Update 2020: na de eerste cookie-uitspraak van de GBA is duidelijk geworden dat je in België de meest strikte variant moet toepassen: toestemming vragen voor alle niet noodzakelijke cookies. Dus ook voor Google Analytics/Matomo. Onderstaand scenario 4 krijgt dus de voorkeur.
Je hebt online marketing cowboys, en je hebt brave online marketeers. Ik heb de gewoonte om regeltjes te volgen. Dat kost me waarschijnlijk een boel centen, maar ik slaap meestal wel goed. Op deze pagina onderzoek ik de impact van de GDPR en de E-Privacy Regulation (EPR) op website analytics (Google Analytics, maar ook een alternatief pakket als Matomo)
Probleem is dat het voor de doorsnee gebruiker onmogelijk is en blijft om te weten wat nu precies wel mag en wat niet. Hoe graag ik het ook zou willen, ik kan geen eenduidige richtlijnen geven over wat je nu exact moet doen. Ik weet het zelf niet. 🙂
Ik kan je wel verschillende strategieën en scenario’s voorleggen. Aan jou de moeilijke opdracht om in te schatten wat je exact moet doen.
Scenario 1: stoppen met meten en alle tracking verwijderen
Niet echt aangewezen denk ik. Dat kan ook niet de bedoeling zijn van de Europese regels. Het zou een groot concurrentienadeel opleveren.
Scenario 2: Matomo gebruiken en toestemming vragen
Met een pakket als Matomo (het voormalige Piwik) installeer je een analysesysteem op je eigen server ipv. zoals bij Google Analytics data door te sturen naar derden, i.c. Google. De nieuwe Gegevensbeschermingsautoriteit (de instantie in België die de privacyregels moet controleren) gebruikt ook Matomo op hun site https://www.gegevensbeschermingsautoriteit.be/.
In de meest witte installatie informeer je niet alleen je gebruikers, maar vraag je ook expliciet toestemming om deze analyse cookies te plaatsen. De gegevensbeschermingsautoriteit zelf doet dat. (optie “accepteren” of “weigeren”). Een webbouwer kan zo’n toestemmingsysteem inbouwen in je site, of je kan een kant en klaar systeem als Cookiebot gebruiken. Echt plug&play is dat echter nooit; je moet altijd zelf nog het een en ander instellen. Als je dat goed implementeert kan je aan de GDPR en EPR regels voldoen door gebruikers een echte keuze te geven: wil je gevolgd worden of niet?
Scenario 3: Matomo gebruiken en geen toestemming vragen
In deze strategie doe je er alles aan om de bezoekersgegevens die je verzamelt om te zetten in anonieme data. Matomo geeft een duidelijke uitleg daarover. Gevolg zou dan zijn dat de GDPR niet meer van tel is. Uiteraard is niet duidelijk of de Gegevensbeschermingsautoriteit deze redenering volgt. Ook hoe de ERP hier tegenaan kijkt is nog onduidelijk. Sowieso moet je gebruikers op de hoogte brengen van de cookies die je gebruikt. Misschien moet je ze toch toestemming vragen, maar dat kan dan eventueel via de browserinstellingen.
Update januari 2020: in de eerste uitspraak van de Belgische Gegevensbeschermingsautoriteit lijkt men niet akkoord te gaan met deze werkwijze. Op dit moment is toestemming nodig vooraleer je niet voor de bezoeker noodzakelijke cookies plaatst. Toekomstige wetgeving kan voorzien in een uitzondering, maar die is er nu niet.
Scenario 4: Google Analytics gebruiken en toestemming vragen
Natuurlijk kan je een cookietoestemmingsysteem ook voor Google Analytics gebruiken. Cookiebot kan bijvoorbeeld goed overweg met de Tag Manager en Google Analytics. Duidelijke instructies staan op de site. Je zou apart toestemming kunnen vragen voor Google Analytics als analysesysteem (statistiekencookies) en als advertentiesysteem (marketingcookies, bijv. voor remarketing).
Wanneer je Analytics enkel als analysesysteem wil gebruiken, zou ik IP-adressen anonimiseren, het delen van gegevens uitschakelen en ook de zogenaamde advertentiefuncties uitschakelen.
Een gekke gedachte misschien, maar het kan: je zou zo 2 Analytics tracking-codes op je site kunnen laten plaatsen: de ene wordt geactiveerd als bezoekers analytische cookies accepteren; de andere verschijnt als gebruikers daarnaast ook marketingcookies accepteren. Complex, maar mogelijk.
Omdat je data transfereert naar Google, moet je sowieso een verwerkersovereenkomst afsluiten met hen. Dat gaat echter heel eenvoudig in je Analytics account. Google verlangt ook dat je een privacybeleid maakt en hen daarin vermeldt.
Scenario 5: Google Analytics gebruiken en geen toestemming vragen
Ook dat is een pad dat sommige bedrijven bewandelen. Net als bij Matomo probeer je geen persoonsgegevens te tracken. Of dat lukt is nog maar de vraag. Voor de EPR moet je sowieso informeren, eventueel toestemming vragen.
De Vlaamse Overheid suggereert aan haar eigen suborganisaties om het zo aan te pakken. Zie https://overheid.vlaanderen.be/google-analytics-privacyvriendelijk-configureren
Deze uitleg lijkt op de instructies van de Nederlandse Autoriteit Persoonsgegevens die al enkele jaren meegaan. Zie deze PDF van de Autoriteit Persoonsgegevens.
Het lijkt me sowieso afgeraden om in dit scenario zonder meer remarketing te gaan toepassen.