Google Analytics en de cookiewet

Als je persoonsgegevens verwerkt moet je (1) actief toestemming krijgen voor verwerking, (2) het bestand aanmelden bij het CBP en (3) indien gevraagd gegevens tonen, wijzigen of verwijderen. In de cookiewet is het verschil tussen First Party cookies en Third Party cookies essentieel. Voor eerste is geen toestemming nodig, voor de laatste wel. Ook voor Analytics cookies is geen toestemming nodig als het account juist is ingesteld.

Wet Bescherming Persoonsgegevens

Als je gegevens wilt gaan verwerken op persoonsniveau heb je vooral te maken met de regels voor verwerking van persoonsgegevens. De wet omschrijft het begrip persoonsgegevens als ‘alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon’. Dat is behoorlijk breed. Bekende en minder bekende voorbeelden van persoonsgegevens zijn:

  • naam
  • adres
  • telefoonnummer
  • (persoonlijk) e-mail adres
  • foto en video opnamen waarop personen staan

Uitzonderingen op de Wet Bescherming Persoonsgegevens

Gegevens die worden verwerkt ten behoeve van de uitvoering van een overeenkomst vallen niet onder de wet. Een hotelier die gegevens van een gast invoert naar aanleiding van een boeking, mag dat gewoon doen. Wel moet hij of zij zich beperken tot gegevens die relevant zijn voor de uitvoering van de overeenkomst. Als ook gegevens over bijvoorbeeld het inkomen van de gast worden verwerkt, is de wet weer wel van toepassing. Andere uitzonderingen zijn onder andere:

  • gegevens ten behoeve van communicatie
  • bezoekersregistratie
  • huur en verhuur
  • abonnementen

Een lijst met e-mail adressen voor je nieuwsbrief kun je daarom gewoon maken en gebruiken. Mits je wel de regels voor het versturen van spam in acht neemt. Voor de genoemde uitzonderingen geldt uiteraard wel dat deze gegevens niet verder niet verwerkt en/of samenvoegt mogen worden met andere gegevens. Bekijk de volledige lijst met vrijgestelde categorieën.

Ik verwerk persoonsgegevens, wat moet ik regelen?

Als je hebt vastgesteld dat de gegevens die jij verwerkt onder de wet op verwerking van persoonsgegevens vallen en waar geen vrijstelling voor geldt, moet je een aantal zaken regelen. De belangrijkste punten met betrekking tot het verwerken van persoonsgegevens zijn:

  • de persoon van wie gegevens worden verwerkt moet hiervoor actief toestemming geven, nadat hem of haar is verteld waar de gegevens gebruikt gaan worden.
  • je moet het bestand aanmelden bij het College voor Bescherming van Persoonsgegevens (CBP)
  • diegene van wie gegevens zijn verwerkt kan een overzicht vragen van wat er over hem of haar is vermeld, en eisen dat dit wordt aangepast of verwijderd.

Een voorbeeld van actief toestemming geven is het aanvinken van een hokje bij een pop-up met uitleg. Er zijn diverse websites met meer informatie over de regels rondom het verwerken van persoonsgegevens. Je moet je overigens afvragen of het altijd nodig alles op persoonsniveau vast te leggen. Stel jezelf de vraag welke gegevens daadwerkelijk bijdragen aan succes. Vervolgens vertaal je dat naar concrete doelstelling en acties via je online marketingfunnel. En dan kan zomaar blijken dat lang niet alle gegevens nodig zijn.

Cookiemelding: wanneer wel of wanneer niet

De ‘cookiewet’ gaat specifiek in op het gebruik techniek. Belangrijk om de onderstrepen is dat cookiewet alleen geldt voor ‘het verzamelen van gegevens over verschillende diensten’. Dit betekent dat je voor cookies die je alleen op je eigen platform gebruikt, nooit toestemming hoeft te vragen. Niet voor functionele cookies, maar niet voor cookies voor het tracken van banners of affiliates. Door de eis dat het moet gaan om ‘verschillende diensten’ vallen de zogenaamde Third Party cookies onder de wet. Dit zijn cookies die over verschillende diensten en/of platformen heen gegevens verzamelen. Voorbeelden van partijen die Third Party cookies gebruiken zijn:

  • Google Adsense
  • Facebook
  • Addthis
  • Youtube
  • LinkedIn
  • DoubleClick
  • Vimeo
  • etc.

Als je gebruik maakt van plugins of buttons van deze netwerken op je site, is het mogelijk dat ook Third Party cookies worden geplaatst. In dat geval is actieve toestemming voor plaatsing nodig. Zie meer informatie over het gebruik van cookies. De wet spreekt overigens niet specifiek over cookies. Elke techniek die informatie opslaat of toegang verkrijgt tot informatie in de apparatuur van een gebruiker valt eronder. Technieken die daardoor ook onder de cookiewet vallen zijn:

  • lokale opslag in webbrowsers
  • web-beacons
  • opslag in browsers en plugins
  • etc.

Cookiewet en de Wet Bescherming Persoonsgegevens

pop-up inschrijven nieuwsbriefIn de Cookiewet wordt verwezen naar de Wet Bescherming Persoonsgegevens. De bepalingen daarin gelden daarom ook voor cookies. Je moet dan vooraf toestemming vragen voor het gebruik van de gegevens. Soms kun je zonder toestemming een (First Party) cookie plaatsen, maar moet je wel toestemming hebben voor het gebruik van de gegevens. Dit geldt bijvoorbeeld voor tracking pixels, zowel op sites als in e-mail. Deze worden niet lokaal opgeslagen en vallen daardoor niet onder cookiewet. Ze laten echter wel zien welke content is geopend door de gebruiker. Dat valt onder de verwerking van persoonsgegevens.

Google Analytics, Cookiewet en persoonsgegevens

Tot slot een veelgestelde vraag: hoe zit het met de Analytics cookies van Google? Deze kun je zonder toestemming plaatsen, mits je Analytics-account op de juiste manier is ingesteld. Hierbij zijn drie dingen van belang:

  • accepteer het amendement gegevensverwerking in je Analytics-account
  • vink het delen van gegevens met Google uit in je accountinstellingen
  • anomiseer de verzamelde IP-adressen door een aanpassing in je Analytics-code

Zie hier de juiste instellingen voor Google Analytics om te voldoen aan de wet bescherming persoonsgegevens.

Al met al is het behoorlijk opletten met alle bepalingen. Hierboven zet ik zo precies mogelijk uiteen te wat de belangrijkste aandachtspunten zijn en hoe de regels zich met elkaar verhouden. Mocht er onverhoopt iets niet juist zijn, dan kan ik daarvoor geen aansprakelijkheid aanvaarden. Raadpleeg vooral ook de aangegeven bronnen.