De Norwegian Data Protection Authority stelt op basis van nog lopend onderzoek dat Google Analytics mogelijk illegaal is, aldus Tweakers afgelopen vrijdag. Wij moeten het doen met een omineus zinnetje in een handleiding over Google Analytics, terwijl ze in Oostenrijk al een formeel besluit hebben liggen. Maar de teneur is duidelijk: ik zou gaan stoppen met Google Analytics en naar een alternatief overstappen, tenminste als je AVG compliant wilt blijven.
Het lijkt erop dat alle Europese privacytoezichthouders samen bezig zijn met onderzoeken naar Google Analytics. Of er dan onderlinge strijd is en het “tegen”-kamp alvast besluiten neemt, of dat Oostenrijk gewoon eigenwijs was, dat weet ik niet, maar we zien duidelijk de bui hangen. Google Analytics is een probleem onder de AVG, omdat je door die dienst in te zetten persoonsgegevens naar Amerika overbrengt. En dat mag niet.
Mocht je andere analytics-tools inzetten, dan zou ik die ook maar héél goed onder de loep nemen. De Noorse waakhond richt namelijk niet alleen zijn pijlen op Analytics:
Het is belangrijk om op te merken dat andere websitetools mogelijk ook persoonlijke informatie naar de VS sturen. Er zijn meer tools die veel meer data verzenden dan Google Analytics. Daarom is het belangrijk dat website-eigenaren een volledig overzicht hebben van welke tools ze gebruiken en welke persoonlijke informatie ze verwerken via de tools.Het belangrijkste punt is natuurlijk, ongeacht de tool: komt er handhaving? Want we weten eigenlijk -als we eerlijk zijn- al vele jaren dat dit een probleem is. Niet zozeer dat Google Analytics zó veel gegevens verzamelt, of dat het zo indringend profileert, maar dat we dan allerlei gegevens aan het grote Google geven die daarmee doet wat niemand weet. Alleen is deze tool ondertussen ook weer zo handig voor webmasters, dat “oh dan stop ik er wel mee” geen reële reactie is voor velen.
Tot nu toe lijkt handhaving vooral een kwestie van grote belangen en dus langdurige procedures te zijn geweest. GA is een tool die bij organisaties groot en klein gebruikt wordt, dus dan lijkt me dat geen wenselijke route. Een verbod en pas drie jaar later de eerste boete-aanzegging, dat kan niet bij iets dat zó breed gezien wordt als gewoon de tool om te hebben.
Ik ben dan wellicht te techno-optimistisch, maar denk dan: scrape heel Nederland, en stuur iedereen met een Google Analytics-tag in de broncode een voornemen tot beboeten met de kans om binnen 30 dagen te reageren waarom GA wél legaal is ingericht. (Ik zou niet weten hoe, maar wettelijk moet je dat vragen.)
Die boete hou je dan op 5000 euro, met wel een stevige dwangsom als het ding blijft draaien. Dat is ook voor grote bedrijven de moeite niet om te gaan procederen, maar berekenend “we betalen de boete en gaan door” reageren ook geen optie. Want zo werkt dat niet in rechtsstaten: een boete is geen afkoopsom.
Afijn, een mens kan dromen, nietwaar?
Arnoud
Ik vraag me dat dan ook af voor Google Tag Manager en Google Fonts (zie https://rewis.io/urteile/urteil/lhm-20-01-2022-3-o-1749320/)…
Het zelfde lijkt mij. Recent nog heeft een Duitse rechter gezegd dat je gebruikers naar Google sturen voor Fonts in strijd is met de AVG:
https://www.theregister.com/2022/01/31/websitefinegooglefontsgdpr/
Waar ik dan wel weer om moet lachen want er zijn al artikelen uit 2019 die je aanbevelen om zelf fonts te hosten omdat je dan wel legaal bezig bent:
https://complianz.io/google-fonts-and-gdpr-does-it-work/
Wat dacht je van alles wat er gehost is op Google Cloud? Google zit op zoveel manieren in ons dagelijks level verweven, op een veel hoger niveau dan een Facebook of Apple, dat als ze al die informatie combineren (En waarom zouden ze niet?) ze angstaanjagend veel informatie over iedereen ter beschikking hebben.
