Het is het gesprek van de dag de laatste tijd. "Google Analytics wordt mogelijk verboden in Europa."
De DSB in Oostenrijk was de eerste die het legale gebruik van Google Analytics openlijk in twijfel trok. Verschillende populaire nieuwszenders zoals Hacker News & TechCrunch pikten het nieuws op en verspreidden het woord.
Niet lang na de DSB verklaarde ook hun Franse tegenhanger, de CNIL, dat Google Analytics in strijd is met de GDPR. Enkele maanden later sloten Italië (Garante) en Denemarken (Datatilsynet) zich bij de club aan.
Organisaties, vooral binnen de EU, vragen zich nu af of ze Google Analytics nog wel legaal kunnen gebruiken. En wat gebeurt er als dat niet kan? Verliezen ze dan ook alle waardevolle inzichten?
Met andere woorden: Zal er leven zijn na Google Analytics?
Laten we het uitzoeken 👇
- Hoe werkt Google Analytics?
- Gebruikt Google Analytics cookies?
- Gebruikt Google Analytics eerste of derde partij cookies?
- Hoe lang gaan Google Analytics-cookies mee?
- Hoe anonimiseer ik Google Analytics?
- Kan een IP-adres worden geanonimiseerd?
- Kunnen cookies worden geanonimiseerd?
- Kan ik Google Analytics gebruiken zonder toestemming van de cookie?
- Heb ik een cookiebanner nodig als ik Google Analytics gebruik?
- Moet u Google Analytics-cookies opnemen in uw privacybeleid?
- Kan ik Google Analytics gebruiken zonder cookies?
- Website analytics zonder cookies
- Cookieloze webanalyse vs. op cookies gebaseerde webanalyse
- Wanneer moet u een privacy-first web analytics tool overwegen?
Hoe werkt Google Analytics?
Google Analytics is veruit de meest gebruikte analytics tool op de planeet. Minstens 86% van de websites die een analysetool gebruiken, gebruiken Google Analytics. Het is een gratis tool, maar er hangt een prijskaartje aan.
Om te begrijpen waarom Google Analytics de laatste tijd onder druk staat, is het belangrijk te weten hoe het werkt en welke gevolgen het heeft.
Gebruikt Google Analytics cookies?
Als u Google Analytics installeert om de prestaties van uw website te volgen, moet u first-party cookies instellen om:
- Unieke bezoekers te identificeren
- Unieke sessies te identificeren
- Informatie over verkeersbronnen te identificeren
- Het begin en einde van een sessie te bepalen
Wilt u meer weten over wat cookies zijn? Bekijk deze blogpost.
U hebt toegang tot de cookies wanneer u de werkbalk voor ontwikkelaars opent (rechtsklik + inspecteren). Door naar het tabblad 'applicatie' (of 'opslag') te navigeren en op 'cookies' te klikken, kunt u zien welke cookies door de specifieke website worden gebruikt.
Cookies van indeed.com geïnspecteerd via browser
Zoals u kunt zien in het bovenstaande screenshot (genomen van de Indeed homepage), wordt de naam van de cookie aangegeven als '_ga'. De tweede pijl op de schermafbeelding geeft de waarde aan:
GA.1.2.1680553188.1645472981
Het bestaat uit een versienaam, het eerste deel, en een unieke ID, het tweede deel.
De versienaam: GA.1.2.
De unieke identificatiecode: 1680553188.1645472981
De unieke identificatiecode bestaat uit twee delen. Het eerste deel is een willekeurig gegenereerd nummer. Het tweede deel is een tijdstempel voor de eerste keer dat de bezoeker de pagina bezocht. Op die manier kan Google vaststellen of iemand een unieke bezoeker is of niet.
Telkens wanneer iemand een website bezoekt, zoekt Google Analytics naar de cookie, die door de webbrowser wordt aangeleverd. Als er een cookie is opgeslagen, weet Google dat de bezoeker niet uniek is. Als Google geen cookie kan vinden, betekent dit dat het een eerste bezoeker is die de website bezoekt. Zo maakt Google Analytics onderscheid tussen unieke bezoekers en pageviews.
