AVG en Google Analytics

De afgelopen tijd is er veel geschreven over de AVG, ook met het oog op Google Analytics zijn er actiepunten. Aangezien de AVG op 25 mei al in werking treedt, hieronder nog een kort overzicht van punten die in ieder geval belangrijk zijn om te checken.

Google Analytics databehoud

De statistieken en data in Analytics wordt vanaf 25 mei nog maar 26 maanden bewaard. Zonder actie/aanpassing zal vanaf 25 mei de data ouder dan 26 maanden door Google verwijderd worden. Pas dit op tijd aan als dat nog niet gedaan is, indien de gegevens langer bewaard moeten blijven.

Google Analytics verwerkersovereenkomst

De verwerkersovereenkomst binnen Google Analytics kan digitaal ondertekend worden bij “beheer” en dan “accountinstellingen”. Onderaan die pagina kan de verwerkersovereenkomst geaccepteerd worden:

Google Analytics data delen

In Google Analytics (onder “beheer” en dan “accountinstellingen”) zijn diverse mogelijkheden om data te delen:

Het advies is om deze uit te schakelen mocht dit nog niet gedaan zijn.

Google Analytics & IP Adressen

Google Analytics slaat IP adressen op in haar database. Deze zijn niet direct voor een gebruiker van Analytics zichtbaar, maar worden door Google wel opgeslagen. Google gebruikt de IP adressen om de locatie van een gebruiker door te kunnen meten. Dit kan anoniem gemaakt worden, in dat geval wordt het laatste cijfer in een IP adres door Google (nog voordat het opgeslagen wordt) veranderd door een “0”. Dit betekent dat de locatiegegevens in Analytics minder nauwkeurig zijn, maar de IP adressen zijn daardoor wel geanonimiseerd. Om dit toe te passen is wel een aanpassing in het meetscript nodig. Deze aanpassing verschilt per Analytics versie.

De uitleg hierover is te vinden op https://support.google.com/analytics/answer/2905384?hl=nl&ref_topic=2919631 (de linkjes in de laatste paragraaf verwijzen naar de verschillende implementaties).

Wat Google zelf zegt over AVG

Dit is een vertaling van de mededeling die wij aan al onze gebruikers gedaan hebben.
Beste Google Analytics-beheerder,
In het afgelopen jaar hebben we bekendgemaakt hoe we ons voorbereiden om te voldoen aan de vereisten van de AVG, de nieuwe gegevensbeschermingswet die 25 mei 2018 van kracht wordt. Vandaag delen we meer informatie over belangrijke productwijzigingen die van invloed kunnen zijn op uw Google Analytics-gegevens, en andere updates. Gebruik deze informatie bij uw voorbereiding op de AVG. Lees deze e-mail aandachtig door want er is actie van u vereist, zelfs als uw gebruikers niet zijn gevestigd in de Europese Economische Ruimte (EER).
Productupdates
Vandaag hebben we gedetailleerde beheeropties voor bewaring van gegevensgeïntroduceerd waarmee u kunt beheren hoe lang uw gebruikers- en gebeurtenisgegevens worden bewaard op onze servers. Vanaf 25 mei 2018 worden de gebruikers- en gebeurtenisgegevens bewaard op basis van deze instellingen. Google Analytics verwijdert automatisch gebruikers- en gebeurtenisgegevens die ouder zijn dan de bewaarperiode die u selecteert. Deze instellingen hebben geen invloed op rapporten die zijn gebaseerd op verzamelde gegevens.
Actie: Controleer deze instellingen voor de bewaring van gegevens en breng zo nodig wijzigingen aan.
Vóór 25 mei introduceren we ook een nieuwe tool voor het verwijderen van gebruikers. Met deze tool kunt u alle gegevens die zijn gekoppeld aan een individuele gebruiker (bijvoorbeeld een bezoeker van uw site), verwijderen uit uw Google Analytics- en/of Analytics 360-property’s. Deze nieuwe geautomatiseerde tool werkt op basis van de algemene ID’s die worden verzonden naar de Analytics Client-ID (dat wil zeggen de standaard first party cookie van Google Analytics), User ID (indien ingeschakeld) of app-instantie-ID (als u Google Analytics voor Firebase gebruikt). Details zijn binnenkort beschikbaar op onze site voor ontwikkelaars.
Zoals altijd blijven we ons inzetten om u mogelijkheden te bieden waarmee u de veiligheid van uw gegevens kunt waarborgen. In Google Analytics en Analytics 360 blijven verschillende andere functies en beleidsregels voor verzameling, gebruik en retentie van uw gegevens beschikbaar waarmee u de veiligheid van uw gegevens waarborgt. Zo kunnen functies voor aanpasbare cookie-instellingen, privacyopties, instellingen voor delen van gegevens, verwijdering van gegevens bij beëindiging van accounts en anoniem maken van IP-adressen van pas komen wanneer u een inschatting gaat maken van de impact die de AVG heeft op de unieke situatie en Analytics-implementatie van uw bedrijf.
Updates gerelateerd aan contracten en toestemming van gebruikers
Contractwijzigingen
Google heeft updates van onze contractuele voorwaarden voor veel producten doorgevoerd, die de status van Google als gegevensverwerker of gegevensverwerkingsverantwoordelijke weergeven onder de nieuwe wet (zie volledige classificatie van onze advertentieproducten). De nieuwe voorwaarden van de AVG zijn een aanvulling op uw huidige contract met Google en worden 25 mei 2018 van kracht.
In Google Analytics en Analytics 360 functioneert Google als verwerker van de persoonsgegevens die in deze service worden behandeld.
  • Voor klanten van Google Analytics die buiten de EER zijn gevestigd en alle klanten van Google Analytics 360 zijn geüpdatete voorwaarden voor gegevensverwerking beschikbaar voor beoordeling/acceptatie in alle accounts (Beheerder ➝ Accountinstellingen).
  • Voor klanten van Google Analytics binnen de EER zijn de geüpdatete voorwaarden voor gegevensverwerking al opgenomen in uw voorwaarden.
  • Als u geen contract bij Google heeft voor het gebruik van onze meetproducten, raadpleegt u de partijen met wie u een contract hiervoor heeft afgesloten.
Geüpdatet beleid ten aanzien van toestemming van gebruikers in de Europese Unie
Volgens ons beleid voor advertentiefuncties moeten klanten van Google Analytics en Analytics 360 die advertentiefuncties gebruiken, voldoen aan het beleid ten aanzien van toestemming van gebruikers in de Europese Unie van Google. Het beleid ten aanzien van toestemming van gebruikers in de Europese Unie van Google wordt geüpdatet met de nieuwe wettelijke vereisten van de AVG. In het beleid is vastgelegd welke verantwoordelijkheden u heeft voor de openbaarmaking aan, en verkrijgen van toestemming van, eindgebruikers van uw sites en apps in de EER.
Actie: Zelfs als u niet in de EER bent gevestigd, is het verstandig samen met uw juridische afdeling of adviseurs een afweging te maken of uw bedrijf binnen het bereik van de AVG valt bij het gebruik van Google Analytics en Analytics 360. Zorg dat u ook de geüpdatete voorwaarden voor gegevensverwerking beoordeelt/accepteert en een strategie bepaalt waarmee u kunt voldoen aan het beleid ten aanzien van toestemming van gebruikers in de Europese Unie.
Meer informatie
Raadpleeg privacy.google.com/businesses voor meer informatie over het gegevensprivacybeleid en de aanpak van Google. Hier kunt u ook onze voorwaarden voor gegevensverwerking bekijken.
In de komende weken maken we meer informatie over onze plannen bekend en updaten we zo nodig de relevante documentatie voor ontwikkelaars en het Helpcentrum.
Bedankt,
Team Google Analytics
Geschreven door Sjoerd,