Je hebt online marketing cowboys, en je hebt brave online marketeers. Ik heb de gewoonte om regeltjes te volgen. Dat kost me waarschijnlijk een boel centen, maar ik slaap meestal wel goed. Op deze pagina onderzoek ik de impact van de GDPR en de toekomstige E-Privacy Directieve op website analytics (Google Analytics, maar ook een alternatief pakket als Matomo)
Eerst de verplichte disclaimer. Ik ben geen jurist, wel een online marketeer. Ik probeer gewoon binnen de grenzen van regels aan online marketing te doen. Maar wat hier staat is mijn interpretatie. Die is misschien fout. Ik geef je sowieso het advies om het nieuws over dit onderwerp goed op te volgen. Ik bespreek hier verschillende strategieën en leg enkele scenario’s voor. Ik leg je de keuzes ook graag voor tijdens een opleiding Google Analytics.
Vooraf: kort wat uitleg over toestemming vragen
Zoals je hieronder zal kunnen lezen, zijn er twee manieren om bezoekersgegevens te tracken. Mét expliciete toestemming van de gebruiker en zonder expliciete toestemming.
Meer en meer regelgeving en interpretaties van regelgeving doen de balans overhellen naar expliciete toestemming. Probleem is echter dat in Europa op dit moment eenduidigheid zoek is. Hopelijk brengt de langverwachte E-privacy Directieve daarin verandering. Maar die regelgeving is dus nog niet klaar.
Hoe zo’n expliciete toestemming er uitziet, daarover schreef ik volgend artikel: Over cookies, toestemming, ePrivacy & de GDPR (update 2020)
Iets om rekening mee te houden is dat zo’n toestemmingsysteem natuurlijk een grote impact heeft op je datakwaliteit. Als je toestemming vraagt, zal een dele van je bezoekers gewoon “nee” zeggen. Die data ben je dus kwijt. Als je daarover meer wil lezen, moet je het artikeltje dat ik schreef over conversies meten in Google Ads eens bekijken. Ik werkte daar een paar argumenten uit die duidelijk maken dat dat geen ramp hoeft te zijn.
Tijd nu om naar de verschillende trackingscenario’s te kijken.
Scenario 1: stoppen met meten en alle tracking verwijderen
Niet echt aangewezen denk ik. Dat kan ook niet de bedoeling zijn van de Europese regels. Het zou een groot concurrentienadeel opleveren.
Anderzijds, ik ken bedrijven die allerlei trackingcodes op hun site installeren, maar er letterlijk NOOIT naar kijken.Mijn advies is om te wissen wat je niet gebruikt. Een cookie-audit wordt veel eenvoudiger als je het aantal cookies kan beperken.
Scenario 2: Matomo gebruiken en toestemming vragen
Met een pakket als Matomo (het voormalige Piwik) installeer je een analysesysteem op je eigen server ipv. zoals bij Google Analytics data door te sturen naar derden, i.c. Google. Voordeel van Matomo is dat de data dan in je eigen handen blijven, en dat je zelf kan bepalen wat je met de gegevens doet. Er bestaat ook een cloudoplossing waarbij je gebruik kan maken van een server van Matomo in plaats van je eigen server, terwijl je verzekerd blijft van het ownership over je eigen data. Je bent er zo zeker van dat ze niet worden gebruikt voor reclamedoeleinden, bijv. De nieuwe Gegevensbeschermingsautoriteit (de instantie in België die de privacyregels moet controleren) gebruikt zelf Matomo op hun site https://www.gegevensbeschermingsautoriteit.be/.
Mijn evaluatie van deze strategie: Wanneer je het toestemmingsysteem goed laat inrichten en gebruikers duidelijk informeert, lijkt me dit een zeer goede oplossing.
Scenario 3: Matomo gebruiken en geen toestemming vragen
In deze strategie doe je er alles aan om de bezoekersgegevens die je verzamelt om te zetten in pseudonieme data. Matomo geeft een duidelijke uitleg daarover. Het is een reeks instellingen die je kan maken om de tracking te beperken. Voor die pseudonimisering vraag je in deze strategie geen toestemming. Je hebt ook een optie om te tracken zonder gebruik van cookies.
Mijn evaluatie van deze strategie: In de eerste uitspraak van de Belgische Gegevensbeschermingsautoriteit gaat men niet akkoord met deze werkwijze. Vooraleer je niet voor de gebruiker essentiële cookies plaatst, is toestemming nodig. Toekomstige wetgeving kan voorzien in een uitzondering voor een basic en voor privacy ongevaarlijke tracking, maar die is er nu niet. Eerder werd overigens al duidelijk gemaakt dat de regels niet alleen voor cookies gelden, maar ook voor trackingsystemen die gebruik maken van andere technologieën (bijv. browser fingerprinting). Dus zonder cookies werken helpt waarschijnlijk niet echt.
Scenario 4: Google Analytics gebruiken en toestemming vragen
Net zoals je voor Matomo toestemming kan vragen, kan je dat ook voor Google Analytics doen. Voordeel is dat de cookiemanagementsystemen allemaal duidelijke instructies geven voor de integratie met Google Analytics omdat dat natuurlijk het meest bekende pakket is. Zie bijvoorbeeld de duidelijke instructies bij Cookiebot. Je kan apart toestemming vragen voor Google Analytics als analysesysteem (statistiekencookies) en als advertentiesysteem (marketingcookies, bijv. voor remarketing).
In een privacyveilige configuratie kan je de dataoverdracht – ondanks de toestemming – verder beperken, door bijvoorbeeld IP-adressen te pseudonimiseren, het delen van gegevens uit te schakelen en ook de zogenaamde advertentiefuncties uit te schakelen.
Mijn evaluatie van deze strategie: Dit is wat ik doe als ik Google Analytics gebruik. Ook bijvoorbeeld op deze site. Google zegt trouwens zelf dat je als gebruiker van Google Analytics toestemming van je websitebezoeker moet verkrijgen voor tracking.
Scenario 5: Google Analytics gebruiken en geen toestemming vragen
De Nederlandse Autoriteit Persoonsgegevens geeft al jaren richtlijnen over hoe je Google Analytics kan gebruiken zonder eerst expliciete toestemming te verkrijgen (Zie deze PDF van de Autoriteit Persoonsgegevens.) Je moet dan een hele reeks handelingen verrichten die Google Analytics zo privacyvriendelijk mogelijk maken.
In de uitspraak van de Belgische Gegevensbeschermingsautoriteit gaat echter een andere weg op. De Nederlandse interpretatie wordt niet gevolgd. Toestemming is nodig voor alle niet-essentiële cookies.
Mijn evaluatie van deze strategie: Ik gebruik deze strategie sinds einde 2019 niet langer. Het lijkt me sowieso afgeraden om in dit scenario zonder meer remarketing te gaan toepassen.