Is Google Analytics zonder toestemmingspopup legaal onder de nieuwe cookiewet?

cookie-bril.jpgDe Tweede Kamer is dinsdagmiddag akkoord gegaan met een minder strenge cookiewet, meldde onder meer Tweakers. Cookies die geen inbreuk maken op de privacy, zoals first-party analytics en affiliatecookies, zullen legaal worden als dit wetsvoorstel de Eerste Kamer overleeft. Waarbij de hamvraag natuurlijk is: mag dan Google Analytics ineens zonder toestemming te vragen?

Al sinds de invoering van de cookiewet is deze hoogst controversieel. Het idee dat een wet zou bepalen welke (tracking of andere) cookies je mocht plaatsen, was voor vele webmasters buitengewoon stuitend en dom. Al snel verschenen dan ook overal popups en vooral cookiemuren: geen cookies, dan geen site voor jou. Buitengewoon ergerlijk, vooral ook voor mensen die wél geven om hun privacy en daarom tracking cookies willen uitschakelen.

Na veel gedoe is er dan nu een wetsvoorstel door de Tweede Kamer geaccepteerd: cookies die “geen of slechts geringe” inbreuk op de privacy van de bezoeker maken en dienen om informatie te verkrijgen over kwaliteit of effectiviteit van de dienst, zullen buiten het toestemmingsvereiste vallen als dit voorstel wet wordt.

Wanneer maakt nu zo’n cookie “geen of slechts geringe” inbreuk op de privacy? Dat staat er niet letterlijk bij. Er is ook nooit gesproken over de Analyticsdienst van Google als zodanig. Verder dan dat dat “sommige” analytic cookies geringe privacygevolgen opleveren. Het moet dan gaan om first party analytics, en het is niet toegestaan de informatie voor iets anders dan analytics te gebruiken, je mag dus geen bezoekersprofielen of iets dergelijks verrijken met analyticsdata.

Googles dienst lijkt hieraan te voldoen. Echter, Google is strikt gesproken niet first-party: niet de website-eigenaar verzamelt de data maar Google. Formeel weliswaar in opdracht (‘bewerker’) van de website-eigenaar, maar Google wordt eigenaar van de analyticsdata en de website-eigenaar kan niet zien wat Google ermee doet.

Bovendien worden met de Google-dienst analyticsgegevens naar buiten de EU geëxporteerd. Dat is op zichzelf een niet-geringe inbreuk op de privacy, aangezien ze in de VS geen adequate bescherming van persoonsgegevens hebben. Daarmee zal Google Analytics dus niet voldoen aan “geen of geringe inbreuk op de privacy”. Een eigen first-party analyticstool zoals Piwik zou wel voldoen aan deze eis, mits je het maar houdt bij zuiver meten en statistieken bedrijven en de analyticsdata niet gebruikt om persoonsgebonden siteveranderingen door te voeren.

En ik erger me rot aan media die meldt dat “de cookiewet gewijzigd is”. Dat. Is. Niet. Zo. De Tweede Kamer heeft ja gezegd, maar de Eerste Kamer moet dat ook nog doen. En juist de Eerste Kamer is meer gespitst op de principiële aspecten van wetten, en hoe dit binnen Europese regels past. Het is dus zeer zeker geen gegeven dat de EK dit zal goedkeuren.

Arnoud

33 reacties

  1. Maar als je Google Analytics in ‘anonymous mode’ gebruikt (hiermee wordt niet het volledige IP, maar bij IPv4 alleen de eerste 3 blokken en bij IPv6 maar de eerste 48 van de 128 bits verstuurd [1]), dan lijkt het mij dat je al wel voldoet aan ‘“geen of slechts geringe” inbreuk op de privacy van de bezoeker’? Een gegeven kan nooit meer worden teruggeleid naar 1 bezoeker, hoogstens naar een groep van 255 (IPv4) danwel 1.2 quadriljoen (dat zijn 24 nullen).

    [1] https://support.google.com/analytics/answer/2763052?hl=nl

        1. De cookies wel maar de analytics is dat niet. En dat is waar men vanuit de wet op doelt. Google Inc uit de VS doet de analytics en niet de webmaster om wiens site het gaat. Bij zeg Piwik installeer je zelf de software en doe je zelf de analytics. Het is juridisch ‘eng’ als je een ander je analytics laat doen, tenzij jij die ander 100% onder jouw contractuele controle hebt (met audits en boetebevoegdheid). En die 100% krijg jij niet voor elkaar bij Google.