Gebruikt Google Analytics eerste of derde partij cookies?
Google Analytics gebruikt first-party cookies. Het verschil is dat first-party cookies alleen worden uitgegeven wanneer de gebruiker de website direct gebruikt. De website die de cookies uitgeeft is ook de enige die ze kan lezen.
Cookies van derden worden daarentegen uitgegeven door andere websites dan de website die u bezoekt. Als u advertenties ziet van een website die u in het verleden hebt bezocht, betekent dit dat cookies van derden u volgen.
Hoe lang gaan Google Analytics-cookies mee?
Zowel eerste als third-party cookies kunnen worden gebruikt met of zonder vervaldatum. Cookies die zijn ingesteld met een vervaldatum worden permanente cookies genoemd. Ze blijven op uw apparaat staan, zelfs nadat u de webbrowser hebt gesloten. Cookies zonder vervaldatum worden tijdelijke cookies genoemd en worden verwijderd nadat u uw websessie hebt beëindigd.
_ga is de belangrijkste cookie voor Google Analytics. Het is een permanente cookie die twee jaar(!) blijft staan. U kunt de duur van de cookie echter wijzigen in bijvoorbeeld één jaar door deze stappen te volgen.
U kunt de standaardduur van twee jaar rechtstreeks in het script overschrijven (als u een oud Google Analytics-script op uw website hebt). U hoeft alleen de volgende parameter 'cookieExpires' toe te voegen aan het script dat de cookie uitgeeft: {'cookieExpires': 31536000}. De waarde hier is genoteerd in seconden en precies een jaar.
U kunt het ook wijzigen in Google Tag Manager, wat nog eenvoudiger is:
- Navigeer naar de Google Analytics Page View Tag
- Vink dit vakje aan: Schakel overkoepelende instellingen in deze tag in
- Klik op: meer instellingen openen
- Open in te stellen velden
- Klik op: Voeg veld toe en vul de twee onderstaande velden in. Geef 31536000 aan in het waardevak om de duur te wijzigen in één jaar.
Hoe anonimiseer ik Google Analytics?
Lang verhaal kort: dat doe je niet. Dit is waarom.
De GDPR legt de lat voor anonimisering hoog, en met reden: Aangezien de GDPR zelf alleen van toepassing is op persoonsgegevens, vallen alle geanonimiseerde gegevens buiten het toepassingsgebied van de GDPR en worden ze niet beschermd.
Gegevens worden als anoniem beschouwd wanneer "de betrokkene niet of niet meer identificeerbaar is". Cruciaal is dat gegevens als identificeerbaar worden beschouwd zodra de betrokkene kan worden geïdentificeerd - dat wil zeggen, zodra "hij of zij wordt onderscheiden van alle andere leden" van een groep personen. Dit betekent dat gegevens zelfs persoonlijk kunnen zijn als ze ons absoluut niets over een betrokkene vertellen.
Google Analytics slaat twee verschillende soorten persoonsgegevens van de gebruiker van een website op: cookies en IP-adres. Zoals we zullen zien, kan geen van beide worden geanonimiseerd.
Kan een IP-adres worden geanonimiseerd?
GA biedt zijn klanten een IP-anonimiseringsoptie die IP-adressen anonimiseert door een deel van elk adres op nullen te zetten voordat het wordt opgeslagen.
Echter, zoals opgemerkt door de Italiaanse DPA in haar recente besluit om GA te verbieden, kan Google de betrokkene identificeerbaar maken door het afgeknotte IP-adres te combineren met andere gegevens die zij controleren, zoals cookies of gegevens van het Google-account van de gebruiker. De zogenaamde IP-anonimisering van GA is geen echte anonimisering volgens de GDPR, maar eerder pseudonimisering. In tegenstelling tot geanonimiseerde gegevens zijn gepseudonimiseerde gegevens nog steeds persoonsgegevens onder de GDPR.
Conclusie: GA's IP-anonimisering schiet tekort in het kader van de GDPR. Als Google echt de privacy van gebruikers met betrekking tot het IP-adres zou willen verbeteren, zouden ze het gewoon niet kunnen opslaan, omdat dat niet strikt noodzakelijk is.
