gdpr

GDPR, GA en GTM: 4 concrete tips

Nog een paar maandjes en de transitieperiode van GDPR is voorbij. Je hebt dan officieel 2 jaar de tijd gekregen om je zaken op orde te hebben. Geen smoesjes meer, geen uitwegen. Voldoe aan de regels of neem het risico op (flinke) boetes. Daarom nog even op een rij wat je in ieder geval in Google Analytics en Google Tag Manager kunt doen om je netjes aan de regels te houden.

Het moet toch nog even: GDPR?

Hé?  General Data Protection Regulation
Wanneer? vanaf 25 mei 2018
Uuuuhhhh? Oké, de GDPR heel beknopt in 5 punten:

  1. Meer rechten voor individuen
    Recht op inzage data en recht om vergeten te worden.
  2. Beveiliging en melding datalekken
    Je bent (en was al) verplicht datalekken te melden bij de autoriteiten. En je bent verplicht voldoende maatregelen te nemen zodat data veilig is.
  3. Organisatorische en administratieve verplichtingen
    De papieren op orde (onder meer dataverwerkingsovereenkomsten), de organisatie op orde (Data Protection Officer voor dataverwerkers).
  4. Nieuwe regels profiling en monitoring
    (Geautomatiseerd) profileren mag met toestemming, maar de geprofileerde moet aan het profileringsproces kunnen ‘ontkomen’ en heeft het recht te weten op basis waarvan keuzes zijn gemaakt die opties beïnvloeden.
  5. Hogere boetes
    Boetes kunnen oplopen tot 20 miljoen euro of hoger of 4% van de jaarlijkse omzet van een organisatie.

Concreet: wat kun en moet je doen

Ik beperk me tot de technische optimalisaties in GA en GTM. Dat je een heldere privacy policy moet hebben spreekt voor zich, net als het regelen van toestemming voor het activeren van third party pixels zoals Facebook, Doubleclick, Twitter, Youtube, etc.

1.Zorg dat je de tags alleen met de juiste toestemming afvuurt.

trigger_cookieOm de keuze van een bezoeker voor het wel of niet tracken op te slaan wordt een cookie opgeslagen. Die waarde kun je uitlezen en gebruiken voor je triggers. Simpel en effectief. Je kunt met blokkeringsregels werken of specifieke activeringsregels instellen.
trigger_cookie2

Wil je het helemaal netjes doen, lees dan de Do Not Track functie van de browser uit. Met een Custom Javascript variabele lees je uit of iemand Do Not Track (DNT) geactiveerd heeft in de browser. In dat geval raad ik aan alleen de meest essentiële tags triggeren.
var_dnt

2. Strip parameters van de URL’s

Parameters kunnen persoonlijke informatie bevatten. Als je dit ergens ziet, ga dan direct naar de developers van de site. Het is namelijk in potentie een flinke data breach. Elk extern scriptje op de site kan de URL namelijk uitlezen. Ik verwijder daarom standaard alle parameters van URL’s in Google Analytics. Staat er relevante informatie in, zorg dan dat je die informatie in aangepaste dimensies zet. Er zijn 3 opties om te voorkomen dat parameters in Google Analytics komen:

  1. View settings
    exclude_param_viewDe meest simpele en bekende optie. Voeg parameters toe bij Exclude URL Query parameters. Helaas pak je hier niet automatisch alle parameters mee.
  2. View filters
    exclude_param_filterMet een Search & Replace filter verwijder je eenvoudig alle parameters. Let dus op dat je waardevolle informatie van bepaalde parameters in een aangepaste dimensie zet.
  3. GTM Field Value
    Voeg in de GA tag in GTM bij Fields to Set Page toe met als waarde Page Path. Nu worden parameters niet meer naar Google Analytics gestuurd. UTM-tagging komt overigens nog steeds gewoon binnen als je dit instelt.
    exclude_param_gtm

