GDPR, GA en GTM
Dit artikel verscheen eerder op webanalisten.nl
Nog een paar maandjes en de transitieperiode van GDPR is voorbij. Je hebt dan officieel 2 jaar de tijd gekregen om je zaken op orde te hebben. Geen smoesjes meer, geen uitwegen. Voldoe aan de regels of neem het risico op (flinke) boetes. Daarom nog even op een rij wat je in ieder geval in Google Analytics en Google Tag Manager kunt doen om je netjes aan de regels te houden.
Het moet toch nog even: GDPR?
Hé? General Data Protection Regulation
Wanneer? vanaf 25 mei 2018
Uuuuhhhh? Oké, de GDPR in 5 punten:
Boetes kunnen oplopen tot 20 miljoen euro of hoger of 4% van de jaarlijkse omzet van een organisatie. Ouch… Allemaal afhankelijk van hoe groot de overtreding is natuurlijk. Een verdwaalde postcode in Google Analytics zal niet in de miljoenen lopen 😉
Simpel gezegd profileer je iemand zodra A. iemand op basis van persoonlijke data automatisch in een bakje terecht komt en B. op basis van dat bakje persoonlijke aspecten worden toegeschreven aan dat individu en/of er een actie uit komt. Profilen gaat dus verder dan het simpelweg dataverzamelen of tracken.
Profiling mag met toestemming, maar er moet inzicht gegeven worden in wat het doet en het individu moet de mogelijkheid hebben om aan het geautomatiseerde proces te ‘ontkomen’. Automatisch een andere of betere aanbieding of juist een hogere prijs omdat iemand vanwege persoonlijke data in een bepaald bakje is gevallen mag dus niet zomaar.
*https://iapp.org/news/a/top-10-operational-impacts-of-the-gdpr-part-5-profiling/
Je bent (en was al) verplicht datalekken te melden bij de autoriteiten. En je bent verplicht voldoende maatregelen te nemen zodat data veilig is. Wie heeft er bijvoorbeeld toegang tot de data? En zijn de systemen up-to-date? Zorg voor een goede beveiliging en wees selectief in wie toegang krijgt tot de data. Dat geldt dus ook voor gedeelde spreadsheetjes met persoonlijke gegevens.
Regelmatige security checks, heldere contracten met organisaties die werken met de data zodat helder is wie waar verantwoordelijk voor, waar data ligt opgeslagen, waar toestemming voor is gevraagd, etc. Dit wordt onder meer vastgelegd in dataverwerkersovereenkomsten. De papierwinkel, protocollen en organisatie (zoals het aanstellen van een Data Protection Officer) moeten op orde zijn.
Zorg dat je data op orde is en je weet waar alles staat. Zorg ook dat je eenvoudig een export kunt doen van data over een bepaald persoon, want:
- Als een individu wil weten welke informatie je over ze hebt, dan ben je verplicht dat te overhandigen (recht op inzicht in data)
- Wil een individu dat je alles over ze verwijdert, dan moet je daaraan voldoen (recht om vergeten te worden)
Concreet: wat kun en moet je doen als webanalist
Ik beperk me tot de technische optimalisaties in GA en GTM. Dat je een heldere privacy policy moet hebben spreekt voor zich, net als het regelen van toestemming voor het activeren van third party pixels zoals Facebook, Doubleclick, Twitter, Youtube, etc.
1. Zorg dat je de tags alleen met de juiste toestemming afvuurt.
Om de keuze van een bezoeker voor het wel of niet tracken op te slaan wordt een cookie opgeslagen. Die waarde kun je uitlezen en gebruiken voor je triggers. Simpel en effectief. Je kunt met blokkeringsregels werken of specifieke activeringsregels instellen.