          1. Dit is nu precies waar ik me zo aan stoor. De vraag is of het cookie first party is en hat antwoord daarop is ja. Je haalt er dan Analytics zelf bij en dat is niet zuiver. Al helemaal niet omdat het voor Piwik ook geldt omdat je die vrijwel altijd op een extern gehoste webserver draait en dat gebeurt steeds vaker bij grote buitenlandse partijen. Ook daarvoor heb je een goede bewerkersovereenkomst nodig.

    1. Een gegeven kan nooit meer worden teruggeleid naar 1 bezoeker, hoogstens naar een groep van 255 (IPv4) danwel 1.2 quadriljoen (dat zijn 24 nullen).

      Het probleem is dat deze stelling misleidend is. Er is geen sprake van afdoende anonimisering op deze wijze. De stelling is dan en slechts dan juist als je het eerste woord leest als “één”. En daar zit precies het probleem. Google ontvangt niet slechts één analytics cookie, maar een bijkans continue stroom van die dingen. In die stroom is het herkenbaar welke bij elkaar horen. Bijvoorbeeld doordat een analytics cookie referer informatie bevat, of ook door de timing, want er is een kleine kans dat er vanaf al die 255 IP adressen uit hetzelfde blok tegelijkertijd analytics cookies komen. En door de inhoud van een groep cookies in zijn geheel te beschouwen kan de identiteit vaak wel herleid worden. Het triviale geval is natuurlijk dat het eerste analytics cookie referer informatie bevat van een andere website die wel het hele IP-adres exponeerde.

      Als je uit een zin ieder vierde woord weglaat, wordt de zin onbegrijpelijk. Maar als je een uit een boek ieder vierde woord weglaat, kun je het boek nog steeds lezen en begrijpen waar het over gaat. Je kunt simpelweg niet anonimiseren door een klein stukje informatie weg te laten.

      1. Het fundamentele probleem lijkt mij dat ‘persoonsgegeven’ een fundamenteel vaag begrip is. De Wet Bescherming Persoonsgegevens doet er griezelig luchtig over:

        persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon
        Neem eens een willekeurig voorbeeld: als ik een website bezoek. onthoudt de webserver dat in zijn logs. Voor elke pagina, zelfs elk onderdeel van een pagina (bijvoorbeeld een plaatje), zal die log laten zien dat het desbetreffende onderdeel op een gegeven moment vanaf mijn IP-adres is opgehaald.

        Is dat persoonlijke informatie? Dat is heel moeilijk te zeggen: sommige IP-adressen worden door meer dan honderdduizend mensen gebruikt, terwijl andere IP-adressen als je ‘even nadenkt’ maar bij 1 persoon kunnen horen. Op basis van zulke logs kun je, zeker als er cookies worden gebruikt, al snel met een aan zekerheid grenzende waarschijnlijkheid van elke twee web-toegangen zeggen of ze door dezelfde persoon werden gepleegd of niet. Maar volgens de wet zijn dat geen persoonsgegevens totdat je weet welke persoon dat is.

        Vraag 1: wat betekent het dan precies om vast te stellen “welke persoon” dat is? Nemen we (impliciet) daarvoor als criterium gegevens waaronder die persoon bij de overheid bekend is, soals, laten we zeggen, naam en adres volgens wat de gemeenten daarvan menen te weten? Wat als die gegevens niet kloppen? De WBP zegt hier niets over.

        Vraag 2: maakt de toevoeging “of identificeerbare” de bepaling niet volstrekt onwerkbaar? Ja, natuurlijk kan ik van elk van mijn ingangen in mijn webserver-log nagaan wie ervoor verantwoordelijk was: interview de hele mensheid, en bedreig ze met hel en verdoemenis als ze niet toegeven op de desbetreffende tijd de desbetreffende pagina te hebben opgehaald; filter vervolgens de resultaten uit tot wat het meest waarschijnlijk is, en je krijgt een heel aardig beeld. Maar is dat wat de WBP bedoelt met ‘identificeerbaar’? Geen idee.

  2. Hi Arnoud,

    bedankt voor de toelichting. Dus zelf wanneer de eerste kamer de nieuwe wet goedkeurt zijn wij voor de eenvoudige website onderdelen, zoals de Analytics nog geen stuk verder 🙁 Ik vind het nog steeds vreemd dat in andere EU landen, waar het privacywet iets “verder” is, er geen popup’s voor deze toestemming bestaan. Hier is een duidelijke privacy/cookie verklaring voldoende.

