Wat iedere marketeer moet weten over Google Analytics

College bescherming persoonsgegevens velt oordeel over Google Analytics

Recent deed het College Bescherming Persoonsgegevens (CBP) enkele interessante uitspraken over de Google Analytics-cookies die gevolgen hebben voor iedereen die Google Analytics gebruikt ten behoeve van marketingdoeleinden. Het CBP deed deze uitspraken in het rapport van definitieve bevindingen van 22 augustus 2013 inzake de Philips Smart-TV en de gegevensverwerking door TP Vision. Waar moet je als marketeer op letten als je Google Analytics gebruikt om analytische informatie te verzamelen over het websitegebruik of om profielinformatie van gebruikers over meerdere websites te verzamelen?

Analytische cookies

1. Analyseer altijd eerst grondig of je gebruikmaakt van analytische cookies. Beantwoord de vraag: gebruik ik de analytische cookies alleen om het gebruik van één website te analyseren of worden de cookies gebruikt om de gebruiker te volgen over meerdere apps/websites?
2. Gebruik je de analytische cookies alleen om het gebruik van één website (bijvoorbeeld je eigen website) te analyseren, sluit dan een zogenoemde ‘bewerkersovereenkomst’ met de aanbieder van de analytische tool. Wil je dat dit cookiegebruik valt onder de nieuwe uitzondering in de gewijzigde cookieregels [zie kader onderaan], dan moet je met de aanbieder overeenkomen dat:

   • de verzamelde gegevens niet zullen worden gebruikt op een manier en voor doeleinden die meer dan geringe gevolgen hebben voor de privacy van de gebruiker en;
   • dat de aanbieder de gegevens niet voor eigen doeleinden zal gebruiken. Zorg er dus altijd voor dat de optie ‘gegevens delen’ uit staat!

3. Als je de analytische cookies gebruikt om het klikgedrag van gebruikers over meerdere websites/apps te volgen, hou er dan bij het gebruik van deze tracking cookies rekening mee dat je:

   • de gebruikers informeert over dit cookiegebruik en hen om toestemming vraagt (zoals vereist op grond van de cookieregels) en
   • persoonsgegevens (zoals IP-adres, de URL’s ,etc.) verwerkt, tenzij je maatregelen hebt genomen waardoor je kan bewijzen dat je geen persoonsgegevens verwerkt. Let op: het begrip persoonsgegevens wordt door het CBP breed geïnterpreteerd. Zo is het enkel maskeren van het IP-adres onvoldoende.

Het analysen van websitegebruik vereist steeds een juridische analyse. Het gebruik van de cookies bepaalt de toepasselijke regels. Neem je de toepasselijke regels niet in acht, dan is het cookiegebruik en de gegevensverzameling onrechtmatig.

In de aangekondigde wijziging op de cookieregels wordt een nieuwe uitzondering op de toestemming- en informatieverplichting geïntroduceerd: cookies die geen of geringe gevolgen hebben voor de persoonlijke levenssfeer van de gebruiker en gebruikt worden om informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij (lees: website/app).