Google Analytics 4. Een strohalm voor privacy compliance, of toch eerder drijfzand?

30 mei 2023 | GDPR, Privacy

Gegevens verzamelen van websites en apps om rapporten te maken die inzicht bieden in je onderneming. Dat is wat analytics software doet. En waar Google afgetekend marktleider is.

En voor wie even in een andere wereld vertoefde: Google Analytics 4 (GA4) is de nieuwste versie. Al enige tijd geleden heeft Google die op ons los gelaten als opvolger van Universal Analytics. Belangrijk is echter ook dat vanaf 1 juli 2023 Universal Analytics-property’s geen gegevens meer verwerken!  Nieuwe gegevens worden voortaan alleen nog maar doorgestuurd naar Google Analytics 4-property’s.

Waarom dwingt Google ons te veranderen?

Nieuwe versies van software tools zijn dagelijkse kost. Wat is er dan zo bijzonder aan Google Analytics 4? Google haalt een aantal redenen aan om de overgang te duiden:

  • User-centric approach
  • Cross-platform tracking
  • Machine learning
  • Future-proofing
  • Privacy & data governance.

Het is natuurlijk deze laatste overweging die onze interesse meteen opwekt.

Google is immers niet meteen de beste leerling van de privacy-klas, en na Schrems II lijkt de techgigant wel in de hoek te zitten waar de klappen vallen. De ontwikkeling van GA4 is natuurlijk al lang voor er sprake was van Scherms II van start gegaan, maar krijgt nu toch het aureool van dé oplossing te zijn die al die problemen van tafel veegt.

Maar is dat ook zo?

Features om GDPR na te leven

Hoewel GA4 functies bevat om GDPR-naleving te ondersteunen, blijft het cruciaal om je implementatie op de juiste manier te herzien en te configureren. Hou daarbij rekening met jouw specifieke verplichtingen en vereisten onder GDPR. Hieronder zullen we enkele functies bespreken en koppelen aan de GDPR.

Opslagbeperking

GA4 heeft een veel kortere opslagduur van de gegevens dan Universal Analytics. In de vorige versie kon je ervoor kiezen om de gegevens tot 64 maanden op te slaan. GA4 geeft je nog slechts twee mogelijkheden voor het opslaan van persoonsgegevens: 2 maanden of 14 maanden, afhankelijk van je analytische activiteiten.

Dit is in elk geval een betekenisvolle ingreep die gebruikers kan helpen om aan het opslagbeperkingsprincipe van de GDPR te voldoen. Er is wilswaar een uitzondering voorzien door GA4 als je de gegevens langer wilt opslaan, maar dit moet dan wel met behulp van een datawarehouse.

IP adres

Universal Analytics verzamelde standaard de IP-adressen. Er bestond weliswaar een IP-anonimiseringsfunctie, maar de gebruiker moest dit handmatig activeren. Daarnaast was er de discussie of dit wel écht anonimisering was. Herinner je: als gegevens geanonimiseerd zijn, dan zijn het geen persoonsgegevens meer en is de GDPR niet van toepassing. Vaak gaat het echter om pseudonimisering, en kunnen de gegevens nog steeds herleid worden tot een individu. De GDPR blijft dan onverminderd van toepassing.

In GA4 is IP-anonimiseren inmiddels standaard ingeschakeld en kan je dit niet uitschakelen (say hello to privacy by default!). IP-anonimisering werkt door het laatste octet van het IP-adres te verwijderen. Hierdoor is het onmogelijk een individuele gebruiker rechtstreeks met enkel het verzamelde IP-adres te identificeren. Het afgekorte IP-adres wordt nog steeds gebruikt voor geolocatiedoeleinden, waardoor inzicht wordt verkregen in de locatie bij benadering van websitebezoekers.

De vraag die echter moet gesteld worden: maakt dit het alsnog onmogelijk om een persoon te identificeren? M.a.w. spreken we dan niet langer over een persoonsgegeven?

