Zijn er alternatieven voor Google Analytics?
Het gebruik van Google Analytics (hierna: GA) wordt al een aantal jaar in steeds meer Europese landen aan banden gelegd door de nationale gegevensbeschermingsautoriteiten.
Oostenrijk, Frankrijk en meest recentelijk Italië hebben voor heel wat ophef gezorgd. Het is nog niet zeker of Google Analytics ook in België zal worden verboden, al is de kans zeer groot dat dit wel zal gebeuren.
Op 1 juli 2023 zal Google zelf de stekker trekken uit Universal Analytics en neemt Analytics 4 definitief de fakkel over. Analytics 4 is een poging van Google om toch GDPR-compliant te zijn. Het is echter de vraag of Analytics 4 dit ook effectief zal zijn.
Maar waarom wordt GA verboden?
In deel 1 van deze blog zullen de problematiek rond GA en de GDPR bespreken. In deel 2 van de blog zullen we laten zien hoe u zich kunt voorbereiden op een mogelijk verbod van GA in België. We zochten voor u uit welke betaalbare en GDPR-compliant analytics diensten goede alternatieven zijn voor GA.
Wat is het probleem met Google Analytics?
We zien al maandenlang artikelen verschijnen die stellen dat GA ingaat tegen de bepalingen van de GDPR, maar waarom is dit het geval?
Het is belangrijk om op te merken dat wanneer men GA gebruikt, persoonsgegevens naar de Verenigde Staten worden verstuurd. De gegevens die worden verstuurd, zijn onder andere: IP-adressen, browsergegevens en gegevens voor gebruikersidentificatie.
Tot enkele jaren geleden was er een Amerikaans-Europees verdrag voorhanden, het zogenaamde “Privacy Shield”, wat de datatransfer van gegevens naar de VS regelde.
Dit verdrag werd ongeldig verklaard in het befaamde SchremsII arrest van 16 juli 2020. Om het wegvallen van het Privacy Shield op te vangen, is Google beginnen werken met Standard Contractual Clauses (SCC’s). Dit zijn clausules die op vrijwillige basis kunnen worden gebruikt om de naleving van gegevensbeschermingsvereisten aan te tonen.
Privacycommissie (“Datenschutzbehörde” of “DSB”)
De Oostenrijkse privacycommissie (“Datenschutzbehörde” of “DSB”) is de eerste nationale gegevensbeschermingsautoriteit die zich heeft uitgesproken tegen de werkwijze van Google Analytics. Deze uitspraak is er gekomen na de 101 klachten van de organisatie Noyb (NOT Your Business) van de Oostenrijker Max Schrems, tegen de website www.netdoktor.at
DBS: Google’s SCC’s onvoldoende voor GDPR-naleving
Dit omwille van de volgende redenen:
- Aangezien Google een ‘provider of electronic communication services’ is, valt het bedrijf onder de Amerikaanse wetgeving 50 US Code § 1881 (b) (4). Op grond van deze regelgeving kan de Amerikaanse inlichtingendienst Google verplichten om hen toegang tot de data van Google te verschaffen.
- De maatregelen die zijn genomen in aanvulling op de SCC’s zijn niet voldoende om persoonsgegevens te beschermen daar er geen enkele mogelijkheid voorzien wordt om monitoring van en toegang tot persoonsgegevens door de Amerikaanse inlichtingendiensten uit te sluiten
Daarnaast stelde de DBS ook vast dat GA door een technische fout het IP-adres van bezoekers niet anonimiseerde.
Zelfs zonder deze technische fout was de DBS van mening dat GA de persoonsgegevens niet voldoende beschermde. De DBS benadrukte dat bij de privacy maatregelen die Google treft, zoals het anonimiseren van het IP-adres, nog steeds sprake is van de verwerking van persoonsgegevens.
Er bestaat namelijk nog altijd de mogelijkheid dat de overblijvende gegevens gecombineerd worden met een uniek profiel. Door deze combinatie kan men de gegevens gemakkelijk herleiden tot een natuurlijk identificeerbaar persoon.