Voor de partijen die het zelf kunnen/willen hosten kun je kijken naar bv Matomo. Deze lijkt mij in de basis legaal (immers geen data naar “buiten”).
En op het werk hebben we iets dat we aanbieden aan gebruikers dat ook gratis is en in Nederland staat en als alternatief kan dienen https://www.jouwstats.nl/ . Zo zijn er vast nog meer alternatieven te vinden.
Voor veel organisaties is dit geen optie. Google Analytics is zodanig verweven in het marketing landschap, dat je t niet eenvoudig kunt vervangen. Denk aan koppelingen met Google Search Console, Google Ads en andere non-google platformen die bouwen op Google Analytics data.
Moet je eens zien hoe snel dat gaat veranderen als voor heel Europa ineens eenduidig wordt verklaard dat alle Google embeds illegaal zijn op webpagina’s.
Helaas gaat het gegarandeerd ontbreken in het stukje ‘eenduidig’. Ik droom ook van een oplossing als die Arnoud schetst in zijn artikel. Doe dat dan gelijk gecoördineerd vanuit alle Europese toezichthouders en pak elke maand een ander populair stuk embedded meuk uit de VS.
Na enkele boetes wordt dat een heel simpele. Ik zie een marketing afdeling het dan echt niet uitleggen aan de grote baas en het juridisch departement.
Trouwens een nieuwsbericht daarover is ook geen goede marketing.
Een aandeelhouders vergadering kan dan ook leuk worden.
Gaat dit niet om het feit dat je nu Analytics mag gebruiken als ‘functioneel’ en dus geen toestemming hoeft te vragen? Dus als je het gebruikt zul je in de toekomst toestemming moeten gaan vragen, het is niet perse verboden?.
Want anders zou je ook de advertentienetwerken van Google (en facebook etc) niet mogen gebruiken (wat nu niet mag zonder toestemming). Deze brengen ook persoonsgegevens over naar Amerikaanse bedrijven en zijn daar nog minder geheimzinnig over dan Ananlytics.
En als het om die reden verboden word, wat te denken over Discord, Cloudflare, AWS, GCP, Azure etc?
En als dit de reden is moeten sites dan: 1. Opnieuw toestemming vragen om dit wel te regelen? 2. Beschikbaar zijn als de toestemming wordt geweigerd en dan zonder deze statistieken werken?
Dit gaat hem niet worden. Het faalt makkelijk op de vereiste dat er geen minder inbreukmakend alternatief moet zijn. Het analyzeren van logs kan ook gewoon met eigen tools gebeuren, niet met gratis tools zoals Google Analytics (Google verkoopt/verkocht) ook zo’n too.
Het lijkt er op dat ‘persoonsgegevens’ gaat om een combinatie van je Useragent + IP adres. Als je je huidige Analytics meting (welk pakket dan ook) via een eigen server (in de EU) richting je vendor stuurt, maar dan wel even de Useragent en IP er uit haalt ben je een heel eind. De anonimiteit van je bezoeker is dan gewaarborgt omdat zijn apparaat niet meer rechtstreeks verbinding maakt met de Analytics servers en er dus weinig te profileren is.
Het IP zou je er nog uit kunnen halen, of voorzien van een generiek ip per land zodat je op land-basis nog stats hebt, maar de user-agent is zo generiek en bruikbaar voor stats dat je daar echt niet iemand mee gaat kunnen tracken, tenzij diegene vreemde dingen met zijn eigen useragent doet.
Een groter probleem zijn cookies, dus doorsturen met generiek ip en zonder google cookies lijkt mij dus beter.
Of gewoon zelf hosten van je analytics package. Er zijn ook vast wel Europese SaaS alternatieven, al zullen deze vast niet even goed geïntegreerd zijn in andere tools dan GA.
https://plausible.io/ is EU hosted en beweert AVG/GDPR proof te zijn en is in ider geval niet zo baggertraag voor je site ala GA
Als Google het dan zo aanpast dat de persoonsgegevens van Europeanen (of op Europa gerichte sites?) alleen bij Google servers in Europa terecht komen is het opgelost?,
Plus nog een stap: een Europees bedrijf dat die servers in eigendom en in beheer heeft. Want een US-owned kast in Duitsland kan via Amerikaans recht ingezien worden vanuit ze Joenaited Steets.
CLOUD act. Amerikaans bedrijf. Geen oplossing dus.
