Wat iedere marketeer moet weten over Google Analytics

18 september 2013, 10:59

College bescherming persoonsgegevens velt oordeel over Google Analytics

Recent deed het College Bescherming Persoonsgegevens (CBP) enkele interessante uitspraken over de Google Analytics-cookies die gevolgen hebben voor iedereen die Google Analytics gebruikt ten behoeve van marketingdoeleinden. Het CBP deed deze uitspraken in het rapport van definitieve bevindingen van 22 augustus 2013 inzake de Philips Smart-TV en de gegevensverwerking door TP Vision. Waar moet je als marketeer op letten als je Google Analytics gebruikt om analytische informatie te verzamelen over het websitegebruik of om profielinformatie van gebruikers over meerdere websites te verzamelen?

Analytische cookies

  1. Analyseer altijd eerst grondig of je gebruikmaakt van analytische cookies. Beantwoord de vraag: gebruik ik de analytische cookies alleen om het gebruik van één website te analyseren of worden de cookies gebruikt om de gebruiker te volgen over meerdere apps/websites?
  2. Gebruik je de analytische cookies alleen om het gebruik van één website (bijvoorbeeld je eigen website) te analyseren, sluit dan een zogenoemde ‘bewerkersovereenkomst’ met de aanbieder van de analytische tool. Wil je dat dit cookiegebruik valt onder de nieuwe uitzondering in de gewijzigde cookieregels [zie kader onderaan], dan moet je met de aanbieder overeenkomen dat:

    • de verzamelde gegevens niet zullen worden gebruikt op een manier en voor doeleinden die meer dan geringe gevolgen hebben voor de privacy van de gebruiker en;
    • dat de aanbieder de gegevens niet voor eigen doeleinden zal gebruiken. Zorg er dus altijd voor dat de optie ‘gegevens delen’ uit staat!

  3. Als je de analytische cookies gebruikt om het klikgedrag van gebruikers over meerdere websites/apps te volgen, hou er dan bij het gebruik van deze tracking cookies rekening mee dat je:

    • de gebruikers informeert over dit cookiegebruik en hen om toestemming vraagt (zoals vereist op grond van de cookieregels) en
    • persoonsgegevens (zoals IP-adres, de URL’s ,etc.) verwerkt, tenzij je maatregelen hebt genomen waardoor je kan bewijzen dat je geen persoonsgegevens verwerkt. Let op: het begrip persoonsgegevens wordt door het CBP breed geïnterpreteerd. Zo is het enkel maskeren van het IP-adres onvoldoende.

Het analysen van websitegebruik vereist steeds een juridische analyse. Het gebruik van de cookies bepaalt de toepasselijke regels. Neem je de toepasselijke regels niet in acht, dan is het cookiegebruik en de gegevensverzameling onrechtmatig.

In de aangekondigde wijziging op de cookieregels wordt een nieuwe uitzondering op de toestemming- en informatieverplichting geïntroduceerd: cookies die geen of geringe gevolgen hebben voor de persoonlijke levenssfeer van de gebruiker en gebruikt worden om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij (lees: website/app).

Nicole Wolters Ruckert is advocaat bij Kennedy Van der Laan, een Amsterdams advocatenkantoor dat opereert in een internationale omgeving. Wolters Ruckert is gespecialiseerd in privacy-vraagstukken. Sinds de introductie in 2012 volgt zij de ontwikkelingen rondom de cookiewet op de voet en adviseert zij haar cliënten uit de IT-, advertentie- en telecommunicatiesector hierover.

Categorie
Tags

4 Reacties

    Hendrik

    Dus bij het gebruik van Google Analytics, zal Google de gegevens ook voor eigen doeleinden gebruiken en zul je dus eigenlijk een bewerkers overeenkomst met Google moeten sluiten?


    18 september 2013 om 12:50
    Peter

    Helaas zal google met de gratis versie nooit een gebruikersovereenkomst met je sluiten, daar moet je de betaalde versie voor nemen. Aangezien het overgrote deel van de nederlandse websites die GA gebruiken geen betaalde versie gebruiken, dus allemaal in overtreding zijn als ze geen toestemming vragen.

    Verder noem je URLs als persoonsgegevens: dit lijkt me onjuist. een url is op geen enkele manier persoonsgebonden en kan dus niet onder persoonsgegevens vallen

    Verder zit ook deze nieuwe wet vol met gaten. “Gering” is niet uitputtend gedefinieerd, en dus zullen er verschillende interpretaties aan te pas gaan komen.


    18 september 2013 om 13:30
    Nicole Wolters Ruckert

    @Peter:

    1. Wat betreft je eerste punt heb je helemaal gelijk. Google sluit om dit moment geen bewerkersovereenkomsten met hun afnemers.

    2. URL’s zijn niet per definitie persoonsgegevens maar gegevens over online klikgedrag, gebruik van apps en websitebezoeken worden door het CBP gekwalificeerd als ‘gevoelige persoonsgegevens’. De bezochte URL’s zeggen wel namelijk iets over de persoon van de gebruiker.

    3. Inderdaad, ook de wijziging kenmerkt zich door vage normen…


    18 september 2013 om 13:44
    Nicole Wolters Rucker, Kennedy Van der Laan

    @Hendrik: een bewerkersovereenkomst moet altijd worden gesloten als Google de gegevens ten behoeve van een ander (website-aanbieder) gaat verwerken. Gaat Google de gegevens voor eigen doeleinden gebruiken dan is Google daar verantwoordelijk voor en moet dit ook contractueel worden afgedicht. Maar zoals Peter opmerkt, is dat niet eenvoudig…


    18 september 2013 om 13:50

Marketingfacts. Elke dag vers. Mis niks!