GDPR en Cookie regulering impact op je website en Google Analytics

Written by Sherlock Holmes

Ik plaatste onlangs een bericht op LinkedIn omtrent hoe je moet omgaan met cookie setting om te voldoen aan de nieuwe GDPR regelgeving die ingaat 25 mei 2018.

Hierbij meer info omtrent GDPR en websites die gebruik maken van Google Analytics.

Je hebt waarschijnlijk reeds gehoord van de GDPR en Cookie regulering die de Europese Commissie die in voege gaat op 25 mei 2018. Indien niet, dan kan je meer informatie vinden op de volgende sites:

  • https://www.smartbiz.be/achtergrond/167961/de-gdpr-wetgeving-uitgelegd-vijf-vragen/
  • https://www.net-it.be/gdpr-in-een-notendop/
  • https://www.techne.be/blog/gdpr-welke-impact-heeft-het-op-kmo%E2%80%99s-en-vzws/
  • http://ec.europa.eu/justice/smedataprotect/index_en.htm

GDPR is dus niet alleen voor grote ondernemingen, maar ook voor voor alle bedrijven en organisaties onafhankelijk van hun grootte die onder de criteria van GDPR vallen:

  • Gevestigd in de EU
  • Verzamelt persoonlijke gegevens en/of monitort het gedrag van EU burgers

Wat betekent dit nu echter voor jou en je website? Je bent namelijk verplicht om bezoekers op je website te informeren over:

  • de manier waarop je dataverzameling doet
  • de opslag van persoonlijke gegevens

Veel bedrijven stellen hier een aanpak op met een stappenplan (10 tot 13 stappen) voor het verzamelen, opslaan en gebruiken van persoonsgegevens. Hiervoor moet duidelijke toestemming gegeven worden door de bezoeker of gebruiker van de website bij zijn eerste bezoek aan de website. Persoonsgegevens worden onderverdeeld in drie categorieën:

  • Persoonsgegevens zoals NAW-gegevens (naam, adres, woonplaats), IP-adres en device-ID’s (smartphones en tablets)
  • Pseudo-anonieme data: persoonsgegevens die dusdanig verwerkt worden dat ze niet langer herleid kunnen worden zonder gebruik van aanvullende informatie, maar die wel een persoon individueel maken, zoals een versleuteld e-mailadres of gebruikers-ID.
  • Anonieme data.

Vermits jouw website gebruik maakt van trackingscripts voor Google Analytics valt de data, die via deze tracking-id’s verzameld worden, dan ook onder de GDPR omdat de persoon door aanvullende informatie herleid kan worden en individualiseerbaar is (zeker wat persoonsgegevens en pseudo-anonieme data betreft). Officieel mag je dus standaard geen trackingscripts gebruiken. Maar als je op de website vermeld welke data worden verzameld en voor welke doeleinden deze worden gebruikt mag dat wel. Vroeger kon je dit veelal opvangen met een cookie wall of een impliciete opt-in, waarbij je aan de bezoeker aangaf dat hij bij verder gebruik van de site automatisch akkoord gaat met het gebruik van deze trackingscripts. Vanaf 25 mei zal dit echter niet meer het geval zijn.

Dus moet er worden opgetreden. En hier begint het verhaal eigenlijk pas. Naast de GDPR komt er nog een aanvullende wetgeving. De cookiewet wordt namelijk ook volledig vervangen door een ePrivacy-wetgeving. Maar de GDPR heeft al eerder impact op wat je mag verzamelen en op welke manier. Het is dus belangrijk om de trackingscripts en cookies na te lopen en deze tegen de nieuwe richtlijnen te houden, en waar nodig te verwerken in de cookiemelding. Er hier zijn namelijk verschillende vormen van toepassing. Hierna een toelichting:

Level 1: verzamelen van gegevens

Wat ?

