Webanalyse:
gegevensbescherming bij het opstellen van gebruikersprofielen

  1. Home
  2. SEO
  3. Webanalyse: en gegevensbescherming

Waarvoor dient webanalyse?

Webanalyse heeft zich ontwikkeld tot een centraal instrument in de online marketing. Talrijke websitebeheerders gebruiken trackingtools als Google Analytics, Matomo (vroeger Piwik) of etracker, die het mogelijk maken om het gedrag van gebruikers op een website na te gaan. Op basis van deze gegevens kan men beoordelen hoe websites gebruiksvriendelijker en transacties efficiënter kunnen worden gemaakt. Bij STRATO brengen we je overigens ook bij hoe zoekmachines werken en wat SEO-webanalyse precies is.

Maar terwijl uitbaters van webwinkels zich een wereld zonder webanalyse amper nog kunnen voorstellen, slaan instanties voor gegevensbescherming alarm. Dit doen ze omdat het voor klanten vaak niet duidelijk is welke gegevens door de websitebeheerders worden verzameld en voor welke doeleinden deze gebruikt kunnen worden. Er kunnen met name conflicten ontstaan over de omgang met persoonsgegevens die gebruikt worden voor het opstellen van gebruikersprofielen. Via deze profielen willen bedrijven en websitebeheerders meer over de klanten te weten komen. Gelukkig is webanalyse die aan de richtlijnen met betrekking tot gegevensbescherming voldoet haalbaar. Daarvoor moet echter aan bepaalde voorwaarden zijn voldaan – en hiervoor kunnen ingrepen in de programmacode van de trackingtool vereist zijn.


Randvoorwaarden voor de gegevensbescherming

In principe is er niets op tegen om de gebruiksactiviteiten van een website te analyseren, mits dit conform de richtlijnen met betrekking tot gegevensbescherming gebeurt.

Binnen de EU is de wettelijke basis hiervoor de Algemene Verordening Gegevensbescherming (AVG). Volgens deze verordening is het opstellen van gebruikersprofielen alleen toegestaan als dit anoniem gebeurt, bijvoorbeeld door pseudoniemen. Persoonsgegevens waarmee bezoekers van een website duidelijk kunnen worden geïdentificeerd, mogen zonder uitdrukkelijke toestemming van de betrokkenen niet worden verzameld en opgeslagen. Volgens gegevensbeschermingsinstanties vallen ook dynamische IP-adressen, inclusief de geolocatie, hieronder.

Maar deze interpretatie van de wettelijke bepalingen levert een probleem op voor websitebeheerders die het gebruikersgedrag willen analyseren. In de standaardconfiguratie registreren namelijk vrijwel alle gebruikelijke trackingtools niet alleen het IP-adres van een gebruiker, maar ze plaatsen ook cookies om het gebruiksgedrag op de website te registreren. Een wettelijk correct gebruik zou dus alleen mogelijk zijn na uitdrukkelijke toestemming van de websitebezoeker.

In de AVG wordt er bovendien veel waarde gehecht aan het informeren van de gebruiker. Dat betekent voor websitebeheerders dat ze hun bezoekers duidelijk moeten maken welke gegevens ze voor welk doeleinde opslaan. Daarbij zijn algemene, alles omvattende verklaringen van toestemming taboe. Als je dus verschillende gegevens voor verschillende doeleinden nodig hebt, moet je de gebruiker voor elk doeleinde afzonderlijk om toestemming vragen. Het is tevens niet meer toegestaan uit te gaan van een zwijgende toestemming, zoals vroeger vaak werd gedaan. Als gebruikers niet te kennen geven dat hun persoonsgegevens mogen worden opgeslagen, geldt dit in het kader van de AVG als weigering. Hetzelfde geldt voor het gebruik van cookies.


Webanalyse en gegevensbescherming conform de AVG

Volgens de AVG zijn er voor websitebeheerders in principe twee manieren om gebruikersgegevens op een wettelijk correcte manier te registreren en te verwerken:

  • via een expliciete toestemming voor de webanalyse
  • via het volledig anoniem maken van de webanalyse

Je bezoekers vooraf om toestemming vragen voor het maken van gebruikersprofielen op basis van hun persoonsgegevens is juridisch gezien het veiligst. Dit verzoek moet echter gedaan worden zodra de bezoeker de website opent. Het is niet voldoende de verklaring van toestemming op te nemen als paragraaf in de algemene voorwaarden. In plaats daarvan kan bijvoorbeeld een pop-upvenster worden geïntegreerd, dat verschijnt zodra men de website voor het eerst oproept. Als de toestemming wordt gegeven, moet de websitebeheerder deze optekenen en bewaren, zodat deze te allen tijde toegankelijk is voor de gebruiker.