Kunnen cookies worden geanonimiseerd?
Elke cookie bevat twee stukjes informatie: een versienummer en een unieke identificatiecode. Omdat ze een unieke identificatiecode bevatten, kunnen cookies een gebruiker identificeren en zijn ze altijd persoonsgegevens. Het maakt niet uit of u een gebruiker daadwerkelijk kunt identificeren - dat wil zeggen, zijn identiteit kunt achterhalen via de identifier alleen, of door deze te combineren met andere gegevens over de gebruiker. Gebruikers kunnen identificeren is voldoende om cookies tot persoonsgegevens te maken, en unieke identificatoren maken dit per definitie mogelijk.
Natuurlijk zou je een cookie theoretisch kunnen anonimiseren door de identificatiecode te verwijderen, maar dan hou je geen andere informatie over dan de naam van de versie van de cookie, wat hem volkomen nutteloos zou maken.
Kortom: nee, u kunt cookies niet anonimiseren. Dit geldt voor alle cookies, niet alleen voor GA-cookies.
Kan ik Google Analytics gebruiken zonder toestemming van de cookie?
Nee. Volgens de ePrivacy-richtlijn is voor alle cookies toestemming van de gebruiker nodig, behalve voor strikt noodzakelijke cookies. Voor cookies voor webanalyse is altijd toestemming van de gebruiker nodig, of ze nu van GA of van andere software afkomstig zijn. Als u op cookies gebaseerde analyses gebruikt zonder een cookiebanner, overtreedt u de GDPR. En als uw website misleidende cookiebanners of "cookiemuren" bevat, schendt u ook de GDPR door ongeldige toestemming te verzamelen - maar dat is een verhaal voor een andere dag.
Heb ik een cookiebanner nodig als ik Google Analytics gebruik?
Wanneer u Google Analytics installeert, moet u een cookiebanner tonen om toestemming te vragen. Om ervoor te zorgen dat Google Analytics in overeenstemming met de privacyregels werkt, moet u de volgende stappen nemen:
- Sla geen cookies op als je geen toestemming hebt.
- Zorg ervoor dat Google Analytics-cookies alleen worden geactiveerd nadat gebruikers toestemming hebben gegeven.
- Wees transparant over de details van de Google Analytics-cookies die u gebruikt. Volgens de privacyregels is toestemming alleen geldig als het een weloverwogen beslissing betreft. U moet uitleggen welk type cookies u gebruikt.
- Verzamel gedetailleerde informatie in uw privacybeleid. U moet alle Google Analytics-cookies en andere trackingmechanismen voor persoonsgegevens opnemen in het privacybeleid.
- Zet IP-anonimisering aan in uw Google Analytics-account en zorg ervoor dat het pseudoniemen gebruikt.
Niet alleen zijn cookies privacy-invasief (dat is de reden voor de cookie-banner), maar u verliest ook gegevens.
Als een websitebezoeker geen toestemming geeft om te worden gevolgd, wordt de cookie niet opgeslagen op het apparaat van de bezoeker. Dit betekent dat uw websitegegevens niet zo nauwkeurig zijn als ze lijken. De cijfers die u in uw dashboard ziet, zijn ondermaats aan uw werkelijke cijfers.
Dit geldt voor Google Analytics en voor elke webanalysetool die cookies gebruikt.
Steeds meer mensen worden zich ervan bewust dat ze worden gevolgd op het internet, wat betekent dat het zeer waarschijnlijk is dat minder mensen toestemming zullen geven. Dit resulteert in minder nauwkeurige gegevens.
Moet u Google Analytics-cookies opnemen in uw privacybeleid?
Als uw website Google Analytics-cookies gebruikt, moet u dit opnemen in uw privacybeleid. Volgens de wet moet u transparant zijn over de cookies die uw website uitgeeft. Als cookies van derden worden uitgegeven, moet u dit apart behandelen in uw privacybeleid. Het is ook tegen de algemene voorwaarden van Google om niet bekend te maken dat u cookies gebruikt. Als dit niet is geregeld in uw privacybeleid, mag u Google Analytics niet gebruiken.
