt:

    3. Het bepaalde in het eerste en tweede lid is niet van toepassing, voor zover het de technische opslag of toegang tot gegevens betreft met als uitsluitend doel:

    a. de communicatie over een elektronisch communicatienetwerk uit te voeren, of
    b. de door de abonnee of gebruiker gevraagde dienst van de informatiemaatschappij te leveren en de opslag of toegang tot gegevens daarvoor strikt noodzakelijk is.

    En hoe overtuig je iemand er van dat Analytics “strikt noodzakelijk is”?

  4. “Strikt noodzakelijk” moet je niet lezen als “zonder cookie is het technisch onmogelijk deze functie te implementeren”. Een winkelwagentje mag je via cookies implementeren onder deze regel, hoewel je ook zonder cookies winkelwagen-functionaliteit kunt voeren (sessie-ID in URL). Idem voor het “laat me ingelogd”: ook dat kan met state alleen in de URL.

    De interpretatie is meer “cookies zijn hier een handig technisch middel en we tracken géén persoonlijke informatie”.

    Zolang het Analytics-cookie dus géén personal tracking implementeert, zit dit goed. En ik ga er vanuit dat dat het geval is, anders is die _gat._anonymizeIp optie een beetje zinloos.

  5. We hebben het meteen maar even aangepast in GA… Maar geldt dit dus ook voor andere analytics tools zoals Clicktale, Crazy Egg en dergelijke? Zolang je identiteit van bezoeker niet precies kunt achterhalen, zit je goed met vermelding in privacy verklaring van hetgeen je aan data verzamelt?

  6. Citaat Arnoud:
    “Zolang het Analytics-cookie dus géén personal tracking implementeert, zit dit goed. En ik ga er vanuit dat dat het geval is, anders is die _gat._anonymizeIp optie een beetje zinloos.”

    Bij remarketing/retargeting wordt wel op 1 persoon de reclame afgestemd, maar je kan het toch zo implementeren dat het verder niet naar een naam/adres/IP terug te leiden is. Moet je dan toch toestemming vragen?

  7. Beste Arnoud, dit artikel is van september 2011.
    Twee vragen:

    1.
    Nu de wet deze maand echt is aangenomen: is het met de aanpassingen sinds 2011 voor het gebruik van Google Analytics nog steeds afdoende om IP adres niet te laten vastleggen en je privacy statement aan te vullen met jouw tekst? Dan hoef je hier dus geen aparte toestemming voor te vragen?

    2.
    Heb je een idee wat dit betekent voor de resultaten in Analytics? Zicht op de geografische komaf van je bezoekers zal dan niet meer mogelijk zijn toch? Verder weinig effect te verwachten?

    1. Ik denk dat het genoeg is. Wel vertrouwen we er dan op dat Google ook écht geen persoonlijke profielen opbouwt van de mensen die deze variant van Analytics van input voorzien. Ik weet niet hoe je ze kunt dwingen hier duidelijker over te zijn.

      Geen idee eerlijk gezegd. Ik heb persoonlijk nooit gekeken naar die geografische input, onze klanten komen allemaal uit Nederland dus dat wist ik al. 😉 Als je een plek weet om dit aan te zwengelen, graag!

    1. Het is heel lastig omdat we niet weten wat Google nu doet. Het hangt af van hoe zij de data structureren en opslaan of sprake is van een “verwerking van persoonsgegevens” waarvoor toestemming nodig is.

      Die optie schakelt volgens mij héél Analytics uit en niet alleen de individuele tracking. Als je dit overal gebruikt, krijg je dus géén gegevens meer. Dat is ook weer niet de bedoeling. Deze optie is volgens mij bedoeld voor als mensen tegen jou zeggen dat ze willen opt-outen, jij kunt dan op basis van hun opt-out in een gepersonaliseerde pagina (bv na login) de uitschakelcode inserten.

  8. Hallo Arnoud, ik zie geen binding met afstemming op 1 persoon in de wet. Er staat volgens mij domweg dat er geen gegevens mogen worden uitgelezen die bewaard zijn bij de gebruiker. Tenzij dit nodig is om de door de gebruiker gevraagde informatiedienst te kunnen leveren. De Analytics instelling helpt dan dus niet.

    “Onverminderd de Wet bescherming persoonsgegevens dient een ieder die door middel van elektronische communicatienetwerken toegang wenst te verkrijgen tot gegevens die zijn opgeslagen in de randapparatuur van een gebruiker dan wel gegevens wenst op te slaan in de randapparatuur van de gebruiker: van de gebruiker toestemming te hebben verkregen voor de desbetreffende handeling”

    Of die gebruiker nu herleidbaar is of niet, lijkt er niet toe te doen.

    Lees ik de wet verkeerd?

    Het argument dat ik zou maken is dat Analytics-data nodig is om de informatiedienst te verbeteren en dus zou het moeten mogen.

    1. Het klopt dat toestemming onder de cookiewet los staat van of je persoonsgegevens verwerkt (profielen opbouwt). Maar als je géén profielen opbouwt, dan is er de mogelijkheid om zonder toestemming weg te komen met het argument dat het cookie technisch/functioneel is. Voor een logincookie of webwinkelcookie hoef je geen toestemming te vragen bijvoorbeeld.

      De discussie moet dus eigenlijk zijn, is het Analytics-cookie een functioneel cookie. En dan kom je eigenlijk in een best wel grijs gebied: ja dat cookie heeft een functie (zonder dat werkt de dienst Analytics niet) maar is die functie deel van de site waar het op staat? BIj een login snap ik dat wel, en een cookie dat onthoudt dat ik niet mee wil doen aan een enquête ook. Maar Analytics kan er prima af zonder dat je site minder goed functioneert of irritatie bij de gebruiker oproept.

      Deze blog is in zoverre dus verouderd; onder de huidige wet was er pas toestemming nodig als je persoonsgegevens/profielen ging verzamelen. En met die anonimiseer-optie doe je dat niet.

      Afijn, tijd voor een nieuwe blog dus. En dat gaat een héle moeilijke worden, want niemand weet echt wat “functioneel” nu precies inhoudt.

  9. @Reinier: dat is dus wat ik er ook uithaal…

    Zou dat argument houdbaar zijn? Dat je Analytics gebruikt om de dienst te verbeteren? Maar dan zou het toch nog steeds aan de gebruiker kunnen zijn om te beslissen of ze daaraan willen meewerken of niet. Het cookie is niet direct noodzakelijk om de dienst correct te laten werken.

    Zou het nog verschil maken met welk doel je Analytics dat cookie laat plaatsen? Of je het echt voor het verbeteren van de dienst (meten van laadtijden van pagina’s, gebruikte klikroutes, etc). gebruikt of ook voor het meten van prestaties van advertenties?

  10. Een website zonder Analytics is als rijden in een auto zonder kilometerteller. Het is zeer terecht dat we zorgen voor privacy en het is jammer dat met name de online marketeers daar zelf niet voor wilden zorgen, maar we moeten ook niet doorslaan. Bezoekers willen toch ook goede content, gebruiksvriendelijke navigatie en fijne functionaliteit? Hoe gaan website eigenaren daar serieus aan werken als ze niets meer kunnen meten? De kracht van het online kanaal is juist dat alles meetbaar is en dat we websites beter kunnen maken op basis van harde statistieken en dat we niet meer zijn overgeleverd aan het gevoel van grafische designers of de persoonlijke mening van techneuten. Dat bijhouden van statistieken gaat prima samen met goede privacy. Google Analytics plaatst een first party cookie en ik vind dat er hele goede argumenten zijn om die functioneel te noemen, ook voor de gebruikers, zeker als je de tracking code aanpast zodat ip adressen anoniem worden. Het kan toch niet zo zijn dat gebruikers goede content willen die ook nog gratis moet zijn, maar dat website eigenaren niet de instrumenten mogen gebruiken om dat te kunnen realiseren?

