Hoe verzamel je privacyvriendelijke websitestatistieken?

December 6, 2018

Veel Nederlandse websites hebben Google Analytics niet privacyvriendelijk ingesteld en vragen daardoor ten onrechte geen toestemming voor deze cookies. Dat blijkt uit een snelle verkenning die ik heb gedaan naar cookies op 11.309 Nederlandse websites. Daaruit blijkt dat 3.186 websites Google Analytics cookies laten koppelen aan het advertentienetwerk Doubleclick van Google. Daardoor kunnen websitebezoekers buiten de website gerichte advertenties krijgen. En dat mag alleen als de bezoekers daarvoor aparte toestemming hebben gegeven.

Geen toestemming voor statistieken

Het is niet nodig om bezoekers om toestemming te vragen voor het verzamelen van websitestatistieken. De eigenaar van de website moet ervoor zorgen dat de verzamelde persoonsgegevens alleen voor de eigen statistieken van die website gebruikt worden.

Het volgen van bezoekers over meerdere websites vergt wel aparte toestemming. Maar de websitehouder kan door het afsluiten van een verwerkersovereenkomst afspreken dat de leverancier van het statistiekenpakket de verzamelde persoonsgegevens alleen voor die websitehouder gebruikt. De websitehouder kan er ook voor kiezen om een eigen statistiekenpakket op de server te installeren, zoals Matomo (voorheen Piwik).

Handleiding Google Analytics

Veel Nederlandse websites gebruiken Google Analytics om statistieken bij te houden. Ik heb in deze verkenning 5550 websites gezien met Google Analystics, dat is 49% van de websites. Websites mogen de Google Analytics cookies ook gebruiken zonder apart toestemming te vragen, als de cookies zo privacyvriendelijk zijn ingesteld dat er geen of zeer geringe risico’s zijn voor de persoonlijke levenssfeer van de websitebezoeker.

De Autoriteit Persoonsgegevens heeft een goede handleiding [pdf] gepubliceerd waarmee Google Analytics privacyvriendelijk ingesteld kan worden. Deze handleiding legt uit hoe een websitehouder een bewerkersovereenkomst kan aangaan met Google, welke verschillende privacy bevorderende opties aangezet kunnen worden en hoe websitebezoekers geïnformeerd kunnen worden over de verwerking. Uit dit onderzoek blijkt dat er nog veel websites zijn die dit advies niet volledig hebben opgevolgd.

Eigen onderzoek Privacy Company

Ik heb het onderzoek uitgevoerd om een algemeen beeld te krijgen van het gebruik van onlinevolgtechnieken in Nederland, niet om individuele websites te betrappen op overtredingen. Dit onderzoek is begonnen met een generieke lijst van 1 miljoen populaire domeinnamen. Ik heb alle (11.309) domeinnamen die op “.nl” eindigen, bezocht met een normale webbrowser. Al het netwerkverkeer is daarbij opgeslagen in een database zodat ik efficiënt naar patronen kan zoeken. Uiteraard heb ik de websites niet handmatig bezocht. Ik heb scripts gemaakt zowel voor het bezoeken als het analyseren van de websites.

Tips voor websitehouders

Gebruik je Google Analytics? Kijk dan naar je eigen websiteverkeer of je daarin per ongeluk DoubleClick verkeer tegenkomt. Misschien heb je Google Analytics onjuist ingesteld. Om een eerste indruk te krijgen van de cookies kun je de URL van een webpagina bijvoorbeeld invoeren in de cookietool van de Zweedse NGO Dataskydd, https://webbkoll.dataskydd.net/en/

Kijk verder dan cookies. Technieken om gebruikers te volgen maken steeds meer gebruik van alternatieven voor cookies zoals browser fingerprinting. Websites zijn complex en problemen kunnen zich voordoen op onverwachte plekken of momenten. Zo kan het voorkomen dat een cookie alleen bij het eerste bezoek wordt gebruikt en daardoor bij latere bezoeken niet meer wordt opgemerkt.

Download
Floor
Adviseur