  3. Google heeft een zelfcertificering voor Safe Harbor ( http://www.google.com/policies/privacy/frameworks/) en zeggen daarmee zich aan de Europese privacy principles houden; “Google has certified that it adheres to the relevant Safe Harbor Privacy Principles” Op dat moment mag je dus persoonsgegevens opslaan en verwerken, ook als dit niet binnen de EU word opgeslagen.

    De website eigenaar blijft verantwoordelijk voor de data die bij Google wordt opgeslagen, maar overtreedt in mijn ogen geen wet. Zeker niet als je vermeld op de site dat je gebruikt maakt van Google Analytics.

    Of ga ik te kort door de bocht?

    1. Volgens de toezichthouder is Safe Harbor niet genoeg want dat regelt alleen doorgifte en niet wat er daarna gebeurt. Wat er verder gebeurt, moet geregeld met een bewerkersovereenkomst en die is er niet bij Google Analytics. Ook heb je geen garantie dat Google geen andere dingen doet met je persoonsgegevens.

      En hoe dan ook blijft het punt dat de VS eng is, persoonsgegevenstechnisch gezien. Het is dus een ding, persoonsgegevens in de VS opslaan. En hoewel je dat ding kunt regelen met een bewerkersovereenkomst en garanties, kun je dat ding niet als “geen of geringe impact op de privacy” afdoen. En dús geldt de analyticsuitzondering niet.

      1. En dús geldt de analyticsuitzondering niet.

        Dat is een persoonlijke conclusie van Arnoud Engelfriet die lang niet algemeen gedeeld wordt en ook nog niet door de toezichthouders is bevestigd. Er zijn andere specialisten die op basis van even waardevolle argumenten tot een heel andere conclusie komen. Puur op basis van de huidige wet- en regelgeving kun je Analytics zonder toestemming gebruiken, mits je het op de juiste manier ingesteld hebt en de bewerkersovereenkomst hebt geaccepteerd. Alle mitsen en maren en suggesties over het opslaan van gegevens in de VS (wat vaak niet eens waar is met datacenters van Google in Groningen) zijn voorlopig nog subjectieve analyses die niet hard gemaakt kunnen worden op basis van de tekst van de wet of uitspraken van Nederlandse/Europese toezichthouders. Dús geldt de Analytics uitzondering wel.

  4. @Tom Wie zegt dat google geen eigen analytics voert op de content en scripts die van de servers van google wordt geladen tbv. de analytics? De anonymous mode betreft alleen de weergave (en misschien opslag) van de gegevens voor degene die de analytics doet uitvoeren; echter om de scripts te laden in de browser van een bezoeker heeft deze bezoeker een rechtstreekse verbinding met google waarbij het ip adres van de gebruiker (een persoonsgegeven) gecommuniceerd wordt en een cookie van google in de browser van de gebruiker opgeslagen.

  5. Buitengewoon ergerlijk, vooral ook voor mensen die wél geven om hun privacy en daarom tracking cookies willen uitschakelen.

    Ook begrijpelijk, veel websites zijn gratis te bezoeken en verdienen aan de reclame. Een website runnen is niet gratis, dus je staat dan voor de keuze betaalde site te worden of je inkomsten flink te zien dalen. Targetted reclame brengt nu eenmaal meer op.

    Dan moet je je als privacy bewuste surfer maar beperken tot betaalde sites die je niet tracken. Dat die laatste bijna niet bestaan vind ik persoonlijk wel een punt om me aan te ergeren.

  6. Arnoud: Google biedt wel een bewerkersovereenkomst voor Europese ondernemingen/gebruikers van Analytics, de zogenaamde: Data processing amendment to the google Analytics Terms of Service. http://www.google.com/analytics/terms/dpa/dataprocessingamendment_20130906.html “Access to the Data Processing Amendment is available in the Account Settings in the Administration section. Administrators for a Google Analytics account can review the Data Processing Amendment and accept it if they so choose. Once accepted, it is possible to review the contents of the accepted amendment.”

    Of deze bewerkersovereenkomst voldoet aan de eisen van het CBP is niet 100% zeker maar hij is er wel en is dus door gebruikers te accepteren.

    Overigens komt de reactie van Peter S. hierboven overeen met de visie van het CBP In haar onderzoek naar TPVision (de smart TV) schreef het CBP: “De toegepaste maskering van het laatste octet van het IP-adres leidt weliswaar tot verminderde herleidbaarheid (een groep van maximaal 254 verschillende gebruikers), maar er is, door de aanwezigheid van bijkomende gegevens als tijdstip en URL-referrers, gedurende de verzameling van de gegevens door Google, geen onevenredige inspanning nodig om het surfgedrag en appgebruik tot een individuele betrokkene te herleiden. “

  7. Ik vraag mij af of de cookie-wetgeving ook van toepassing is op de diverse Apps die momenteel op miljoenen Smartphones rondzwerven. Ik heb het idee dat het namelijk alleen van toepassing is op websites, maar kan mij vergissen. Een App is immers geen website. (Al hangt er vaak wel een web service aan vast!)

