29 augustus 2022

4 tips om te voldoen aan de AVG met Google Analytics 4

De Algemene Verordening Gegevensbescherming (AVG) is de afgelopen tijd een hot topic onder marketeers. Met Google Analytics 4 heeft Google al een flinke stap gezet in de goede richting op het gebied van privacy, maar ook nu nog zijn er een aantal zaken waar je goed op moet letten. Leer in deze blog hoe je Google Analytics 4 kunt gebruiken en tegelijkertijd kunt voldoen aan de AVG.

Twee belangrijke ontwikkelingen binnen GA4 m.b.t. privacy:

  • Google Analytics 4 logt of bewaart geen individuele IP adressen. Ze gebruiken IP adressen wel om een plaatsnaam, continent, land, regio en subcontinent te koppelen aan een gebruiker.
  • Google Analytics 4 verzamelt alle data van apparaten in de EU (op basis van het IP-adres) via Europese domeinen en servers waarna de data pas wordt gedeeld met andere servers voor het verwerken ervan.

In deze blog zal ik je middels de volgende vier stappen verder helpen om beter te voldoen aan de AVG.

  1. Data sharing settings nalopen
  2. Gegevensinstellingen goed inrichten
  3. User ID functie nalopen
  4. Kennisgeving op de website in orde maken

Uiteraard kan ik jou geen juridisch advies geven en is het van belang dat je zelf uitzoekt of je volledig voldoet aan de voor jou geldende privacy wet- en regelgeving.

Stap 1: Data sharing settings nalopen

Ga naar Accountinstellingen en vink alle checkboxes onder ‘Data sharing’ uit.

Indien dat nog niet is gedaan, accepteer dan ook de data processing terms op de accountinstellingen pagina. Dit doe je in principe al bij het aanmaken van een nieuw account:

Stap 2: Gegevensinstellingen goed inrichten

In stap 2 leg ik je uit hoe je de Data Collection / Gegevensverzameling opties goed instelt voor jouw GA4 property.

2.1. Google signalen

Zet Gegevensverzameling door Google-signalen alleen aan wanneer je deze functie ook echt nodig hebt. Je kunt deze activeren onder Beheer > Gegevensinstellingen > Gegevensverzameling.

Wanneer je Google signalen activeert betekent dat niet dat je dit zomaar mag inschakelen voor alle bezoekers . Op basis van de voorkeuren van een bezoeker kun je deze functie uitschakelen middels ‘allow_google_signals’.

Zelf doe ik dit vaak als volgt:

  • In Google Tag Manager lees ik uit welke cookievoorkeuren zijn geaccepteerd.
  • Op basis van deze voorkeuren heb ik een variabele gemaakt met als waarde true of false voor allow_google_signals.
  • In de configuratie tag stuur ik de allow_google_signals parameter mee met als waarde de aangemaakte variabele.

Je moet bezoekers op de hoogte stellen van het gebruik van google signalen en mag deze pas activeren wanneer bezoekers hun voorkeuren hebben opgegeven en ermee akkoord zijn gegaan.

Wanneer je Google signalen uitschakelt voor bepaalde regio’s zal Google de historische data bewaren conform de ingestelde bewaarperiode, maar geen nieuwe data meer verzamelen.

2.2. Advertentie personalisatie signalen

Zet Geavanceerde instellingen om advertentiepersonalisatie toe te staan alleen aan wanneer je deze functie ook echt nodig hebt. Je kunt deze activeren onder Beheer > Gegevensinstellingen > Gegevensverzameling. Per land kun je jouw voorkeuren beheren.

Wanneer je Advertentie personalisatie signalen activeert betekent niet dat je dit zomaar mag inschakelen voor alle bezoekers. Op basis van de voorkeuren van een bezoeker kun je deze functie uitschakelen middels ‘allow_ad_personalization_signals’.

Het uitzetten van de advertentie personalisatie wanneer iemand hier niet mee akkoord is gegaan doe ik op dezelfde manier als voor de google signalen:

  • In Google Tag Manager lees ik uit welke cookievoorkeuren zijn geaccepteerd.
  • Op basis van deze voorkeuren heb ik een variabele gemaakt met als waarde true of false voor allow_ad_personalization_signals.
  • In de configuratie tag stuur ik de allow_ad_personalization_signals parameter mee met als waarde de aangemaakte variabele.