Kan ik Google Analytics gebruiken zonder cookies?
Ja, maar dat wilt u waarschijnlijk niet. Dit is waarom.
Google Analytics is een hulpmiddel om u te laten zien hoe uw website presteert door specifieke statistieken bij te houden. Om nauwkeurige resultaten te verkrijgen, moet Google Analytics cookies op uw website installeren. Als u Google Analytics wilt gebruiken zonder cookies, blijft u achter met een gebroken analyseprogramma.
Google introduceerde een toestemmingsmodus om te proberen GA's afhankelijkheid van cookies te verminderen. De optie werd twee jaar geleden geïntroduceerd en is nog steeds in bèta. Wanneer de optie actief is, werkt GA op een andere manier - voornamelijk, wanneer een gebruiker toestemming weigert, installeert het geen nieuwe cookies en leest het geen bestaande. Tegelijkertijd volgt GA bepaalde gebeurtenissen op een website en gebruikt deze samen met andere gegevens die Google controleert om conversiepercentages te schatten via machine learning-modellen.
Daartoe genereert GA synthetische gegevens op basis van feitelijke gegevens die het van gebruikers verzamelt. Volgens Google's eigen documentatie zijn deze gegevens afkomstig van gebruikers die de cookies van GA op elke website accepteren, en van gebruikers die worden gecontroleerd via Google's AAID-tracker.
Als de toestemmingsmodus gegevens uit cookies gebruikt, moeten websites nog steeds toestemming van gebruikers verzamelen. In een dergelijk scenario kan de toestemmingsmodus nuttig zijn als u betere gegevens wilt over gebruikers die geen toestemming geven om te worden gevolgd. Maar zolang cookies worden gebruikt voor een deel van het gebruikersbestand, maakt de Nalevingsmodus GA niet minder indringend of helpt zij op geen enkele manier bij de naleving. Websites hebben nog steeds een cookiebanner en -beleid nodig en verwerken nog steeds persoonsgegevens via GA.
Een website kan GA ook instellen om standaard in de toestemmingsmodus te draaien voor alle gebruikers, waardoor ze alleen op AAID-gegevens zijn aangewezen. AAID is een tracker die in elk Android-systeem is ingebouwd. Hoewel het technisch gezien geen cookie is, werkt het in wezen wel zo. Elke AAID is uniek voor elk apparaat en wordt standaard gevolgd door Google, tenzij de gebruiker zich afmeldt via de systeeminstellingen. Wij durven te wedden dat dit door Google ingevoerde opt-outsysteem een waslijst aan gegevensbeschermingsregels schendt, met name de toestemmingsvereisten van de ePrivacy-richtlijn, de beginselen van transparantie en privacy by default, en de informatieplicht van de controller onder de GDPR. Het zal niemand verbazen dat de AAID momenteel wordt onderzocht door de Franse toezichthouder. Lang verhaal kort: AAID is onethisch, louche en waarschijnlijk illegaal. En voor alle duidelijkheid: als u vertrouwt op AAID, overtreedt u ook de wet en kunt u aansprakelijk worden gesteld voor de niet-naleving door Google.
Bovendien is Android alleen beschikbaar op mobiel. De gebruikerservaring is radicaal verschillend tussen mobiel en computers, dus GA kan onnauwkeurige synthetische gegevens creëren wanneer het alleen vertrouwt op tracking van AAID. We kunnen hier niet 100% zeker van zijn, aangezien alleen Google weet hoe hun machine learning-algoritmen werken, maar het lijkt een redelijk veilige gok.
Ten slotte moet worden vermeld dat GA nog steeds persoonsgegevens verwerkt in de toestemmingsmodus door IP-adressen te verzamelen. Dit is een probleem omdat persoonlijke gegevens worden doorgestuurd naar de VS zonder voldoende waarborgen voor de privacy van de gebruikers. Europese toezichthouders beginnen Google Analytics om deze reden te verbieden - en als je nieuwsgierig bent, hebben we daar ook een blog over.