Bovendien moeten gebruikers de toestemming te allen tijde kunnen herroepen. Deze herroeping moet net zo gemakkelijk zijn als het geven van toestemming zelf. Zodra de gebruiker van mening verandert en dit de websitebeheerder meedeelt, moet deze de verwerking van gegevens onmiddellijk stoppen. Gegevens die tot dan toe al verzameld en verwerkt zijn, moeten echter niet achteraf weer worden gewist. Dit is alleen het geval als de gebruiker hier expliciet om vraagt.

Feit!
Volgens de AVG moeten websitebeheerders om de zes maanden opnieuw om toestemming vragen. Daarom moet de toestemming van de gebruiker van een tijdstempel worden voorzien. Alleen zo kan het webanalysesysteem alles correct en conform de wet registreren.

De AVG geeft gebruikers bovendien het recht op inzage. Dat wil zeggen dat de gebruiker het recht heeft op te vragen welke gegevens er tot nu toe van hem zijn opgeslagen. Voor websitebeheerders is het daarom van groot belang dat ze op elk moment toegang tot deze gegevens hebben. De verordening schrijft voor dat je 30 dagen de tijd hebt om zo’n aanvraag te verwerken. Het is ook belangrijk dat aanbieders van webanalyse-tools en andere externe dienstverleners de gegevens niet zelf analyseren. Hiervoor hebben de gebruikers doorgaans geen toestemming gegeven. De toestemming is meestal alleen aan de websitebeheerder zelf gegeven.

Het kost websitebeheerders echter veel moeite om elke bezoeker afzonderlijk om toestemming te vragen. Bovendien bestaat het gevaar dat bezoekers de website voortijdig verlaten als ze dergelijke hordes tegenkomen. In de praktijk wordt daarom zelden om toestemming voor de verwerking van persoonsgegevens gevraagd. Een alternatief is de geanonimiseerde webanalyse. Alle informatie die in het kader van een websitebezoek wordt geregistreerd, moet apart van de persoonsgegevens (bijvoorbeeld IP-adres, naam of accountgegevens) worden opgeslagen. Ook het later samenvoegen van de afzonderlijke gegevens is zonder expliciete toestemming verboden.

Opmerking!
Als je niet zeker weet of de gegevens die je verzamelt anonieme of persoonsgegevens zijn, is het beter van het laatste uit te gaan. De wetgever spreekt alleen van anonieme gegevens als het ook achteraf niet mogelijk is deze aan een persoon te koppelen.

Om aan de AVG te voldoen, kun je ook een zogenaamde IP-masking gebruiken. Bij deze variant van de webanalyse worden de laatste cijfers van een IP-adres al bij de vaststelling onherkenbaar gemaakt. Omdat de gebruikelijke IP-adressen van analysetools gegevens van gebruikers echter doorgaans volledig registreren en bijvoorbeeld in het kader van de geolocatie verwerken, vereist een geanonimiseerde webanalyse meestal een extra configuratie van de software. Een gedetailleerde handleiding voor de trackingtools Google Analytics, Matomo en etracker vind je aan het einde van dit artikel.

Bij het gebruik van webanalyse moet je met name op de volgende punten letten:


Opt-in

De toestemming voor verwerking van persoonsgegevens moet volgens de opt-in-methode worden verkregen. Je mag niet uitgaan van een zwijgende toestemming en ook geen opt-out-methode gebruiken. Zolang de bezoekers niet expliciet instemmen, mag je geen persoonsgegevens opslaan. Dat betekent ook dat zulke gegevens niet direct bij het oproepen van de website mogen worden geregistreerd. Pas na de toestemming is het opslaan van deze gegevens toegestaan.

Opmerking!
Omdat de AVG slechts sinds kort van kracht is en nog niet elk detail van de wetstekst eenduidig geformuleerd is, zijn er nog enkele onduidelijkheden. Zo is het bijvoorbeeld nog niet duidelijk of de opt-in-methode ook nodig is voor louter webanalyse. Toekomstige gerechtelijke procedures zullen waarschijnlijk ophelderen hoe de AVG moet worden geïnterpreteerd.