3. Activeer remarketingopties in GA alleen na expliciete toestemming

Het opbouwen van remarketinglijsten voor Adwords en Doubleclick in Google Analytics is superhandig. Maarrr, je mag die remarketingopties pas aan zetten na expliciete toestemming. Dus hoe doe je dat zonder ingewikkelde triggers en dubbele tags in GTM? Met de DisplayFeaturesTask en de waarde null of true. Staat de waarde op null dan worden remarketingopties niet geactiveerd, bij true wel. En die waardes kun je natuurlijk weer afhankelijk maken van de waarde van cookie consent cookies.
displayFeaturesTask

4. Houd je gebruikerslijst in Google Analytics up to date

Check regelmatig wie er allemaal toegang hebben tot Google Analytics. En maak het jezelf makkelijk door bijvoorbeeld alleen persoonlijke accounts gekoppeld aan daadwerkelijke organisaties toe te laten. Geen jantje63@gmail.com of een info@destatistiekfabriek.nl bijvoorbeeld. Oh, en in dat kader nog een tip:

Maak een Google Analytics Organisation aan
Sinds een tijdje is die mogelijkheid er voor de gratis versie van Google Analytics. En het biedt wat extra mogelijkheden zoals het toewijzen van een Organisation Admin, instellen van beleidsregels en inzien wanneer iemand voor het laatst is ingelogd.

useradmin

Tot slot nog wat kleine punten:

Anonymize IP aanzetten: Natuurlijk moet je de IP-adressen anonimiseren  zodat Google niet alle IP-adressen verzamelt van jouw site-bezoekers. Gelukkig is dat simpel te doen met de anonymizeIp-optie in GTM.
Up to date bewerkingsovereenkomst met Google Analytics: Bij settings op account level kun je deze accepteren.
Dubbelcheck op alle dimensies en events: Check nog eens goed of de informatie inderdaad geanonimiseerd is. Geen huisnummers, postcodes, telefoonnummers, kentekens, geboortedata of een combinatie daarvan? Mooi 🙂

En just in case..

Bepaal jij mede wat er verzameld wordt? Twijfel je of iets onder profileren of PII (persoonlijk identificeerbare informatie) valt? Dubbelcheck bij je legal afdeling of zorg dat de organisatie in ieder geval een intern of extern juridisch onderlegd persoon heeft waar je terecht kunt.

Reacties (12)

  1. In de plaats van de Do Not Track instellingen (DNT) van de browser te gebruiken is het interessanter, vanuit een marketing standpunt, om zelf bepaalde toestemmingen te vragen aan je bezoekers. Iemand die met jouw merk bekend is zal immers sneller geneigd zijn akkoord te gaan dat je zijn ervaring personaliseert dan dat hij in zijn browser aangeeft dat er trackers geplaatst mogen worden (op alle sites die hij bezoekt). Kortom: zelf achter de juiste consent aangaan loont.

    Op basis van een dergelijk opzet heb ik deze blogpost met praktische GTM tips geschreven: https://www.humix.be/en/blog/configure-google-analytics-for-gdpr/

  2. Dank voor je kennisdeling Michel.

    Bij je tips heb je het gebruik van user-id functionaliteit (inloggers/E-mail abonnees) niet genoemd. Bewust?

    Autoriteit persoonsgegevens adviseert hierin wel om het uit te zetten of toestemming van de gebruiker te vragen. Tips voor een praktische oplossing?

  3. He Gerard,

    Dank voor je reactie. Niet bewust achterwege gelaten, goed punt. Bij een aantal klanten wordt de userId gehashed, zodat niet 1 op 1 een koppeling te maken is met de backend. Dat vind ik de meest ideale oplossing om wel de data te hebben en de privacy te waarborgen.

    Overigens zou je om het helemaal netjes te doen dan ook de transactieId’s moeten hashen. Beide zouden mogelijk moeten zijn via een scriptje in GTM. Heb ik zelf nog niet uitgeprobeerd, maar zal ik eens testen.

