Eerste hulp bij mogelijk verbod op Google Analytics

‍

Gaat de Autoriteit Persoonsgegevens binnenkort echt het gebruik verbieden van Google Analytics? Maar hoe moet je dan het bezoek aan je website in kaart brengen?

De overgrote meerderheid van de populaire websites in Nederland maakt gebruik van Google Analytics voor bezoekersstatistieken. Ook veel klanten van Privacy Company. Daarom hebben we twee professoren Data Science van de Radboud Universiteit uitgenodigd om ons adviseursteam bij te praten over mogelijke alternatieven, Arjen de Vries en Djoerd Hiemstra. Zij hebben kennis en ervaringen opgedaan in hun project NoGA (No Google Analytics). We delen in deze blog graag de inzichten uit deze interessante kennissessie.

‍

Waarschuwingen toezichthouders

De afgelopen weken hebben verschillende toezichthouders waarschuwingen uitgedeeld over het gebruik van Google Analytics. Zie de besluiten van de Oostenrijkse, Franse en Liechtensteinse toezichthouders, van de EDPS (de toezichthouder op het zusje van de AVG dat van toepassing is op de Europese Instellingen) en het besluit van een Duitserechtbank (LG Rostock).

Ook de Autoriteit Persoonsgegevens heeft in haar handleiding over privacyvriendelijk gebruik van de tool gewaarschuwd dat het gebruik van Google Analytics binnenkort mogelijk niet meer is toegestaan.

‍

Handleiding Google Analytics: geen aandacht voor doorgifterisico’s

De AP heeft deze waarschuwing boven een handleiding uit 2018 gezet om Google Analytics privacyvriendelijk in te stellen. Disclaimer: mijn toenmalige-en-huidige collega Floor Terra en ik waren indertijd de auteurs van deze handleiding. De handleiding beschrijft hoe je de privacyrisico’s kunt inperken als je je websitegegevens in handen geeft van Google. De belangrijkste drie adviezen waren en zijn: sluit een verwerkersovereenkomst met Google, zorg dat je de analytische cookies op geen enkele manier combineert met Google’s advertentiecookies, en maak de IP-adressen van de bezoekers minder goed herleidbaar. Het doel moet zijn om bezoek te turven, niet om een camera te richten op bezoekers en ze door de tijd heen te volgen.

De handleiding gaat niet in op de risico’s van de doorgifte van persoonsgegevens zoals IP adressen en informatie over bezochte URL’s naar de Verenigde Staten, omdat dat in 2018, onder de Privacy Shield afspraken tussen de EU en de VS, nog geen onoverkomelijke problemen opleverde. Dat is veranderd sinds de zomer van 2020, toen het Europees Hof van Justitie dit verdrag met onmiddellijke ingang annuleerde (Schrems-II). Dat was al voor de tweede keer: de Oostenrijkse jurist Max Schrems had er in 2015 ook al voor gezorgd dat de eerste versie van dit verdrag (Safe Harbour) werd doorgehaald (Schrems-I). Diezelfde Max Schrems (love him or hate him) heeft daarna 101 klachten ingediend bij de verschillende privacytoezichthouders over het gebruik van modelcontracten voor doorgifte. Die onderzoeken hebben anderhalf jaar geduurd, maar nu komt er een stroom van besluiten los.

‍

‍Project NoGA

De twee hoogleraren kregen begin 2020 subsidie van het SIDN Fonds voor het project NoGA, No Google Analytics. Ze hebben allerlei alternatieven voor Google Analytics bekeken, met als belangrijkste voorwaarde dat de broncode van de software openbaar toegankelijk moest zijn (open source software).  Ze hebben niet gezocht naar het meest privacyvriendelijke alternatief, en ze hebben ook geen lijst gemaakt van ‘gratis’ alternatieven die net als Google geen geld vragen, maar op een andere manier hun geld verdienen.

De hoogleraren hebben de marketeers van de Radboud Universiteit overtuigd om verschillende proeven te doen  met alternatief Matomo Analytics, lokaal gehost op een eigen server van de universiteit. De resultaten uit Matomo zijn 1-op-1 vergeleken met de resultaten uit Google Analytics. Hoewel er verschillen zijn tussen de metingen, concluderen Hiemstra en De Vries dat Matomo een volwaardig (betaald) alternatief is voor druk bezochte websites. Zie ook deze handige poster met de uitkomsten van de pilot. Op de website nogadata.nl staan ook basis en geavanceerde stappenplannen om Matomo lokaal te installeren.

De marketeers kwamen met veel bezwaren, vooral gebaseerd op hun kennis en ervaring van Google Analytics. Heel herkenbaar, ook voor de adviseurs van Privacy Company. Als je eenmaal gewend bent aan een bepaalde werkwijze, is het enorm vervelend om te moeten veranderen, hoe goed de nieuwe tool misschien ook werkt. In de wereld van de gedragseconomie wordt dat ook wel de status quo bias genoemd, en het endowment effect. Het komt erop neer dat we van nature oer-conservatief zijn, en onze keuzes veel minder rationeel maken dan we denken. Daar hebben ze bij de Radboud iets op gevonden. Ze hebben de marketeers op laten schrijven wat ze allemaal zo fijn vinden aan Google Analytics. Dat leidde tot 36 uitgeschreven scenario’s. De marketeers hadden niet veel vertrouwen dat een alternatief zoveel scenario's goed zou kunnen ondersteunen. Maar project NoGA toonde aan dat 30 van de 36 scenario’s gewoon konden, vier scenario’s gedeeltelijk konden, en twee scenario’s echt niet.  

‍

Twee van de 36 marketing scenario’s niet mogelijk in Matomo

Wat waren dan die twee scenario’s die met Matomo niet uitgevoerd kunnen worden? In de eerste plaats het profileren van bezoekers op geslacht en leeftijd. Dat kan Google doen, als mensen zijn ingelogd met hun Google account. Maar zo’n soort registratie voldoet sowieso niet aan de eisen uit de handleiding van de AP, omdat je dan individuele bezoekerseigenschappen verwerkt. En het andere scenario wat niet kan? Het tonen van gerichte advertenties aan je websitebezoekers in Google Ads. Tja. Dat voldoet natuurlijk ook niet aan de criteria van de AP. Als je gerichte advertenties wilt tonen aan je websitebezoekers, ben je bezig met tracking cookies, en zul je op voorhand eerlijke toestemming moeten vragen aan je websitebezoekers.

‍

‍Eerste hulp bij verbod op Google Analytics: privacyvriendelijke alternatieven

Het is verstandig om niet te wachten op een verbod op het gebruik van Google Analytics, maar nu al te kijken naar een privacyvriendelijker alternatief, en net als de Radboud, een proef te draaien met een tweede pakket.

Bij Privacy Company gebruiken we al langer Matomo als clouddienst voor onze websitestatistieken. Hoewel Matomo in Nieuw Zeeland is gevestigd, heeft de Europese Commissie besloten dat dat land een adequaat beschermingsniveau biedtvoor onze persoonsgegevens. Matomo is vooral geschikt voor druk bezochte websites. Een goedkoper open source alternatief dat wordt aangeraden door No GA is Plausible.

Er zijn nog meer mogelijkheden om websitestatistieken in kaart te brengen op een privacyvriendelijke manier. De Franse toezichthouder CNIL heeft in september 2021 handleidingen gepubliceerd (alleen in het Frans helaas) voor vijftien alternatieve analytics tools, waaronder de cloudoplossing van Matomo. Als je die handleidingen volgt, weet je zeker dat je aan alle AVG- en ePrivacy-eisen voldoet.