Analytics

Google Analytics: verzamel jij per ongeluk deze ‘verboden’ data?

0

Als je data verzamelt voor je digital marketingactiveiten, is de kans groot dat je hiervoor Google Analytics gebruikt. In de algemene voorwaarden van Google Analytics staat dat het verboden is om met deze tool Persoonlijk Identificeerbare Informatie (PII) te verzamelen. Vanwege de AVG/GDPR wil je voorkomen dat er PII terechtkomt in Google Analytics, toch komt dit per ongeluk voor.

De wet schrijft voor dat je alleen PII mag verwerken als dit vanwege specifieke redenen nodig is. Of als hier door de betreffende persoon toestemming voor is gegeven.

Waarschijnlijk is er voor jou geen enkele reden om PII te verzamelen en vraag je hier dus ook geen toestemming voor. Toch komt het voor dat er per ongeluk persoonsgegevens terechtkomen in Google Analytics.

In dit artikel leg ik uit wat PII precies is, hoe deze per ongeluk terechtkomt in Google Analytics en wat de gevolgen zijn. Ook leg ik uit hoe je verzameling van PII voorkomt, hoe je deze identificeerbare informatie in Google Analytics detecteert en verwijdert. Zo vermijd je een torenhoge boete.

Wat is PII precies?

PII, persoonlijk identificeerbare informatie, is informatie herleidbaar tot een persoon. Voorbeelden van PII:

  • E-mailadres
  • Postcode
  • Telefoonnummer
  • Naam
  • Burgerservicenummer

Voorbeelden van niet-persoonlijk identificeerbare informatie, zonder toestemming te vergaren:

  • Apparaattype
  • Browser
  • Tijdzone
  • Taalvoorkeur

Twee grijze gebieden

1. Pseudoniem ID’s

De AVG/GDPR schrijft aan de ene kant voor dat je de wetgeving schendt als je pseudonieme cookie-ID’s, advertentie-ID’s en andere eindgebruiker-ID’s verzamelt. Gegevens die met behulp van andere gegevens zijn te koppelen aan een persoon.

Aan de andere kant geeft de wet ook aan dat bij het bepalen of een persoon identificeerbaar is aan de hand van pseudoniem ID’s, rekening moet worden gehouden met alle middelen waarvan redelijkerwijs valt te verwachten dat zij worden gebruikt om een persoon te identificeren. Waar de grens dus precies ligt, is afhankelijk van interpretatie.

2. IP-adressen

Als een gebruiker klikt op een Ads-advertentie, is het noodzakelijk dat een IP-adres verzonden wordt zodat de bezoeker op de juiste website komt. Tegelijkertijd is het verzenden van dit IP-adres naar Google-diensten absoluut verboden. De Autoriteit Persoonsgegevens geeft aan dat een volledig IP-adres in veel gevallen als een persoonsgegeven wordt beschouwd.

Er zijn echter situaties waarin een IP-adres op dusdanige manier te gebruiken is, dat deze niet herleidbaar is tot een persoon. Bijvoorbeeld als een website aan de hand van het IP-adres herkent uit welk land een bezoeker afkomstig is (en welke taalvoorkeur iemand heeft). In deze situatie is er geen schending van de wetgeving.

Hoe je per ongeluk PII verzamelt

Je kent het vast wel: je ontvangt een nieuwsbrief waar je je voor wil afmelden. Je klikt op de link in de footer en wordt naar de website gestuurd. In het formulier is je e-mailadres waarmee je je kunt afmelden al ingevuld. Dit komt omdat je e-mailadres op de volgende manier is meegestuurd in de URL:

website.com/unsubscribe?email=sample@email.com

Deze URL wordt vaak ook naar systemen als Google Analytics, Google Ads, Facebook Ads Manager of DV 360 verstuurd. Met als gevolg dat PII terechtkomt in de systemen. Daardoor riskeer je eerder genoemde boetes. Daarnaast kan Google besluiten om al je Google Analytics-data te verwijderen of je floodlights buiten werking te stellen.

En zo zijn er meer situaties waarin je onbewust of per ongeluk PII verzamelt:

  • Bezoekers willen hun wachtwoord resetten en ontvangen hiervoor een e-mail. Ze klikken op de link in de e-mail en landen op een pagina waar hun gebruikersnaam (waar veel mensen hun e-mailadres voor gebruiken) wordt meegestuurd in de URL. Zo komt dit ook terecht in Google Analytics.
  • Bezoekers vullen hun postcode en huisnummer in op een pagina om zo een winkel bij hen in de buurt te vinden. De postcode en het huisnummer worden in de URL opgenomen. Daarna wordt deze informatie verstuurd naar bijvoorbeeld Google Analytics.

De gevolgen van het lekken van PII naar Google Analytics

Als websitebezoekers ontdekken dat jij PII lekt naar Google Analytics en zij melden dit bij de Autoriteit Persoonsgegevens, dan riskeer je een boete. Deze boete heeft een hoogte van maximaal 4% van je wereldwijde jaaromzet of maximaal € 20 miljoen. Avocatoo.ro, een Roemeense website met GDPR- en DPO-templates voor bedrijven, kreeg een boete van € 3000,-. De website kampte namelijk met security-problemen. Daardoor waren, ironisch genoeg, persoonlijke gegevens van klanten en transacties publiekelijk toegankelijk. Daarnaast werd in juli 2019 de eerste boete van € 460.000 uitgedeeld in Nederland aan een ziekenhuis vanwege de schending van de AVG/GDPR.

Afgezien van de financiële impact, is de kans op imagoschade nog veel groter. Dat hebben we gezien bij het Facebook-schandaal waardoor vele gebruikers het platform hebben verlaten.

Welke stappen moet je zetten?

Hoe kom je erachter of je PII verzamelt of hebt verzameld? Hoe verwijder je deze gegevens en hoe voorkom je opslag van PII in de toekomst?

Doorloop de volgende 3 stappen:

1. Detecteren

Hierbij onderzoek je of je PII hebt verzameld. Dit doe je door te onderzoeken of er PII terecht is gekomen in alle systemen waar je een pagina-URL heenstuurt. Dit zijn bijvoorbeeld Google Analytics, DV 360 en Facebook Ads Manager. Daarnaast breng je de oorzaken in kaart waarom op een website deze PII wordt verzameld. Het is van groot belang om dit periodiek te blijven doen om zo snel mogelijk in te kunnen grijpen zodra er (weer) PII verzameld wordt.

2. Verwijderen

Als je weet dat er inderdaad PII is verzameld, verwijder het dan uit alle systemen waar het is opgeslagen. Nog belangrijker is de echte oorzaak van dit probleem wegnemen door de website zo aan te passen dat er geen PII meer in de URL verschijnt.

3. Voorkomen

In de praktijk is het onmogelijk om altijd te voorkomen dat PII wordt verzameld (en zo 100% GDPR/AVG-proof te zijn). Er zijn namelijk enorm veel vormen van PII. Ik denk dat je als bedrijf op zijn minst moet kunnen aantonen dat je preventieve (en reactieve) maatregelen hebt genomen. Daarom is het goed om te beginnen met het onderzoeken welke soorten PII er verzameld kunnen worden. Omdat er veel verschillende gegevens als PII aangemerkt worden, is het sterk bedrijfs-, branche- en contextafhankelijk welke mogelijke vormen jij mogelijk verzamelt.

Kans op verzamelen PII verkleinen

Verzamel je e-mailadressen of juist creditcardnummers? Met de juiste aanpassingen in Google Tag Manager is het mogelijk om PII te detecteren en overschrijven, vóórdat je data verstuurt naar bijvoorbeeld Google Analytics of DV 360. Zo is de kans dat er in de toekomst weer PII verzameld wordt een stuk kleiner. Voorkomen is, ook met de hoge boetes en mogelijke imagoschade in ogenschouw genomen, beter dan genezen.

Nu kun je zelf onderzoeken of je per ongeluk PII hebt verzameld en het handmatig verwijderen uit Google Analytics.