Partnercontent

Het einde van Google Analytics? Stel bescherming van privacy centraal

0

We kunnen wel zeggen dat de Nederlandse (en Europese) online advertentie- en marketingwereld momenteel in een staat van paniek verkeert.

Het begon met de Oostenrijkse privacywaakhond DSB die medio januari tot de conclusie kwam dat Google Analytics in strijd is met de GDPR/AVG. Dit betekent dat Google Analytics niet langer gebruikt mag worden door organisaties die gegevens verwerken van EU-burgers. Kort daarop heeft de Belgische Gegevensbeschermingsautoriteit geconcludeerd dat het veelgebruikte Transparency & Consent Framework (TCF) van IAB Europe voor het vragen van cookie-toestemmingen in strijd is met de AVG. IAB Europe moet een boete van €250.000 betalen en er moet binnen twee maanden een plan komen om het systeem rond TCF in lijn te brengen met de AVG (zie ook). Alle data die bedrijven de afgelopen jaren via het TCF hebben verzameld, moeten worden vernietigd.

Op 7 februari 2022 volgde de genadeklap: de Autoriteit Persoonsgegevens (AP) adviseerde Nederlandse websites direct te stoppen met het gebruik van het advertentiesysteem van IAB Europe, omdat dit systeem persoonsgegevens gebruikt voor het veilen van advertenties en daarmee niet zou voldoen aan de GDPR-wetgeving. De AP adviseert uitgevers om direct een alternatief te zoeken voor het plaatsen van advertenties op basis van bezoekersgegevens. De Franse privacy- en data-autoriteit CNIL heeft al geoordeeld dat Google Analytics in strijd is met de AVG en ook de Noorse privacytoezichthouder Datatilsynet adviseert organisaties inmiddels om te stoppen met Google Analytics en alternatieven te zoeken.

Daarmee lijkt nu toch een einde te komen aan het Google Analytics en cookie-tijdperk waar de online advertentie- en marketingbranche de afgelopen 20 jaar groot mee is geworden. Toch is dit eigenlijk niet echt een verrassing. De afgelopen jaren zijn er klachten ingediend tegen ruim 100 Europese bedrijven die gegevens over bezoekers doorsturen naar Google Analytics en Facebook Connect, zo ontdekte de NOYB, de organisatie van privacy activist Max Schrems. Daaronder ook enkele bedrijven die in Nederland actief zijn. Het was dan ook slechts een kwestie van tijd voordat hier vanuit de EU stappen tegen ondernomen zouden worden. Er zijn namelijk een aantal fundamentele bezwaren aan het gebruik van Google Analytics.

Piwik Po - Google Analytics wel of niet gebruiken

Onopgeloste kwesties met Google Analytics

Hoewel Google de afgelopen jaren wel enkele aanpassingen heeft doorgevoerd in een poging om AVG-compliant te zijn, blijft er een aantal onopgeloste kwesties. Kwesties die zo fundamenteel zijn voor het platform, dat deze waarschijnlijk nooit aangepast zullen worden. Zo registreert Google Analytics iedere gebruiker met een online identificatie (bijvoorbeeld een cookie). Hiermee biedt Google Analytics websitebeheerders onder andere inzicht in hoeveel mensen een website bezoeken en hoeveel van hen terugkeren. Deze online identifiers worden volgens de AVG echter als persoonsgegevens beschouwd. Die persoonsgegevens kunnen weliswaar versleuteld (‘gehasht’) worden, maar volgens de AVG worden deze gehashte gegevens nog altijd als persoonsgegevens beschouwd en is er geldige toestemming van de bezoeker nodig om ze te verzamelen en te verwerken. Dat is een probleem, want 30-70% van de bezoekers geeft geen toestemming voor het bijhouden van hun persoonsgegevens.

Een bezwaar dat nu nog zwaarder weegt is dat de gegevens die via Google Analytics verzameld worden in principe altijd toegankelijk zijn voor de Amerikaanse autoriteiten. Google Analytics is namelijk geen gelokaliseerde service, wat betekent dat het bijvoorbeeld niet gehost kan worden op een Google Cloud Platform (GCP) dat in een EU-datacenter draait. Als dat wel zou kunnen, was het in theorie mogelijk om die gegevens extra te beveiligen, bijvoorbeeld door middel van encryptie. Maar mochten de Amerikaanse autoriteiten daarom vragen, is Google volgens de Amerikaanse CLOUD Act uit 2018 alsnog verplicht om zowel de gegevens als eventuele encryptiesleutels af te staan. Terug bij af dus.Piwik PRO - Geen privacy Google Analytics

Het verdienmodel van Google

Het centrale probleem van het gebruik van Google Analytics is echter het verdienmodel van Google. Dat is gebaseerd op het verzamelen en verder gebruiken van gegevens over websitebezoekers, bijvoorbeeld om de eigen (betaalde) diensten van Google te verbeteren. Via Google Analytics verzamelde gegevens worden gedeeld met gebruikers van andere Google-producten, zoals Google Ads, YouTube en Google AdSense.

Met die gegevens is het voor Google vervolgens mogelijk om gebruikersprofielen aan te maken en daarbij gegevens uit verschillende bronnen te combineren. Die privacygevoelige profielen die daarmee worden opgebouwd, worden beschikbaar gesteld aan derden. Google stelt in een reactie op het nieuws over de GDPR/AVG weliswaar dat “Google Analytics niet gebruikt kan worden om mensen over het web of in apps te volgen” en dat het “geen gebruikersprofielen creëert”, maar daarbij draaien ze om de zaken heen. Die gebruikersprofielen worden inderdaad niet in Google Analytics zelf gecreëerd, maar door Google. Daarvoor kan wel degelijk data van Google Analytics gebruikt worden.

Piwik PRO - verdienmodel Google analytics

Kunnen we Google Analytics nog blijven gebruiken?

De vraag is natuurlijk of het – gezien de recente ontwikkelingen – misschien tóch nog mogelijk is om Google Analytics te blijven gebruiken. Dat lijkt mij onwaarschijnlijk. Hoewel Google wellicht met verdere aanpassingen zal komen in een poging de bezwaren van Europese privacytoezichthouders weg te nemen, is het vrijwel onmogelijk om een aantal fundamentele zaken – zoals hierboven beschreven – te veranderen en daarbij ook het business model van Google in stand te houden. Het lijkt er dus op dat Nederlandse organisaties op zoek moeten gaan naar alternatieven, zoals de AP al adviseert.

Dit is wat Lisette Meij, directeur van Privacy Verified, een initiatief van ICTRecht, daarover zegt: “De regels die voor Google Analytics gelden, gelden uiteraard voor alle leveranciers van analytics platforms met eenzelfde werkwijze. De conclusie van de verschillende toezichthouders dat het gebruik van Google Analytics niet in lijn is met de AVG, dient daarom breder getrokken te worden. Zorg ervoor dat je als organisatie goed geïnformeerd bent over de werkwijze van een analytics platform, vóórdat je het in gebruik neemt. Het is namelijk de gebruiker (dus de website) die zelf verantwoordelijk is voor de verschillende tools die op de website worden gebruikt”.

Veruit de beste optie is om over te stappen op een EU-gebaseerd analytics platform dat gebruikersgegevens beschermt en veilige hosting biedt, idealiter in een datacenter binnen de EU. Dit biedt de beste garantie dat gegevens verzameld, opgeslagen en verwerkt worden volgens de richtlijnen van de AVG. Gelukkig zijn er verschillende alternatieven, zowel betaald als gratis, die voldoen aan deze voorwaarden.

Voor organisaties die geavanceerdere analytics nodig hebben, zoals funnels, user flows en attribution modelling, is Piwik PRO Analytics Suite een uitstekende oplossing. Dit analytics platform is van meet af aan ontwikkeld met het oog op privacy, terwijl het de marketingafdeling toch kan voorzien van waardevolle analyses en inzichten voor effectieve campagnes. Er is ook een gratis variant: Piwik PRO Core, waarmee tot 500.000 acties per maand bijgehouden kunnen worden dat tevens analytics, een tag manager en een AVG-compliant consent manager biedt.

Maak van privacy een concurrentievoordeel

De ontwikkelingen van de laatste weken maken één ding heel duidelijk. Organisaties moeten anders gaan nadenken over het bijhouden van bezoekersgegevens en aanbieden van relevante advertenties. De methoden die de afgelopen twee decennia zijn ontwikkeld en vrijwel overal worden ingezet, hebben weliswaar voor veel omzet gezorgd (vooral bij de online advertentie- en marketingbedrijven), maar dit model is niet langer houdbaar.

Privacybescherming moet centraal staan bij nieuwe methoden en oplossingen. Niet alleen omdat toezichthouders en andere instanties daar nu echt op gaan handhaven, maar ook omdat de klanten en bezoekers dat inmiddels eisen. Organisaties die daar op een goede manier mee om weten te gaan en dat duidelijk maken aan hun doelgroepen, hebben daarmee een echt concurrentievoordeel in huis en creëren daarmee nieuwe kansen voor groei.