Het feit dat een persoon niet rechtstreeks kan worden geïdentificeerd, sluit de situatie niet uit dat de persoon in kwestie indirect kan worden geïdentificeerd door data uit verschillende bronnen samen te voegen. Omdat Google een zeer grote aantal databanken en gegevens heeft van verschillende diensten in haar ecosysteem, kunnen we veronderstellen dat er eigenlijk sprake is van pseudonimisering. Verschillende toezichthoudende autoriteiten zoals de Franse CNILL hebben dit vaak genoeg aangekaart. Ook de Oostenrijkse toezichthouder heeft de techniek van het maskeren van IP adressen onder de loep genomen en de conclusie gemaakt dat het hier om pseudonimisering gaat, weliswaar ten aanzien van Universal Analytics. We zien echter geen enkel element om aan te voeren dat de analyse voor GA4 anders zou zijn.

Cookies en consentmanagement

Bij de implementatie zal GA4, net zoals Universal Analytics, doorgaans niet kwalificeren als een strik noodzakelijke cookie.

Je organisatie moet dus, via een cookiebanner of andere consentmanagement tool, een voorafgaande toestemming vragen voor het plaatsen van de GA4 tag.

Daarnaast heeft GA4 een Google Consent Mode. Dit is een privacy-functie waarmee het gedrag van Google-tags op je website kan worden aangepast op basis van de toestemmingsvoorkeuren van de gebruiker. Met een nieuwe GA4-toestemmingsimplementatie kan je GA4 opdragen het gedrag van gebruikers te volgen op basis van de toestemmingsvoorkeuren van gebruikers.

Hou er echter rekening mee dat wanneer je GA4-gegevens deelt met Google Ads of Google Signals, je ook jouw privacyverklaring moet bijwerken en deze informatie erin moet opnemen!

Doorgifte van de gegevens

Sinds het Schrems II arrest waarbij het Privacy Shield ongeldig werd verklaard, blijft Google in gebreke om de doorgifte van persoonsgegevens tussen de EU en de VS correct te onderbouwen.

GA4 heeft immers geen mechanisme om gegevensopslag binnen de EU te garanderen of zelfs maar een aangewezen regionale opslaglocatie te selecteren. Google informeert gebruikers bovendien ook niet over gegevensopslaglocaties of gegevensoverdrachten buiten de EU. Dit zijn allemaal rechtstreekse inbreuken op de GDPR.

De Standard Contractual Clauses die met Google betreffende een doorgifte van gegevens worden aangegaan, lossen het probleem niet volledig op. Er bestaat immers nog steeds onduidelijkheid over de aanvullende maatregelen die Google neemt en of deze voldoende zijn om de overdracht van de persoonsgegevens naar de VS te legaliseren.

Momenteel beschermt het bedrijf de gegevens van EU-burgers en inwoners dan ook onvoldoende tegen Amerikaanse surveillancewetten.

Conclusie: Google Analytics 4 haalt de GDPR lat niet …

GA4 biedt dus wel privacy-vriendelijke functies aan vergeleken met zijn voorganger Universal Analytics. Echter, de problemen rond data transfer blijven onveranderd, zodat de verplichte overstap naar GA4 niet meteen voor GDPR compliance gaat zorgen. Het ziet er bovendien niet naar uit dat er meteen een duurzame oplossing gaat gevonden worden met de Europese toezichthouders over gegevensoverdracht tussen de EU en de VS.

Daarnaast zijn er ook nog andere functies in GA4, zoals het delen van gegevens tussen andere Google-producten, die niet GDPR conform zijn.

Organisaties die zich in regel willen stellen met de GDPR, én een boodschap willen uitdragen die goodwill opwekt bij hun klanten (die immers ook niet blind blijven voor de stormen die de Amerikaanse bigtech teisteren), raden we aan om alternatieven te bekijken. Deze aanbieders (vaak van Europese origine, zoals Matomo en PiWik) bieden zeer gelijkaardige functionaliteiten, waarbij het wél mogelijk is om met data business intelligence op te bouwen, én tegelijk de juiste bescherming te bieden aan de persoonsgegevens van de bezoekers en gebruikers.

En nu de gebruikers van Universal Analytics toch gedwongen worden om nieuwe wegen in te slaan, is het misschien wel tijd om het gesprek aan te gaan met je digital marketeer. Zoals steeds kan je ook terecht bij hallo@dejuristen.be voor al je vragen over de juiste aanpak!

Geschreven door Duygu Öztürk, CIPP/E en Privacy Chair deJuristen, en Kris Seyen, Partner deJuristen

Onze diensten

Information Technology

Intellectuele Eigendom

Privacy

e-Compliance