    1. Artikel 11.7a van de Telecommunicatiewet heeft het over de “randapparatuur van de gebruiker”. Als je via elektronische communicatienetwerken gegevens op de randapparatuur van de gebruiker wil schrijven of wil lezen zijn de cookieregels van toepassing. de methode waarmee je leest of schrijft (website, app) dan wel de soort apparatuur (pc, smartphone) waarop je leest of schrijft is dus niet van belang. Het gaat ook niet alleen om cookies, ook het gebruik van conversiepixels en/of j avascript ten behoeve van advertentienetwerken valt bijvoorbeeld onder de werking.

  8. Het probleem dat ik hier zie is dat die bewerkersovereenkomst gaat tussen de aanbieder van de website en Google, maar die aanbieder wordt door analytics-data aan Google te sturen voor bewerking zelf ook bewerker van die data en moet dus ook een bewerkingsovereenkomst met die bezoeker sluiten.

    1. Reinier, jouw veronderstelling klopt niet. Je interpreteert hetbegrip ‘bewerker’ verkeerd. Een bewerker is een derde die in opdracht- onder instructie- en onder verantwoordelijkheid van de Verantwoordelijke (in de zin van de Wbp) de persoonsgegevens verwerkt. Bij Google Analytics is de gebruiker van Google Analytics de Verantwoordelijke en Google de bewerker. De bezoeker (degene van wie de persoonsgegevens verwrerkt worden) is de ” Betrokkene” in Wbp terminologie. De bezoeker is dus geen “Verantwoordelijke”met wie je ook weer een bewerkersovereenkomst zou moeten sluiten.

  9. @ Arnoud Je reactie klopt niet. Volgens de bewerkersovereenkomst tussen Google en de Analytics gebruiker blijft de gebruiker eigenaar van de gegevens en niet Google. Met de juiste instellingen kan Google de gegevens ook niet inzien zonder expliciete toestemming van de eigenaar. In combinatie met ip-anonimisering is er ook niets aan de hand. Verder stel je dat de gegevens geëxporteerd worden buiten de EU maar dat kun je nooit aantonen. het merendeel van de gegevens wordt vanwege performance issues gewoon in de EU opgeslagen, en mogelijk zelfs in rekencentra van Google in Nederland.

    Zelf wordt ik helemaal ziek van het Piwik gepromoot. Die is veel gevaarlijker dan Analytics omdat elke handige webmaster daar vreselijk dingen mee kan doen m.b.t. privacy. Dingen die je met Analytics niet eens kunt,

    1. Kán Google de gegevens niet inzien of zéggen ze dat ze er niet in zullen kijken? De pijn zit hem in het laatste. Ik moet van de Wbp met een audit kunnen nagaan of men werkelijk de gegevens afschermt en uitsluitend voor mij inzet.

      De gegevens komen onder beheer van Google Inc uit de VS. Waar ze fysiek staan, boeit minder. Zodra een Amerikaans bedrijf erbij kan, is sprake van export en dan gelde de extrastrenge regels voor export van persoonsgegevens naar landen zonder adequaat beschermingsniveau voor persoonsgegevens. Dát is er aan de hand.

      IP-anonimisering is een goede stap, maar weet je 100% zeker dat Google het op de achtergrond toch niet individualiseert door combinatie met andere inputs? Stel ik ben ingelogd op Google+ ondertussen, combineren ze dan de GA meting ergens toch met een ID van mij? Ik wéét dat niet en ik kan dat ook niet weten. Maar als je als webmaster GA inzet dan MOET je dat weten want jij bent verantwoordelijk voor de persoonsgegevens en voor wat je bewerkers ermee doen. Dus nou ja, leef je uit maar JIJ krijgt de boetes als Google “oeps ah ja wij lazen die wet iets anders” zegt straks.

      En ja, met Piwik kun je hele enge fingerprinting tracking en dergelijke doen. Maar dat mag niet dus dat moet je uitzetten als webmaster. Of uitdrukkelijke toestemming van je bezoekers hebben. Net als bij bv. heatmapsoftware die je op je site wilt loslaten. Ik vind dat wel een andere discussie dan de vraag of Google legaal is.