  4. Klinkt interessant, Michel, hoe jij het voorstelt.

    Maar overtreed je dan niet GDPR door Autoriteit persoonsgegevens opgesteld.

    Zij geven aan dat je expliciet toestemming nodig hebt voor het gebruik van de user-id functionaliteit?

    • Durf ik niet te zeggen. Vraag is volgens mij of het met een gehashed ID volledig geanonimiseerd of niet. Zo ja, dan denk ik dat je safe bent. Kun je toch door koppeling van andere data nog achterhalen wie het is, dan moet je toestemming hebben. Maar ik ben niet juridisch onderlegd.

      Wat wel zo is, is dat voor het toewijzen van een userId de bezoeker een account op je website moet hebben. Bij het aanmaken van zo’n account kun je die expliciete toestemming erin opnemen. Dat lijkt mij voldoende.. (opnieuw, geen jurist, dus ik zou dit altijd checken bij legal afdeling)

  5. Wat ik me nog afvraag over de Cookie Notice die we moeten tonen: moeten we in die pop-up de gebruiker ook de optie geven om zich voor bepaalde cookies wel/niet af te melden (bv. wel voor Facebook pixels, niet voor GA tracking), of volstaat het om gewoon te zeggen welke data we verzamelen, en dat ze door de website te gebruiken instemmen met de verzameling van al die soorten data?

    In het tweede geval zou het dan moeten volstaan om bij je eerste tip enkel de DNT instelling te respecteren, toch?

    • DNT is nog geen expliciete toestemming, want is bij veel browsers verstopt (bij Google Chrome onder Settings » Advanced) en niet algemeen bekend. Alleen DNT respecteren en anders alles triggeren kom je niet mee weg verwacht ik.

      Bij expliciete toestemming is een bewuste actie van de bezoeker noodzakelijk is. Je moet dus zeker weten dat de bezoeker akkoord is met het plaatsen van cookies. De boodschap dat ze geplaatst worden bij verder gebruik van de site, mag dus niet te missen zijn. De vraag is natuurlijk wanneer het expliciet genoeg is. Met een popup speel je op safe, maar is super irritant (en niemand die het leest). Een balkje onderaan of bovenin is waarschijnlijk te makkelijk te missen.

      Ik ben iig wel voorstander van impliciete toestemming voor GA en expliciet voor remarketing e.a., dus niet op 1 hoop gooien.

      • “De boodschap dat ze geplaatst worden bij verder gebruik van de site, mag dus niet te missen zijn”
        Voor zover ik heb begrepen uit diverse artikelen, vallen meldingen als ‘By using this site, you accept cookies’ onder impliciete toestemming (‘implied consent’), niet expliciet.
        En dat mag vanaf mei 2018 dus niet meer.

      • @hans Je hebt helemaal gelijk. Hoe groot de informed consent bar ook is, zonder een daadwerkelijke actie voldoe je officieel niet aan de wet. Ik probeer mn initiële reactie zo even aan te passen.

      • Dus uit de reactie van Hans hieronder ga ik ervan uit dat zelfs de standaard GA tracking een expliciete toestemming nodig heeft?

      • @sam, nee. Dat ging over de cookies en scripts waar expliciete consent voor nodig is. Als je geen PII in je GA hebt, data sharing met Google uit hebt staan, de bewerkersovereenkomst met Google hebt geaccepteerd én remarketingopties uit hebt staan, dan is impliciete consent voldoende voor GA.

  6. Leuk en zinvol artikel! Nog wel even letten op de browser compatibility van navigator.doNotTrack. Safari en Edge gebruiken bijvoorbeeld window.doNotTrack ipv navigator.doNotTrack. IE (zoals altijd) heeft een prefix nodig: navigator.msDoNotTrack.

Reacties zijn gesloten.