Als u op zoek bent naar website analytics zonder cookies, moet u waarschijnlijk kijken naar enkele alternatieve oplossingen.
Website analytics zonder cookies
Het grootste verschil tussen website analytics met cookies en web analytics zonder cookies is de afweging tussen privacy en gegevens:
Hoe dieper u wilt analyseren op individueel niveau, hoe minder privacyvriendelijk u zult moeten zijn.
Welke gegevens verzamelt Simple Analytics?
Bij Simple Analytics leunen we sterk op de privacy-kant van de afweging.
Na enkele jaren Google Analytics-scripts te hebben geïnstalleerd, vond Adriaan, onze oprichter, het niet helemaal juist om zoveel gegevens gratis aan Google door te geven. Dus bedacht hij een oplossing om inzichten te verschaffen zonder de privacy van websitebezoekers te schenden.
Dit betekent dat websitebezoekers geen irritante cookiebanner hoeven te zien voordat ze uw website betreden. Het betekent ook dat we 'out-of-the-box' voldoen aan de GDPR .
Ik hoor u denken... "Dit klinkt goed, maar welke gegevens zal ik missen? Kunt u nog steeds unieke bezoekers identificeren als u geen cookies gebruikt? En kun je nog steeds gebeurtenissen bijhouden?
Nou... Ja, dat kan, maar geloof me niet op mijn woord. Kijk zelf maar.
Hoe identificeren we unieke bezoekers?
We moeten eerlijk zijn. Het berekenen van unieke bezoekers is een stuk moeilijker zonder cookies. Zoals eerder in dit bericht uitgelegd, kan Google Analytics een unieke bezoeker herkennen aan het feit of het al dan niet een cookie heeft geplaatst.
Andere "privacyvriendelijke" alternatieven in de ruimte anonimiseren IP-adressen om unieke bezoekers te controleren. Hoewel dit vanuit het oogpunt van privacy vriendelijker is, worden ze nog steeds beschouwd als persoonsgegevens.
Wij doen het nog beter.
Wij gebruiken het verwijzingsdomein om te zien of iemand een unieke bezoeker is. Wanneer een gebruiker naar uw website navigeert, stuurt de browser informatie over de verwijzer mee.
Laten we eens kijken naar de onderstaande illustratie. Iemand bezoekt een bepaalde website (randomwebsite.com) en navigeert naar uw website (yourwebsite.com). De browser stuurt de referrer (randomwebsite.com) naar yourwebsite.com. Deze referrer is zeer nuttig om te achterhalen waar het verkeer vandaan komt.
Wanneer een gebruiker op uw website terechtkomt zonder een andere website te bezoeken, registreren wij dit als een uniek bezoek:
Kunnen jullie nog gebeurtenissen bijhouden?
Het is een van de meest voorkomende vragen die we krijgen. Met Simple Analytics is het nog steeds mogelijk om het aantal gebeurtenissen bij te houden. Het is gebaseerd op geaggregeerde gegevens, wat betekent dat we geen gegevens kunnen verzamelen over individuen die de gebeurtenis veroorzaken.
U kunt ons geautomatiseerde evenementenscript toevoegen of uw aangepaste evenementen toevoegen om uw evenemententellingen te zien. We kunnen een conversie schatten op basis van het verkeer naar die specifieke pagina (en we werken aan een user-flow sectie).
Daarnaast kunt u nog steeds URL Parameters gebruiken om te zien waar uw verkeer vandaan komt. Bijvoorbeeld als je het verkeer naar een blogpost of nieuwsbrief wilt zien.
Cookieloze webanalyse vs. op cookies gebaseerde webanalyse
De algemene opvatting over cookieless web analytics tools is dat u meer privacy inruilt voor minder gegevens. Dit is waar omdat u minder datapunten verzamelt. Het betekent echter niet noodzakelijkerwijs dat analytics zonder cookies minder nauwkeurig is. Op cookies gebaseerde webanalysetools zijn niet kogelvrij.
Het gebruik van adblockers beïnvloedt uw Google Analytics-gegevens.
Adblockers blokkeren Google Analytics-scripts. Ze verbieden de uitgifte van cookies op uw apparaat. Adblocker-gebruikers die uw website bezoeken, worden gemist door Google Analytics.
Het gebruik van adblockers neemt toe. Adblock, een populaire adblocking tool, telde in 2019 735 miljoen (!) gebruikers en groeide aanzienlijk onder jongeren. Internetgebruikers worden zich meer bewust van hun digitale vingerafdrukken en het belang van digitale privacy. Dit zal in de toekomst alleen maar versnellen.
Adblockers kunnen het Simple Analytics script blokkeren (echter in mindere mate). We hebben een adblocker bypass gemaakt om ervoor te zorgen dat we niet geblokkeerd worden en dat u het volledige beeld krijgt.
Met cookiebanners kunnen bezoekers zich afmelden voor uw Google Analytics-gegevens
Wanneer u Google Analytics gebruikt, moet u een cookiebanner op uw website weergeven. Naast het feit dat cookiebanners uw gebruikerservaring belemmeren, hebben ze ook invloed op uw analytics.
Bezoekers die aangeven dat ze niet gevolgd willen worden, zullen niet zichtbaar zijn voor Google Analytics. U zult deze gegevens missen. Uit onderzoek blijkt dat de meeste bezoekers nog steeds toestemming geven zonder zelfs maar de cookieverklaring te lezen. Dit staat echter op het punt te veranderen. Privacywetgeving hamert op toestemmingspraktijken. Google introduceert nieuwe opties om tracking cookies te weigeren.
Het was eenvoudig om toestemming te geven en cookies te accepteren door op een knop te drukken. Maar aangeven dat je niet gevolgd wilt worden, was uiterst moeilijk. Je moet de instellingen openen en meerdere pagina's configureren. Dat is ook de reden waarom de meeste internetgebruikers "gewoon" toestemming geven om zich niet met dat gedoe bezig te houden. Als "nee" zeggen even gemakkelijk wordt als "ja", verwachten we dat minder mensen toestemming zullen geven.
In feite betekent dit minder nauwkeurige gegevens in het Google Analytics-dashboard. Dit is geen probleem met Simple Analytics, want u hoeft geen toestemming te vragen. Wij gebruiken geen cookies. Daarom zijn onze paginaweergaven nauwkeuriger dan paginaweergaven in Google Analytics.
Internetgebruikers die hun cookies verwijderen worden verkeerd geteld als unieke bezoekers
Na het verwijderen van hun cookies rapporteert Google Analytics terugkerende bezoekers ten onrechte als unieke bezoekers. Naarmate het privacybewustzijn groeit, zullen meer internetgebruikers hun cookies verwijderen. Dit resulteert in minder nauwkeurige gegevens over unieke bezoekers in Google Analytics.
Internetbrowsers blokkeren cookies van derden
Meerdere browsers zoals Safari en Brave staan het gebruik van cookies van derden niet toe, en zelfs Google Chrome zal in 2023 stoppen met het ondersteunen van cookies van derden. Brave is een new kid on the block en identificeert zichzelf als de "anti-advertising" browser." Gebruikers van Brave kunnen ook advertenties en first-party cookies blokkeren. Het heeft momenteel 50 miljoen maandelijkse actieve gebruikers en groeit snel. Nog een aanwijzing dat de toekomst cookieloos zal zijn.
Wanneer moet u een privacy-first web analytics tool overwegen?
Stel uzelf de vraag: welke gegevens hebt u echt nodig? Moet u elke individuele beweging van een websitebezoeker volgen? Als dat het geval is, is Simple Analytics misschien niet uw tool.
Wij zijn er voor bedrijven die deel willen uitmaken van de toekomst. Bedrijven die het grote plaatje willen zien terwijl ze handelen in het belang van hun bezoekers.
Dus als u op zoek bent naar een oplossing, die...
...GDPR-compliant 'out of the box' is
...Cookieloos ontworpen is
...u het grote geheel laat zien
...En eenvoudig te begrijpen en te gebruiken is (zie ons live dashboard)
Misschien wilt u ons eens proberen.