Om het gebruik van een website zo gemakkelijk mogelijk te maken worden technische en functionele cookies gebruikt om bepaalde keuzes en/of selecties gedaan en/of gemaakt bij een vorig bezoek aan de website bij te houden. Deze zorgen ervoor dat bepaalde keuzes en/of selecties niet steeds opnieuw moeten worden ingesteld.

Daarnaast worden ook analytische cookies gebruikt die bijhouden hoe bezoekers de website gebruiken, welke pagina’s ze bezoeken, … Deze helpen om de website te verbeteren, nieuwe inhoud aan de maken, … Deze analytische cookies slaan geen persoonlijke informatie op.

Aanpak !

Het verzamelen van gegevens een de opslag van deze cookies kan niet worden geweigerd vermits men anders de website niet kan bezoeken. En vermits Google Analytics op jouw website is geïnstalleerd moet hier worden opgetreden. Nu is ook Google Tag Manager op jouw site geïnstalleerd. Dat maakt het in dit geval nog eenvoudiger. Het volgende moet dus worden voorzien:

  • Veranderingen in het gebruik van Google Analytics:
    • Aanpassen van de Google Analytics configuratie en bewerkersovereenkomst met Google opnieuw afsluiten.
  • IP-adressen anoniem verwerken:
    • Via Google Tag Manager het laatste gedeelte van het IP-adres van websitebezoekers te verwijderen zodat ze anoniem worden
  • Informeren over het gebruik van Google Analytics:
    • De bezoeker informeren:
      • Google Analytics cookies gebruikt
      • een bewerkersovereenkomst is afgesloten
      • de gegevens anoniem worden verwerkt
      • ‘gegevens delen’ is uitgeschakeld
      • er geen gebruik wordt gemaakt van andere Google-diensten in combinatie met Google Analytics-cookies.

Level 2: personaliseren van gegevens

Wat ?

Sommige sites zijn zo opgezet dat ze vroegere bezoeken aan de site en het gedrag van de bezoekers bijhouden in een “customer profile”. Op deze manier kan men de site personaliseren per bezoeker of type bezoeker om zo meer relevante informatie te tonen. Hierbij denk ik o.a. aan specifieke banners op de homepage, promoties die voor de bezoeker interessant kunnen zijn, aangepaste site structuur, …

Aanpak !
Vermits dit specifieker is en voor de meeste sites niet van toepassing gaan we hier niet dieper op in. Meer info? Contacteer ons.

Level 3: data sharing met derden

Wat ?

Sommige websites maken gebruik van functionaliteiten zoals plug-ins aangeboden door derden of trackingscripts van derden. Enkele voorbeelden hiervan zijn:

  • Sociale share en like buttons
  • Sociale commentaar functionaliteiten
  • Video spelers
  • Tonen van relevante advertenties op het internet

Aanpak !

Hier wordt het dus wat moeilijker. Staat er op een of meerdere pagina’s van de site een video player (Youtube, Vimeo, …) of staan er Social share buttons dan valt je website ook in de categorie van level 3. En dan moeten deze bij weigering van deze optie door de bezoeker van de website ofwel niet meer worden getoond ofwel worden stopgezet.

Een andere mogelijkheid is dat u voor uw website gebruik maakt van functionele tools of marketing tools zoals: Facebook pixel, Hotjar, Google Remarketing, … In dit geval moeten deze bij weigering van deze optie door de bezoeker van de website worden stopgezet.

Conclusie

Zoals je kan merken is de opzet hiervan niet altijd algemeen en niet altijd evident mogelijk. Met Google Tag Manager kunnen we dit echter configureren zodat ook aan deze verplichting kan worden voldaan.

Concreet betekent dit dus dat er acties nodig zijn om je website in orde te brengen want er zijn ook boetes aan verbonden. Voor de level 1 consensus dient er sowieso een aanpassing te worden gedaan. En voor de level 3 consensus dient dienen de gebruikte functionaliteiten te worden bekeken om dan van daaruit een aanpak op te maken.

Meer info? Contacteer ons of boek een afspraak in via www.calendly.com/jefvangool



Plaats een reactie