Informatieplicht

Als je trackingtechnieken op je website gebruikt, ben je verplicht bezoekers erop te wijzen dat hun gedrag in de vorm van gebruikersprofielen wordt geanalyseerd. Je moet de bezoekers bovendien uitleggen in welke omvang dit gebeurt en voor welk doeleinde. Ook de privacyverklaring moet voor de bezoekers te allen tijde en vanaf elke pagina bereikbaar zijn. Daarom is het raadzaam een link naar de privacyverklaring op te nemen in de navigatie of in de voettekst.


Recht van bezwaar

Een andere voorwaarde voor correcte webanalyse is de mogelijkheid tot bezwaar. Gebruikers moeten te allen tijde de mogelijkheid hebben hun eerdere toestemming weer ongedaan te maken. Dit moet net zo gemakkelijk zijn als het geven van de toestemming. Zodra het bezwaar is ontvangen, moet de registratie van persoonsgegevens worden stopgezet.


Opdracht tot verwerking van gegevens

Als websitebeheerders webtrackingtools gebruiken die persoonsgegevens van gebruikers opslaan op externe servers, schrijft de AVG een elektronische overeenkomst voor de opdracht tot verwerking van gegevens voor. Hiermee bedoelt de wetgever de vaststelling, verwerking en het gebruik van persoonsgegevens door een externe dienstverlener. In een dergelijke overeenkomst leggen beide contractanten vast welke diensten de opdracht tot verwerking van gegevens omvat en welke rechten en plichten hieruit voortkomen voor de lastgever en lastnemer.


Wettelijk correcte webanalyse met Google Analytics, Matomo en etracker

Door de invoering van de AVG hebben de ontwikkelaars van de gevestigde trackingstools hun best gedaan hun aanbod zo veel mogelijk in overeenstemming met de wetgeving te brengen. Desondanks is het de verantwoordelijkheid van de websitebeheerder ervoor te zorgen dat aan de wettelijke randvoorwaarden voor de webanalyse wordt voldaan.

Hoe de configuratie van de webtrackingsoftware er in de praktijk uit kan zien, lichten we toe aan de hand van de voorbeelden Google Analytics, Matomo en etracker.


Google Analytics

Zelfs de grote gegevensverzamelaar Google heeft zijn webanalysedienst aangepast aan de nieuwe EU-wetgeving. Toch moet je nog de volgende wijzigingen aanbrengen, opdat je webanalyse overeenkomt met de wetgeving inzake gegevensbescherming:

  • Verwerkersovereenkomst: In de opvatting van instanties voor gegevensbescherming neemt Google als aanbieder van Google Analytics de positie van lastnemer in. Websitebeheerders zijn daarom verplicht voor ze de software gebruiken, een overeenkomst af te sluiten voor de opdracht tot verwerking van gegevens. Dit kan inmiddels ook online worden uitgevoerd. De verwerkersovereenkomst kun je via je accountinstellingen afsluiten.

  • Bewaring van gegevens: In de instellingen maakt Google het mogelijk de opgeslagen gegevens na verloop van een bepaalde periode automatisch te laten wissen. Selecteer hier de kortste periode van 14 maanden.

  • Anonimiseren van IP-adressen: Het anonimiseren van de IP-adressen van gebruikers kan met Google Analytics worden uitgevoerd door de speciaal daarvoor ter beschikking gestelde code-uitbreiding ‘anonymizeIp’. Deze moet de websitebeheerder handmatig in de programmacode van de trackingsoftware voegen. Technische uitleg over het anonimiseren vind je in de helpsectie van Google. De trackingsoftware wordt momenteel in twee varianten gebruikt. Afhankelijk van of je het klassieke Analytics of Universal Analytics gebruikt, vul je de programmacode aan met de volgende codefragmenten. In het klassieke Analytics wordt de uitbreiding ingevoegd met de functie _anonymizelp van de JavaScript-bibliotheek ga.js:

    var _gaq = _gaq || []; _gaq.push (['_setAccount', 'UA-XXXXXXX-YY']); _gaq.push (['_gat._anonymizeIp']); _gaq.push (['_trackPageview'])

    Universal Analytics daarentegen gebruikt de functie ga('set', 'anonymizeIp', true) van de JavaScript-bibliotheek analytics.js:

    ga('create', 'UA-XXXXXXX-X', 'voorbeeld.nl'); ga('set', 'anonymizeIp', true); ga('send', 'pageview');

    Bij beide varianten wordt het laatste octet van een IPv4-adres op nul gezet. Bij IPv6-adressen omvat de IP-masking de laatste 80 bit in het geheugen.

