Blogs

Google Analytics en de cookiewet

Door: ICTRecht

Onderstaande blog is geschreven door ICTRecht. De statistieken die BIT beschikbaar stelt op de shared hosting omgevingen vallen niet onder de cookiewet. Het blog van ICTRecht legt heel goed uit waar rekening mee gehouden moet worden als Google Analytics gebruikt wordt op een shared hosting omgeving, of daarbuiten.


Op 11 maart 2015 is het wetsvoorstel om de cookiewet te versoepelen in werking getreden. Deze wetswijziging zal ook enige veranderingen met zich meebrengen die ook voor jullie van belang zijn. Daarom brengen wij jullie via dit bericht graag op de hoogte over de gevolgen van de versoepelde cookiewet.

Er is veel ophef geweest over de huidige cookiewet. Onder de huidige wet is de hoofdregel dat toestemming van de bezoeker nodig is om cookies te mogen plaatsen. Slechts functionele cookies, cookies die technisch noodzakelijk zijn om een website te laten functioneren, mogen geplaatst worden zonder toestemming van de bezoeker.

Om deze reden is er gekozen voor een wettelijk compromis: men mag nu zonder toestemming cookies plaatsen mits de cookies de privacy van de bezoeker niet, of slechts een klein beetje, schenden én je dat doet voor het doel “informatie verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij”. Dit kunnen analytic cookies, A/B testing cookies en affiliate cookies zijn, mits deze cookies dus enkel worden ingezet om de kwaliteit en effectiviteit van een dienst te meten.

Na het nemen van maatregelen mogen zelfs cookies afkomstig van Google Analytics zonder toestemming van de bezoeker geplaatst worden. Dit blijkt uit een recent gepubliceerde handreiking van het College Bescherming Persoonsgegevens over hoe je je aan de privacywet kunt houden en toch Google Analytics kunt inzetten. Dit kan door de volgende vier stappen te nemen:

  1. Accepteer het “Amendement gegevensverwerking” in je Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);
  2. Blokkeer het meezenden van volledige IP-adressen (ga('set', 'anonymizeIp', true);) en forceer tevens SSL (ga('set', 'forceSSL', true););
  3. Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);
  4. Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics.

Na het nemen van bovenstaande vier stappen blijkt het oké om wat betreft Google Analytics te spreken van een “geringe inbreuk op de privacy”, zodat een cookiebanner of pop-up weggelaten kan worden als daarmee wordt gewerkt.

Als bovenstaande stappen worden toegepast bij andere derde partijen die analytische-, A/B testing- of affiliate cookies plaatsen, dan kan beargumenteerd worden dat ook voor deze cookies geen toestemming meer gevraagd hoeft te worden. De informatieplicht blijft desondanks wel bestaan, omdat dit op grond van de Wet bescherming persoonsgegevens erplicht is. Er zal dus nog steeds in een privacy- en of cookieverklaring uitgelegd moeten worden welke cookies geplaatst worden en waarvoor.

Let op: op het moment dat een cookie gebruikt wordt voor tracking doeleinden en om bijvoorbeeld een profiel van de internetgebruiker op te stellen, dan blijft de cookiewet van kracht. Dit valt namelijk buiten het doel “informatie over kwaliteit of effectiviteit”. Bovendien is dat écht meer dan geringe inbreuk op de privacy. Hetzelfde geldt voor andere analytics-achtige tools waarbij je wél IP-adres gebonden informatie logt en analyseert.

Het is met de wijziging van de cookiewet aan de bedrijven zelf om te bepalen of er bij de geplaatste cookies gesproken kan worden van ”geen of een geringe inbreuk op de privacy” van haar bezoekers. Controleer daarom de huidige afspraken die er met derde partijen zijn gemaakt voordat er geen toestemming meer voor de cookies wordt gevraagd, en de doeleinden waarvoor de cookies worden gebruikt.

Vragen over bovenstaande of hulp nodig bij het checken van cookies en/of gesloten overeenkomsten? Neem dan met ons op. 

Deel deze pagina op

De laatste 25 blog-artikelen: