Het omgaan met toestemming in Google Analytics is ingewikkeld. De regels voor cookietoestemming verschillen van land tot land. En zelfs als je weet welke regels van toepassing zijn, kan het lastig zijn om Google Analytics in te stellen volgens de regels.
- Heb ik toestemming nodig voor cookies?
- Heb ik ook toestemming nodig voor Google Analytics 4?
- Hoe verzamel ik toestemming?
- Hoe verzamel ik toestemming in Google Analytics?
- Hoe stel ik een knop "niet verkopen" in Google Analytics in?
- Hoe honoreer ik do-not-track verzoeken in Google Analytics?
- Dit klinkt allemaal nodeloos ingewikkeld
- Hoe stel ik een CMP correct in?
- Hoe kan ik een cookiebanner ontwerpen met een goede opt-in?
- Slotopmerkingen
Hier lees je hoe je aan de slag kunt met Google Analytics en toestemming voor cookies!
Heb ik toestemming nodig voor cookies?
Toestemming voor cookies is een mijnenveld. In de EU is de situatie vrij duidelijk: de ePrivacy-richtlijn en de GDPR vereisen opt-in toestemming voor cookies.
Hetzelfde geldt voor de Europese Economische Ruimte, want de GDPR is ook van toepassing op EER-landen (lees: alle EU-landen plus IJsland, Liechtenstein en Noorwegen). Dit geldt ook voor landen als het Verenigd Koninkrijk en Brazilië, die privacywetten hebben die nauw aansluiten bij de GDPR.
Andere landen hebben soepelere regels: zo is er in de Amerikaanse wetgeving geen vereiste voor opt-in of zelfs opt-out toestemming, hoewel de wetten van staten soms restrictievere regels hebben. De CCPA schrijft bijvoorbeeld een opt-out optie voor, maar alleen voor bepaalde websites.
Het wordt nog verwarrender dan dat, omdat de wet soms wel toestemming vereist in sommige situaties, maar niet in andere. De Amerikaanse COPPA beperkt bijvoorbeeld wat je met cookies kunt doen als je kinderen in de gaten houdt.
Kortom, dit is een ingewikkelde vraag en het antwoord hangt af van zowel de wetgeving als het scenario in kwestie. Maar voor de EU is het antwoord duidelijk: Google Analytics vereist toestemming in de EU. We hebben ook een interactieve kaart gemaakt met informatie per land.
Heb ik ook toestemming nodig voor Google Analytics 4?
Ja, in ieder geval in de EU. Google Analytics 4 is geen cookieloze oplossing. Het ondersteunt geen third-party cookies, maar gebruikt nog steeds first-party cookies waarvoor toestemming nodig is volgens de EU-wetgeving.
Merk op dat privacy-vriendelijke website analytics tools, zoals Simple Analytics, geen toestemming vereisen en daarom geen cookiebanner nodig hebben.
Hoe verzamel ik toestemming?
De meest praktische manier om toestemming te verzamelen is via een cookiebanner. Deze banner moet duidelijke informatie geven over waar de cookies voor dienen en een duidelijke en gemakkelijke optie bieden om ze te weigeren.
Websites vertrouwen meestal op software van derden, zogenaamde Consent Management Platforms (CMP), om toestemming af te handelen. Gelukkig zijn de meeste CMP's geïntegreerd met Google Analytics, dus het is niet zo moeilijk om ze samen te laten werken.
Houd er rekening mee dat EU-toestemming altijd, zonder uitzondering, opt-in toestemming is. Praktisch gezien moet je bezoeker op een soort "ja, geef me cookies" knop klikken. Hen de optie geven om zich af te melden is niet genoeg!
Hoe verzamel ik toestemming in Google Analytics?
- Gebruik een toestemmingsbeheerplatform (CMP): Implementeer een CMP op je website. Dit platform toont een toestemmingsbanner aan gebruikers en stelt hen in staat om hun voorkeuren te kiezen met betrekking tot cookiegebruik en gegevensverzameling.
- Configureer je CMP: Het is aan jou om ervoor te zorgen dat je CMP is ingesteld op een GDPR-conforme manier! Ga er niet van uit dat het werk gedaan is alleen omdat je een CMP hebt. Je moet er onder andere voor zorgen dat je cookiebanner een duidelijke optie biedt om cookies te weigeren en transparante informatie geeft over het gebruik ervan.
- GA4 configureren voor toestemmingsmodus: In GA4 kun je de toestemmingsmodus inschakelen, waarmee je kunt aanpassen hoe Google Analytics zich gedraagt op basis van de toestemming die de gebruiker heeft gegeven. Dit kunt u doen in de GA4-eigenschappen-instellingen.
- Uw GA4-configuratie aanpassen: Pas uw GA4-configuratie aan om de toestemmingskeuzes van gebruikers te respecteren. Dit houdt meestal in dat u de analytics-tag op uw website moet aanpassen om de toestemmingsstatus te controleren voordat de tag wordt geactiveerd. Met Google Tag Manager kunt u bijvoorbeeld triggers instellen op basis van toestemmingsstatus.
- Test uw implementatie: Zorg er ten slotte voor dat je je implementatie grondig test om ervoor te zorgen dat analytics zich correct gedraagt op basis van de gegeven toestemming.
- Regelmatig controleren en bijwerken: De wet- en regelgeving kan veranderen, dus controleer en werk je toestemmingsbeheerproces regelmatig bij als dat nodig is.
Stap 4 is afhankelijk van de CMP en Google Analytics integraties die u gebruikt, dus er is niet één script dat u kunt kopiëren en plakken. Raadpleeg de documentatie van Google Analytics en je CMP om te weten welke code je in jouw specifieke geval nodig hebt. Een algemene regel is echter dat uw website de toestemmingscode moet aanroepen voordat er cookies worden geplaatst. Anders worden er cookies geplaatst ongeacht de voorkeur van de gebruiker, wat in sommige landen illegaal is.
Hoe stel ik een knop "niet verkopen" in Google Analytics in?
Sommige privacywetten, zoals de CCPA, vereisen een opt-out optie voor de verkoop van persoonlijke gegevens. Hier leest u hoe u een opt-out optie kunt implementeren:
- Ontwikkel een mechanisme op uw website (zoals een knop of een link op uw privacybeleidspagina) waarmee gebruikers hun wens kunnen uiten om af te zien van Google Analytics-tracking.
- Gebruik de JavaScript API van Google Analytics om deze afmeldmogelijkheid te respecteren. Wanneer een gebruiker zich afmeldt, kunt u een vlag in de cookie of lokale opslag van uw website zetten om deze voorkeur te onthouden en uw Google Analytics-trackingcode aanpassen om op deze afmeldvlag te controleren voordat er gegevens worden verzonden.
- U kunt ook een cookie-gebaseerde oplossing gebruiken waarbij het instellen van een specifieke cookie het Google Analytics JavaScript instrueert om geen informatie naar Google Analytics te sturen voor die gebruiker.
Uiteraard moet je ervoor zorgen dat deze oplossing werkt met elke CMP of GA integratie die je gebruikt.
Nogmaals, dit voldoet niet aan de EU-wetgeving. De GDPR en de ePrivacy-richtlijn vereisen opt-in toestemming!
Hoe honoreer ik do-not-track verzoeken in Google Analytics?
Google Analytics herkent do-not-track verzoeken niet automatisch, wat nogal irritant is. Je moet dus zelf de handen uit de mouwen steken en het werk doen:
- DNT-instellingen detecteren: Gebruik eerst JavaScript om te detecteren of de gebruiker DNT heeft ingeschakeld in zijn browser. Je kunt de DNT-status controleren met navigator.doNotTrack in JavaScript, dat 1 retourneert als DNT is ingeschakeld.
- GA4 conditioneel laden: Roep voordat u uw GA4-trackingcode initialiseert een functie aan om te bepalen of DNT is ingeschakeld. Als dat zo is, sla dan de initialisatie van GA4 over.
- Afhandeling op de server: Als alternatief kunt u de DNT-status aan de serverzijde afhandelen. Als een DNT-verzoek wordt gedetecteerd, kan uw server de pagina zodanig wijzigen dat de GA4-trackingcode niet wordt opgenomen of dat een gewijzigde versie wordt opgenomen die het verzenden van gegevens uitschakelt.
Er is geen verplichting om DNT-verzoeken voor EU-gebruikers te honoreren, maar als u het toch wilt doen, raden we u sterk aan om de DNT-status aan serverzijde af te handelen. Het detecteren van DNT via JavaScript is een beetje twijfelachtig onder de ePrivacy Richtlijn en het is beter om het zekere voor het onzekere te nemen.
Dit klinkt allemaal nodeloos ingewikkeld
Google heeft besloten om het toestemmingsbeheer niet in Google Analytics op te nemen en het aan de klant over te laten om een toestemmingsbeheerprogramma te vinden dat aan de eisen voldoet en uit te zoeken hoe dit met Google Analytics kan worden geïntegreerd.
Dit heeft een aantal voordelen: het biedt de klant veel flexibiliteit en geeft hem de mogelijkheid om het toestemmingsbeheer zelf te doen, als hij over de vereiste kennis beschikt. Aan de andere kant maakt het Google Analytics moeilijker te gebruiken, omdat geen enkele copy-paste code GA zal laten werken met hun CMP's en integraties naar keuze.
Hoe stel ik een CMP correct in?
Houd er rekening mee dat het gebruik van een CMP niet garandeert dat je geldige toestemming verzamelt. Een CMP geeft je de tools die je nodig hebt om met toestemming om te gaan, maar het is aan jou om het correct in te stellen.
Om te voldoen aan de GDPR moet je bijvoorbeeld:
- duidelijk uitleggen waar je cookies voor dienen
- een link bieden naar je privacybeleid
- een duidelijk zichtbare knop "weigeren" aanbieden op de eerste laag
De vereisten kunnen verschillen voor andere wetgevingen. Californië heeft bijvoorbeeld geen opt-in toestemmingsregels, maar sommige websites (niet alle! Zie onze blog) zijn verplicht om do-not-track signalen te honoreren en een opt-out optie aan te bieden voor de verkoop van gegevens (en ja, dat geldt ook voor web analytics!).
De meeste CMP's zweren dat ze kant-en-klaar zijn en al geconfigureerd om aan bepaalde wetgevingen te voldoen, maar het is nog steeds beter om voorzichtig te zijn - sommige CMP's staan erom bekend dat ze in het verleden een beetje snel en losjes met de regels hebben gespeeld.
Kortom:
- begrijp aan welke vereisten u moet voldoen
- zorg ervoor dat de CMP aan deze vereisten voldoet
Hoe kan ik een cookiebanner ontwerpen met een goede opt-in?
Door de wet te overtreden - zo simpel is het.
CMP-verkopers willen je doen geloven dat er een geheime toverformule bestaat voor een cookiebanner die voldoet aan de GDPR met een torenhoog opt-in percentage, maar zo werkt het niet. Er zijn verschillende trucs die je kunt gebruiken om je opt-in ratio te verhogen, maar die zijn op zijn best duister en op zijn slechtst ronduit illegaal.
Europese regelgevende instanties hebben een standpunt ingenomen over de netelige kwesties van het ontwerp van cookiebanners en hebben verduidelijkt dat veel op grote schaal misbruikte ontwerptrucs GDPR-overtredingen zijn. Als je aan de wet wilt voldoen, verberg de knop "Alles weigeren" dan niet in een tweede of derde laag van je cookiemelding. Dwing gebruikers niet om hun voorkeuren "aan te passen", zodat je ze twintig verschillende instellingen kunt voorschotelen in de hoop dat ze moe worden en gewoon op "alles accepteren" klikken. Verberg je "weiger"-knop niet met kleine of contrastarme lettertypen en bied geen domme opties zoals "opslaan".
Een cookiebanner die voldoet aan de GDPR biedt de gebruiker een zichtbare, direct beschikbare, duidelijk geformuleerde optie om onnodige trackers te weigeren. Dit soort banner zorgt ook voor lage opt-in rates omdat mensen niet graag gevolgd worden. Lees hier meer over website analytics zonder cookies.
Slotopmerkingen
TL;DR: er is een afweging tussen GDPR-compliance en opt-in rates. Er is geen slimme manier om dit te omzeilen.
Het instellen van Google Analytics is ingewikkelder dan nodig en kan behoorlijk lastig zijn voor kleinere organisaties. Simple Analytics is een meer intuïtieve en privacy-vriendelijke oplossing! Je kunt het installeren en configureren met een paar regels code. Met zijn intuïtieve UI en ingebouwde AI-assistent kun je in een mum van tijd aan de slag.
We zijn er ook trots op dat ons product privacyvriendelijk en GDPR-compliant is! We geven je alle inzichten die we nodig hebben zonder persoonlijke gegevens te verzamelen. Dit beleid respecteert de privacy van de gebruiker en voorkomt nalevingshoofdpijn!
Als dit je aanspreekt, probeer ons dan gerust uit!