Handleiding Google Analytics

De privacywaakhond CBP heeft online een handleiding gepubliceerd voor het gebruik van Google Analytics. De handleiding bevat een aantal opmerkelijke punten.

Helaas hebben we niet meer de rechten op de originele afbeelding
adformatie

Vier stappen
In de worden vier stappen besproken om Google Analytics privacyvriendelijk te gebruiken. Deze vier stappen zijn:
1. afsluiten van een bewerkersovereenkomst met Google;
2. ‘anonimiseren’ van het volledige IP-adres (door het laatste octet van het IP-adres te verwijderen);
3. gegevens delen met Google uitzetten; en
4. informeren over het gebruik van Google Analytics en bieden van de opt-out mogelijkheid.

In de handleiding, die alleen te vinden is als specifiek op de naam wordt gezocht, wordt gedetailleerd uitgelegd hoe deze vier stappen moeten worden doorlopen. De handleiding is overigens zonder enige toelichting opgedoken op de nieuwe CBP-website gezet en loopt vooruit op het wetsvoorstel voor de wijziging van de cookiewet (artikel 11.7a Telecommunicatiewet).

Privacyvriendelijk
De aangepaste cookiewet versoepelt de eisen ten aanzien van bepaalde cookies. Ook voor cookies die geringe gevolgen hebben voor de persoonlijke levenssfeer hoeft straks geen toestemming meer te worden gevraagd. Op dit moment geldt deze uitzondering alleen nog voor puur functionele cookies. De nieuwe versoepeling wil overigens niet zeggen dat alle functionele cookies onder de uitzondering vallen: er zal steeds een belangenafweging moeten worden gemaakt.

IP-adres
Opmerkelijk is dat in de handleiding de opvatting van het CBP wordt bevestigd dat IP-adressen, ook als het laatste octet wordt verwijderd, (voor Google) persoonsgegevens zijn, omdat het gaat om een groep van maximaal 256 computers.

Informatieplicht
Hoewel de nieuwe cookiewet bepaalt dat ten aanzien van analytische cookies met een lage privacy-impact de informatieplicht niet geldt, zal in het kader van de belangenafweging wel volgens het CBP informatie moeten worden verstrekt (op grond van de algemene informatieplicht uit de Wet bescherming persoonsgegevens). De invulling die het CBP aan de informatieplicht geeft, gaat erg ver. Zo moet niet alleen worden gemeld dat Google Analytics-cookies worden gebruikt, maar ook dat er een bewerkersovereenkomst is gesloten, dat er gekozen is voor het maskeren van de laatste drie cijfers van het IP-adres, dat ‘gegevens delen’ is uitgezet en dat er geen gebruik wordt gemaakt van andere Google-diensten in combinatie met de Google Analytics-cookies. Dat gaat ver. En de vraag is of het CBP dit overweegt omdat het Google betreft (recentelijk nog heeft het CBP Google een sanctie opgelegd), of dat het CBP van mening is dat bij gebruik van bewerkers altijd zeer gedetailleerd geïnformeerd dient te worden. Als dat het geval is, zullen veel privacy statements aangepast moeten worden om aan de eisen van het CBP te voldoen.

Advertentie
advertisement
Advertentie