    @Jelmer: het meten van advertenties met Analytics is volgens mij niet anders dan het meten van andere content of klikpaden. Het gaat meer om het plaatsen van advertenties en dat loopt niet via Analytics. Als je advertenties plaatst op basis van het profiel van een bezoeker dan heb je een probleem, met of zonder Analytics. De Adwords advertenties in het display netwerk (afgezien van remarketing) worden niet geplaatst op basis van een profiel, maar op basis van de content op de pagina. Die vorm van adverteren is veilig voor je privacy. Veel andere vormen zoals remarketing en retargeting duidelijk niet.

  11. @Rolf Diepeveen
    Het probleem is ontstaan door een gebrek aan goede wetgeving, en zodra er meer geld ergens aan verdient kan worden, dan zijn er mensen die het ten volle gaan uitbuiten. Een balk met de laatst bekeken producten op de website is handig, maar als ik vervolgens weer muziek ga luisteren en ik zie diezelfde producten weer terug komen, dan kan ik spreken over enig aantasting van privacy. Als de intenties puur zuiver zijn, dan kan je deze communiceren naar de gebruiker toe, als het echt gaat om gebruiksbeleving.

    In een presentatie van TED, werd het volgende vergelijking gemaakt; Je moet het zien dat een persoon, je kind in de gaten houdt. Neemt foto’s, noteert naar welke school ze gaat, houdt de interesses en hobbies bij in een boekje, en dit weer deelt met andere mensen. Als je dit hoort dan gaan er gelijk alarmbellen af, maar als hetzelfde kind, naar een website gaat, en dingen uitleest over waar ze woont, en welke producten (interesses) ze laatst heeft bekeken, dan is het allemaal zoete koek.

    Zoals ik al zei, als de intenties puur zijn, dan kan je dit vragen dmv een popup. Neem als voorbeeld Microsoft windows en Google Mail, die netjes vragen of ze gegevens mogen gebruiken om rapporten naar ze te sturen zodat ze hun producten kunnen verbeteren.

  12. Arnoud, als ik de wet goed lees, gaat de wet over alles dat wordt opgeslagen in de browser. Dus ook over de webpagina’s zelf, want die worden ook (tijdelijk) opgeslagen. Anders zou de browser de pagina niet kunnen weergeven. Betekent dat, dat een webpagina alleen zaken mag bevatten waar de gebruiker om gevraagd heeft?

    Als je die lijn doortrekt, mag nu.nl bijvoorbeeld geen buitenlands nieuws plaatsen, als ik daar niet om heb gevraagd. Anders wordt er buitenlands nieuws op mijn pc opgeslagen zonder mijn expliciete toestemming.

    Of, mogen dingen wel tijdelijk worden opgeslagen en zijn sessie cookies dus ook toegestaan?

  13. Reinier: ja, of die “gewoon” deel zijn van de aangevraagde dienst. Als je een krant koopt, krijg je er ook irrelevante katernen bij. Je kunt niet zeggen “dat heb ik niet gewild”.

    Lastig is de discussie bij advertentiebanners. Daar heb ik niet om gevraagd. Zijn ze “gewoon” deel van de content?

  14. Daar zit het probleem. De wet zegt: “de door de gebruiker gevraagde informatiedienst”. Niet “de door de leverancier aangeboden informatiedienst.” Het is toch een vage term.

    Op ing.nl zit ik ook niet te wachten op een ‘voetbalset’, of op een zakelijke rekening, maar toch staat het er.

    Ik snap dat de wetgever niet zal bedoelen dat je straks toestemming moet geven voor de complete site, maar het lijkt wel een beetje zo in de wet te staan.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie