Discussie rondom het gebruik Google Analytics 4 (hierna: GA4) en het delen van persoonsgegevens met de Verenigde Staten is door de komst van het EU-VS Data Privacy Framework eindelijk bedaard. Dat betekent echter niet dat alle juridische bezwaren rondom de tool de deur uit zijn. Want, moet je nu wel of niet om toestemming vragen bij websitebezoekers voor het gebruik van GA4?
Wanneer is toestemming vereist voor het gebruik van cookies?
Voordat we die vraag beantwoorden, even kort de basis: vaak wordt gesproken van drie soorten cookies: functionele cookies, analytische cookies en tracking cookies. Voor het gebruik van functionele cookies is geen toestemming van de websitebezoeker vereist.
Het gebruik van analytische cookies met geen of geringe gevolgen voor de privacybelangen van de websitebezoekers kan ook zonder daar toestemming voor te vragen. Indien daarentegen de gevolgen voor de privacybelangen van de websitebezoeker meer dan gering zijn, dient de websitebezoeker wél toestemming te geven. De Autoriteit Persoonsgegevens (hierna: AP) omschrijft op haar website een behoorlijk streng criterium voor analytische cookies met een geringe privacy inbreuk; volgens de AP hoeft voor een analytische cookie waarmee alleen websitebezoekers worden geteld geen toestemming te worden gevraagd.
Daaruit afleidende lijkt de AP alle overige mogelijkheden met analytische cookies niet onder uitzondering te willen laten vallen. Dit criterium is een stuk beperkter dan hoe de wetgever de wet uitlegt; cookies die slechts worden gebruikt om de kwaliteit of effectiviteit van een website te meten, vallen in principe onder de uitzondering, mits de informatie niet wordt gebruikt om profielen op te stellen om daar vervolgens bijvoorbeeld advertenties mee te personaliseren.
Voor tracking cookies gelden strengere regels. Deze cookies mogen alleen worden geplaatst op het apparaat van de websitebezoeker als de bezoeker daarover is geïnformeerd én toestemming heeft gegeven. Een uitgebreide uitleg over cookies vind je in deze factsheet.
GA4: de basis
Als websitebeheerders gebruikmaken van GA4, plaatsen zij de GA4 cookie als first-party cookie. First-party cookies zijn tekstbestandjes die door de website zelf op het apparaat van de websitebezoeker worden geplaatst. Websitebeheerders maken gebruik van deze GA4 tekstbestandjes om unieke websitebezoekers en sessies van één websitebezoeker te onderscheiden. Zo verzamelen zij een unieke identificatiecode van de websitebezoekers. Op deze manier kan bijvoorbeeld herleid worden of iemand vaker gebruikmaakt van de website. De gegevens worden, nadat deze zijn verzameld door de website-eigenaar, doorgestuurd naar Google en daar opgeslagen.
De cookies worden geplaatst voor het analyseren van het gebruik van de website. Deze cookies zijn dus analytische cookies. Zoals hierboven is omschreven is voor het gebruiken van analytische cookies geen toestemming vereist, mits het gebruik van deze cookies geen of geringe gevolgen voor de privacybelangen van de websitebezoekers heeft. Om te bepalen of voor het gebruik van de GA4 cookies toestemming nodig is, zijn dus de privacyrisico’s (of het gebrek hieraan) van belang.
GA4 heeft een aantal restricties doorgevoerd waardoor deze versie volgens Google privacy vriendelijker moet zijn dan zijn voorganger Universal Analytics. Eén van deze restricties is die van IP-anonimisering. IP-anonimisering werkt door een deel van het IP-adres te verwijderen. Bij Universal Analytics werd dit aangeboden als optie; gebruikers van de cookie konden er ook voor kiezen om de verzamelde IP-adressen niet te anonimiseren. Door IP-anonimisering is het niet mogelijk om websitebezoekers rechtstreeks aan de hand van de verzamelde IP-adressen te identificeren. De IP-adressen worden wel gebruikt voor het leveren van geolocatiegegevens. Nadat deze gegevens zijn verzameld worden de IP-adressen in hun geheel verwijderd door Google.
GA4 functioneert daarnaast door een unieke identificatiecode (client-ID) toe te wijzen aan websitebezoekers. Deze code helpt bij het onderscheiden van verschillende websitebezoekers en het volgen van hun interacties. Een client-ID is onder andere afhankelijk van de websitebezoeker, website die wordt bezocht en het apparaat dat wordt gebruikt. Dit betekent dat als een websitebezoeker tweemaal dezelfde website bezoekt vanaf verschillende apparaten, GA4 niet herkent dat het om dezelfde websitebezoeker gaat.
Ditzelfde geldt als een websitebeheerder verschillende domeinen bezit; als een websitebezoeker twee verschillende domeinen bezoekt van dezelfde websitebeheerder, ziet de websitebeheerder niet dat het om dezelfde websitebezoeker gaat. Het is slechts met een client-ID dus niet mogelijk om websitebezoekers te tracken over verschillende websites. Naast deze unieke identificatiecode worden aanvullende gegevens verzameld over onder andere de interactie van de websitebezoeker met de website, het geschatte tijdstip van bezoek en de gegevens over de browser van de websitebezoeker.
Aanvullende functionaliteiten
Hoewel het met alleen een client-ID niet mogelijk is om websitebezoekers te tracken over verschillende websites, heeft Google twee functionaliteiten ontwikkeld waarbij dat wél mogelijk is. Ten eerste kunnen websitebeheerders vanuit GA4 een websitebezoeker met behulp van een “user-ID” koppelen aan bijvoorbeeld de inloggegevens van de websitebezoeker van een website. Hiermee wordt het mogelijk om als websitebeheerder cross-domain tracking toe te passen, doordat GA4 op basis van het user-ID/de inloggegevens op verschillende domeinen herkent dat het om dezelfde websitebezoeker gaat.
Ten tweede is het met GA4 een optie om de verzamelde gegevens van websitebezoekers te koppelen aan Google-accounts met behulp van Google Signals. Dit kan alleen wanneer de websitebezoekers zijn ingelogd in Google Chrome en de functie voor gepersonaliseerde advertenties hebben ingeschakeld. Google Signals maakt het onder andere mogelijk voor websitebeheerders om te zien hoe websitebezoekers met verschillende apparaten interactie hebben met de website. Daarnaast verzamelt GA4 met behulp van Google Signals aanvullende demografische gegevens en gegevens over de interesses van gebruikers, die zijn ingelogd op hun Google-accounts en advertentiepersonalisatie hebben aangezet.
Wel of geen toestemming?
Het antwoord op die vraag is voor het gebruik van de twee aanvullende functionaliteiten (user-ID en Google Signals) simpel: ja, dat is verplicht. Wat betreft user-ID geeft Google dit zelf ook al aan. Voor Google Signals, wat betreft tracking in feite een stapje verder gaat dan het gebruik van een user-ID, kan niets anders worden geoordeeld. Door de gegevens die GA4 verzamelt te koppelen aan een Google-account wordt een uitgebreid profiel van iemand opgebouwd op basis van gebruikersdata van meerdere websites. De privacy gevolgen voor de websitebezoeker zijn daarmee niet meer “gering”, wat betekent dat om toestemming vragen verplicht is.
Over het antwoord op de vraag of voor de meeste simpele uitvoering van GA4 (dus zonder gebruik te maken van user-ID en Google Signals) geen toestemming gevraagd hoeft te worden, zijn de meningen verdeeld. Als het criterium van de AP wordt gevolgd, dan moet tot de conclusie worden gekomen dat óók voor de uitgeklede versie van GA4 toestemming moet worden gevraagd. Door bijvoorbeeld een client-ID te koppelen aan websitebezoekers, telt de tool namelijk meer dan alleen het aantal websitebezoekers.
Zoals hiervoor aangegeven lijkt dit echter niet wat de wetgever heeft gepoogd te bereiken met de uitzondering in de wet: het mogelijk maken van nuttige analyses zonder daarvoor direct toestemming te moeten vragen. Mits Google (of de websitebeheerder) de verzamelde gegevens niet gebruikt om interesseprofielen op te bouwen, is het wat ons betreft niet noodzakelijk om voor de basale functies van GA4 toestemming te vragen; doordat websitebezoekers niet over verschillende apparaten en websites kunnen worden getrackt, blijven de privacy gevolgen bij het gebruik van GA4 beperkt. Blijf wel alert op mogelijke ontwikkelingen, mocht je kiezen voor het achterwege laten van de toestemmingsvraag.