2.3. Verzameling van gedetailleerde locatiegegevens en apparaatgegevens

Als je deze functie uitzet, verzamelt Google Analytics deze gegevens niet:

  • Plaats
  • Latitude (van plaats)
  • Longitude (van plaats)
  • Onderversie van browser
  • User-agent-tekenreeks van de browser
  • Merk apparaat
  • Apparaatmodel
  • Apparaatnaam
  • Onderversie van besturingssysteem
  • Onderversie van platform
  • Schermresolutie

2.4. User Data Collection Acknowledgement

Het is belangrijk om hiermee akkoord te gaan. Je gaat hiermee akkoord met het volgende:

“Ik bevestig dat ik aan mijn eindgebruikers de vereiste privacykennisgevingen heb getoond en van hen toestemming heb gekregen om hun gegevens te verzamelen en te verwerken, waaronder het koppelen van deze gegevens aan de bezoekgegevens die Google Analytics voor mijn site en/of app-property verzamelt.”

Stap 3: User ID functie nalopen

Zonder toestemming mag je niet zomaar de User ID functie inschakelen. Check daarom of deze aanstaat en schakel deze indien nodig uit of zorg ervoor dat deze functie alleen is ingeschakeld wanneer een bezoeker akkoord gaat met analytische cookies.

Stap 4: Kennisgeving op de website in orde maken

Google Analytics 4 plaatst first-party cookies om unieke bezoekers en sessies te identificeren. Hiervoor gebruiken ze de volgende cookies:

Cookie naam Standaard  expiration time Omschrijving
_ga 2 years Used to distinguish users.
_gid 24 hours Used to distinguish users.
_ga_<container-id> 2 years Used to persist session state.
_gac_gb_<container-id> 90 days Contains campaign related information. If you have linked your Google Analytics and Google Ads accounts, Google Ads website conversion tags will read this cookie unless you opt-out.

Omdat iedere website anders is en de privacy en cookie statements over meer gaan dan alleen Google Analytics ga ik bij deze stap slechts op globaal niveau in op wat er moet gebeuren om aan de AVG te voldoen. Wil je dit juridisch in orde hebben, neem dan contact op met iemand die jou hierover ook echt juridisch advies mag geven.

4.1. Informeer bezoekers over het gebruik van Google Analytics.

Wanneer je Google Analytics gebruikt is het nodig om bezoekers hiervan op de hoogte te brengen. Update jouw privacy- en/of cookiebeleid en geef o.a. aan welke welke data je verzamelt, hoe deze data verzameld wordt, hoe lang de data bewaard wordt en waarvoor je de data verzamelt.

Informeer bezoekers ook over eventuele productkoppelingen die je hebt ingesteld. Bijvoorbeeld over de koppeling tussen Google Analytics en Google Ads.

Voor meer informatie over de beleidsvereisten voor advertentiefuncties in Google Analytics, zie hier de officiële documentatie hierover van Google: https://support.google.com/analytics/answer/2700409?hl=nl&ref_topic=9303474

4.2. Vraag toestemming aan bezoekers.

Je mag Google Analytics niet zomaar zonder toestemming inladen zonder hiervoor maatregelen te nemen. Wanneer je alleen de basis gebruikt en alle extra advertentiefuncties en signalen uitschakelt is alleen een vermelding voldoende (mits je geen andere cookies plaatst waarvoor consent nodig is).

Wil je meer functies inschakelen? Zorg er dan voor dat je toestemming vraagt aan bezoekers door middel van een cookiebar. Belangrijk hierbij is dat je bezoekers de mogelijkheid geeft om de cookies te weigeren en wijzigen en om specifieke cookies wel of niet te accepteren. Er moet gewerkt worden met een opt-in methode, dus niet met een opt-out methode.

Wanneer je nog geen toestemming hebt kun je al wel vast de ‘uitgeklede versie’ van Google Analytics 4 inladen. Hoe dan ook is het belangrijk om bezoekers hierover goed te informeren.

Meer leren over online marketing?

Lees dan ook eens mijn andere blogs!


Meer leren over digital analytics?

Ik heb een gratis discord community opgezet voor iedereen die zichzelf wilt ontwikkelen op het gebied van tracking & rapportage.

Join MeasureBase
This site is registered on wpml.org as a development site. Switch to a production site key to remove this banner.