Dit is zeker het geval als men bekijkt over welke zee aan gegevens Google beschikt als de gebruiker tijdens het surfen op het internet is ingelogd met een Google-account.
Kort samengevat kunnen we de volgende problemen vastellen met GA:
- De gegevens die door Google verwerkt worden, dienen beschouwd te worden als persoonsgegevens, zelfs wanneer er sprake is van privacy maatregelen zoals IP-anonimisering.
- De verwerking van deze data in de VS, als gevolg de Amerikaanse wetgeving, is zonder twijfel in strijd met de GDPR, omdat de inlichtingendiensten van de VS, toegang tot deze data kunnen verkrijgen zonder dat zij daarvoor de voorafgaande toestemming van de gebruiker nodig hebben
Deze uitspraak komt er dus op neer dat het gebruik van GA in Europa illegaal zou moeten zijn daar het ingaat tegen de GDPR-bepalingen.
Gaat analytics 4 de problemen van Google oplossen?
Universal Analytics werd uitgebracht in 2012 en is inmiddels praktisch de standaard webanalysetool van het internet. De meeste websites gebruiken dan ook GA.
Op 1 juli 2023 komt daar verandering in: Google heeft aangekondigd Universal Analytics uit te faseren. Bedrijven die Google Analytics nog willen gebruiken, zullen dus binnenkort moeten overstappen op Google Analytics 4. (Hierna: GA4)
De nieuwe versie van de tool van Google werd ontwikkeld in 2020 en verschilt op opmerkelijke punten van Universal Analytics.
Waar draait GA4 (alternatief voor GA) om?
GA 4 draait om first party cookies die door Google zelf worden geplaatst. Het maakt ook gebruik van een op gebeurtenissen gebaseerd model: het volgt specifieke gebruikersacties, zoals klikken op een link of het bekijken van een pagina, en koppelt deze aan een enkele gebruiker.
Universal Analytics draait in plaats daarvan om cookies van derden en maakt gebruik van een sessie gebaseerd model dat gebruikersactiviteit bijhoudt tijdens een enkel bezoek aan een website.
Google beweert: Google Analytics 4 (alternatief voor GA) wordt privacyvriendelijker dan voorganger!
Google hoopt dan ook dat de nieuwe tool de juridische problemen van Google betreffende gegevensoverdracht zal oplossen.
Dit is helaas niet het geval. Google probeerde GA4 te adverteren als een stap in de richting van een cookieloos en privacy vriendelijk webanalysemodel. Dit is een leugen, hun nieuwe analysetool is allesbehalve cookieloos.
GA4 ziet af van cookies van derden en maakt gebruik van first-party cookies genaamd Client ID. Net als de cookies van derden die worden gebruikt door Universal Analytics, bevatten de cookies van GA 4 een unieke identificatie die Client-ID wordt genoemd.
Om deze reden zijn het persoonsgegevens onder de GDPR. GA 4 geeft dus nog steeds persoonsgegevens door aan de VS.
User-ID ook gebruikt door GA4 ? (alternatief voor GA)
GA4 gebruikt ook een identifier genaamd User-ID. Gebruikers-ID’s zijn geen cookies, maar een andere tool die GA gebruikt om gebruikers op verschillende apparaten te volgen. Het zijn persoonsgegevens omdat ze het mogelijk maken om individuele gebruikers te onderscheiden onder het websiteverkeer.
Hetzelfde geldt voor de unieke ID, een andere parameter die door GA wordt verwerkt om een User ID te genereren.
Het overdragen van persoonlijke gegevens naar de VS is ook een probleem. Google Analytics 4 lost dit niet op. De Google Analytics 4-opstelling draagt namelijk nog steeds persoonsgegevens over naar de VS.
Conclusie
Google slaagt er niet in om met GA4 een GDPR-vriendelijke oplossing te bieden. Het is dan ook aan te raden om een alternatief voor GA te voorzien voor uw onderneming. In deel 2 van deze Blog zullen we enkele betaalbare en GDPR-vriendelijke alternatieven voor GA bespreken