Wil je het helemaal netjes doen, lees dan de Do Not Track functie van de browser uit. Met een Custom Javascript variabele lees je uit of iemand Do Not Track (DNT) geactiveerd heeft in de browser. In dat geval raad ik aan alleen de meest essentiële tags triggeren. Copy-paste vanaf hieronder om te gebruiken:
2. Strip parameters van de URL’s
Parameters kunnen persoonlijke informatie bevatten. Als je dit ergens ziet, ga dan direct naar de developers van de site. Het is namelijk in potentie een flinke data breach. Elk extern scriptje op de site kan de URL namelijk uitlezen. Ik verwijder daarom standaard alle parameters van URL’s in Google Analytics. Staat er relevante informatie in, zorg dan dat je die informatie in aangepaste dimensies zet. Er zijn 3 opties om te voorkomen dat parameters in Google Analytics komen:
Bij de settings op view-niveau kun je alle parameters invoeren die je uitgefilterd wilt hebben. Werkt heel simpel. Houd er wel rekening mee dat nieuwe parameters natuurlijk niet automatisch uitgefilterd worden en dat je dit voor elke view afzonderlijk moet doen. En let op, deze setting wordt al toegepast nog voordat de filters worden uitgevoerd. Dus een filter waarmee je een parameter in een aangepaste dimensie zet werkt niet meer.
Met een Search & Replace filter verwijder je alle parameters. Met dit filter geef je aan dat alles achter het vraagteken en het vraagteken zelf verwijderd moeten worden. Wil je eerst een parameter in een aangepaste dimensie zetten voor je ‘m verwijderd, zorg dan dat je dit filter helemaal onderaan de lijst met filters plaatst.
Met deze aanpassing geef je al in Google Tag Manager mee dat alleen de Page Path moet worden meegegeven, dus niet alles wat er nog achteraan komt. Alles in Google Analytics is dus clean, zonder dat je filters hoeft te gebruiken. Dit betekent ook dat je nooit meer parameters kunt achterhalen in bijvoorbeeld de backup view (ongefilterde weergave)3. Activeer remarketingopties in GA alleen na expliciete toestemming
Het opbouwen van remarketinglijsten voor Adwords en Doubleclick in Google Analytics is superhandig. Maarrr, je mag die remarketingopties pas aan zetten na expliciete toestemming. Dus hoe doe je dat zonder ingewikkelde triggers en dubbele tags in GTM? Met de DisplayFeaturesTask en de waarde null of true. Staat de waarde op null dan worden remarketingopties niet geactiveerd, bij true wel. En die waardes kun je natuurlijk weer afhankelijk maken van de waarde van cookie consent cookies.
4. Houd je gebruikerslijst in Google Analytics up to date
Check regelmatig wie er allemaal toegang hebben tot Google Analytics.En maak het jezelf makkelijk door bijvoorbeeld alleen persoonlijke accounts gekoppeld aan daadwerkelijke organisatie toe te laten. Geen jantje63@gmail.com of een info@destatistiekfabriek.nl bijvoorbeeld. Oh, en in dat kader nog een tip:
Maak een Google Analytics Organisation aan! Sinds een tijdje is die mogelijkheid er voor de gratis versie van Google Analytics. En het biedt wat extra mogelijkheden zoals het toewijzen van een Organisation Admin, instellen van beleidsregels en inzien wanneer iemand voor het laatst is ingelogd.
Tot slot nog wat kleine punten:
Anonymize IP aanzetten:Natuurlijk moet je de IP-adressen anonimiseren zodat Google niet alle IP-adressen verzamelt van jouw site-bezoekers. Gelukkig is dat simpel te doen met de anonymizeIp-optie in GTM.
Up to date bewerkingsovereenkomst met Google Analytics: Bij settings op account level kun je deze accepteren.
Dubbelcheck op alle dimensies en events: Check nog eens goed of de informatie inderdaad geanonimiseerd is. Geen huisnummers, postcodes, telefoonnummers, kentekens, geboortedata of een combinatie daarvan? Mooi 🙂
En just in case..
Bepaal jij mede wat er verzameld wordt? Twijfel je of iets onder profileren of PII (persoonlijk identificeerbare informatie) valt? Dubbelcheck bij je legal afdeling of zorg dat de organisatie in ieder geval een intern of extern juridisch onderlegd persoon heeft waar je terecht kunt.
Hulp nodig bij checks of inrichting? Neem vrijblijvend contact op »