  • Privacyverklaring en recht van bezwaar: Volgens de gebruiksvoorwaarden van Google Analytics zijn websitebeheerders verplicht in een privacyverklaring op het gebruik van de software te wijzen. Hier moet ook de omvang van de gegevensregistratie openbaar worden gemaakt. Een dergelijke plicht komt ook voort uit de Algemene Verordening Gegevensbescherming. In de verklaring moeten websitebezoekers bovendien op de mogelijkheid van bezwaar worden gewezen. Hiervoor kan een link worden geplaatst naar de door Google beschikbaar gestelde browser-add-on voor het deactiveren van Google Analytics.

  • Oude gegevens wissen: Persoonsgegevens die niet conform de AVG zijn geregistreerd, moeten zonder uitzondering worden gewist. In zulke gevallen is het raadzaam een nieuwe Google Analytics-account voor de desbetreffende website aan te maken.

Matomo (Piwik)

Net als bij de marktleider moet ook de gegevensbescherming bij Matomo (vroeger Piwik) worden aangepast, opdat de trackingtool conform de wet kan worden gebruikt. Anders dan Google Analytics draait de open sourcesoftware Matomo op de eigen server. Daarom hoeft met Matomo verwerkersovereenkomst te worden afgesloten. Omdat je de persoonsgegevens echter hoogstwaarschijnlijk op een gehuurde server opslaat, moet je een dergelijke overeenkomst wel afsluiten met de hostingaanbieder.


  • Anonimiseren van IP-adressen: In de standaardinstelling anonimiseert Matomo de IP-adressen al. Om er zeker van te zijn dat deze instelling correct is, kun je dit controleren in de instellingen in de Admin-sectie. Hier kun je ook vastleggen hoeveel bytes (tussen één en drie) moeten worden geanonimiseerd.

  • Bewaring van gegevens: Matomo maakt het mogelijk de verzamelde gegevens regelmatig te laten wissen, bijvoorbeeld om de zes maanden. Via het menu in de Admin-sectie kun je ook alle oude gegevens wissen die niet conform de AVG zijn verzameld. Meer informatie hierover vind je in de officiële FAQ.

  • Privacyverklaring en recht van bezwaar: De bezwaaroptie in het kader van de verplichte privacyverklaring kan bij Matomo via een opt-out-iFrame worden gerealiseerd. Dit is te vinden in de servicesectie van de officiële projectwebsite. Bovendien respecteert Matomo de opdracht ‘Do not track’, die veel webbrowsers al aan elke webaanvraag toevoegen –mits deze functie niet is gedeactiveerd.

etracker

Alle instellingen met betrekking tot gegevensbescherming kunnen bij etracker zonder ingreep in de programmacode worden uitgevoerd. Als Duits bedrijf maakt etracker vooral reclame met de conformiteit met de Europese wetgeving inzake gegevensbescherming.


  • Verwerkersovereenkomst: Ook websitebeheerders die etracker voor de analyse van gebruikersgegevens gebruiken, hebben de mogelijkheid een verwerkersovereenkomst af te sluiten. Dit gaat met enkele klikken.

  • Anonimiseren van IP-adressen: etracker geeft aan dat het anonimiseren van het IP-adres standaard geactiveerd is. Een handmatige aanvulling van de code is niet nodig.

  • Privacyverklaring en recht van bezwaar: Ook bij de privacyverklaring maakt etracker het websitebeheerders gemakkelijk aan de huidige norm voor gegevensbescherming te voldoen. Een sjabloon inclusief herroepingslink, dat op de Europese wetgeving is afgestemd, kan via het menupunt ‘Privacy protection notice and cancellation option’ in je etracker-account worden verkregen. Er kan ook een opt-in-oplossing bij etracker worden ingesteld.

  • Oude gegevens wissen: Als er persoonsgegevens voor de afstemming op de AVG in een andere configuratie zijn verzameld, moeten deze ook bij etracker zonder uitzondering worden gewist.