      1. Ik vind je argumentatie teveel gebaseerd is op dingen als “ze zeggen het wel, maar doen ze het ook”? Daar kan ik echt niets mee en daar is de markt ook niet mee gediend. Als ze formeel aan de voorwaarden voldoen dan moeten we het gewoon kunnen gebruiken. Ook als een gebruiker expliciet toestemming zou moeten geven voor zo’n Analytics cookie zullen jouw bezwaren blijven bestaan.

        Laten we Analytics onder de gewijzigde wet gewoon op de goede manier gebruiken, daar streng op controleren én Google heel erg streng controleren; daar is de markt mee gediend. En laten we onze energie steken in het bestrijden van remarketing en retargeting en het profileren van gebruikers met Comscore zoals de NPO dat wil doen. Daar zitten de grootste privacy gevaren voor de gebruikers en vaak zonder dat ze het in de gaten hebben.

        1. Ik vind je argumentatie teveel gebaseerd is op dingen als “ze zeggen het wel, maar doen ze het ook”? Daar kan ik echt niets mee en daar is de markt ook niet mee gediend.

          De markt is daar juist wel mee gediend. Ze kunnen wel roepen dat ze het goed doen maar je weet het gewoon niet. Zo weet je ook niet of de overheid van de VS niet bij deze gegevens kan (zeker niet zolang er geen uitspraak is in die zaak van Microsoft). Daarnaast kan je ook helemaal niets meer doen als ze het toch verkeerd doen. Je kan dan de gegevens niet meer terug halen bij de Amerikanen.

          Dat er ook iets gedaan moet worden aan remarketing en retargeting ben ik het helemaal mee eens, maar het één sluit het ander niet uit.

          1. Op basis van zo’n argumentatie kunnen we niet gaan werken. Stel ik heb een opdrachtgever die wil dat ik een NDA onderteken waarin ik beloof dat ik niets doe met de gegevens van zijn klanten en deze met niemand deel. Ik onderteken het contract en dan zegt de juridisch adviseur van die opdrachtgever; “dat heb je nu wel getekend, maar ga je je daar ook aan houden?” Dat gaat natuurlijk niet werken. Als Google Analytics met de juiste instellingen formeel voldoet aan de wet- en regelgeving (en dat is nu zo!) dan is er geen enkele reden om het niet te gebruiken. Zeker niet op basis van vage risico’s die eventueel mogelijkerwijs in de toekomst zouden kunnen gebeuren. In het geval van Analytics gaat het namelijk ook nog eens om anonieme statistische gegevens waar eigenlijk niemand buiten de websitebeheerder iets aan heeft. Veel erger is het bij het profileren van Comscore en daarom zou ik ook graag eens je mening hierover willen weten: Comscore en NPO

            1. Er is een heel reëel risico dat de Amerikaanse overheid de data bij Google kan gaan opvragen, tenzij de zaak van Microsoft een andere uitkomst krijgt. Google kan dan wel beloven dat ze het niet zullen doen maar je weet dan dat ze dat niet waar kunnen maken.

              Daarbij vind ik dat er daadwerkelijk een verschil is tussen één webmaster die z’n piwik installatie heel privacy onvriendelijk heeft ingesteld of Google die vrijwel het hele internet beheerst. De potentiële risico’s vind ik bij Google vele malen groter.

              Natuurlijk is comScore veel erger en wat mij betreft zou er ook gewoon en verbod moeten komen op het profilen van gebruikers, een verbod op het volgen van gebruikers en het combineren van gegevens van meer dan 1 url. Die ene url is dan de url van de pagina zelf (dus geen gedonder met iframes en externe js).

              Er is altijd wel iets ergers te bedenken (zo is Ebola wat mij betreft weer erger dan comScore) maar dat betekent niet dat je het dan maar moet laten rusten. Je kan elk probleem apart aanpakken.

              1. Bedankt voor je reactie NP. Ik heb het idee dat we niet eens heel veel van mening verschillen als het gaat om het interpreteren van de huidige regels en de wens om profiling gewoon te verbieden. Waar we in verschillen is het beoordelen van de risico’s en de gevolgen daarvan voor het gebruiken van een bepaald systeem. Persoonlijk vind ik Piwik in handen van een grote Nederlandse uitgever met tientallen of zelfs honderden websites ‘enger’ dan Google Analytics, maar ik kan me voorstellen dat iemand anders daar een andere mening over heeft. Het is goed dat die verschillen er zijn, ook om elkaar scherp te houden. Maar uiteindelijk is het wel een afweging die iedereen zelf moet kunnen maken lijkt me.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.