Ik heb het kort gebruikt, en nog nooit het nut ervan gezien. Je Nederlandstalige site wordt relatief veel gelezen vanuit Nederland, en ook wat uit België, en zelfs in Suriname en op Curação zijn er bezoekers. En Zuid-Afrika! Wie had DAT nou verwacht? Nee, hier kunnen we het contentbeleid op afstemmen en de gebruikerservaring verbeteren! Daar waren we zonder Google Analytics nou echt nooit achter gekomen, toch? Zeg nou zelf.
Net zo iets als SEO. Als je gewoon schrijft wat je te zeggen hebt, dan vindt Google dat. Geen SEO nodig. Nodeloze bangmakerij en geldklopperij.
En Google zelf is ook superdom, want als je een sitemap maakt, volgens hun eigen specs, met de recente wijzigingen bovenaan met een duidelijke datum, dan blijven de robotjes van Google TOCH gewoon herhaald content checken die al vier jaar niet gewijzigd is. Handig?
Uitdaging maakt slim, maar succes maakt lui en arrogant. Google is het Microsoft van nu, is het IBM van heel lang geleden.
Kan iemand me kort samenvatten hoe dan?
Is het niet gewoon alleen maar dat het mode is om dit te hebben, omdat iedereen zegt dat dat moet? Terwijl in werkelijkheid NIEMAND er iets nuttigs uithaalt of mee doet?
Ik ben zelf al jaren geen gebruiker meer van analytics maar je kunt met GA (en andere analysetools) bijvoorbeeld duudelijk inzien welke browsers, versies, besturingssystemen, adblockers, schermresoluties en dergelijke je bezoekers gebruiken. Dat is onwijs handig om te weten waar je front-end ontwikkelaars zich op moeten focussen. Ook kun je zien hoe snel je website laadt voor je gebruikers. Verder kun je de effectiviteit van reclamecampagnes of eventuele viral effecten zien doordat je kunt zien waar je bezoekers vandaan komen. Je marketing afdeling zal je onwijs dankbaar zijn, al is dat ook gewoon interessant om te weten als je een kleine partij bent. (Komen mensen binnen via Github, mijn Tweakers handtekening of vanaf Google?) Het allerbelangrijkste nog nog dat je de flow van bezoekers op je website kunt volgen. Bij welke stap in het aankoopproces haakt men af? Welke links in je menu worden nooit gebruikt (en kun je dus beter ergens anders heen verplaatsen zodat je andere dingen op deze zichtbare plek kunt zetten.) Vanaf welke website komt men het meeste wanneer zij daadwerkelijk geld uitgeven, daar wil je dan meer advertenties plaatsen.
Ik snap een deel van die tracking echt wel. Ik zet ook vaak juist analytics aan voor software (ja echt!) waar ik enig vertrouwen in heb (zoals bijvoorbeeld Firefox) omdat het echt onwijs waardevol is voor ontwikkelaars. Wat ik niet snap is waarom dat allemaal perse in de cloud moet en waarom cross website tracking moet bestaan, dat mag van mij per direct verboden worden.
Vind ik niet. Als je volgens standaards werkt, en daar ook op controleert, bijv. met https://validator.w3.org/, dan is focussen niet nodig, want het hoort overal en altijd te werken. Zo niet, dan deugt dat platform, die browser, enz. niet, en dat hoef je als webbouwer niet op te lossen.
Ook van resoluties e.d. moet je je niet afhankelijk willen maken. Het moet gewoon altijd werken en dat kan ook.
Ook niet interessant. Want als je schone code schrijft, en niet elke webpagina laat beginnen met 5 kilometer nauwelijks gebruikte Javascript-code, en dat dan weer niet laat laden met geïnterpreteerde PHP o.i.d., dan is het antwoord altijd: heel snel.
Mocht het toch traag worden doordat je 10.000 gelijktijdige bezoekers op één kleine server hebt, dan kan je nginx gaan gebruiken en/of wat meer en zwaardere server inzetten, met load balancing.
Dus ik blijf erbij: Google Analytics is helemaal niet nodig, het is alleen mode en een hype.
Ga maar eens een webshop draaien zonder goed inzichtelijk te hebben waar je bezoekers vandaan komen en opleveren, waar de knelpunten in je site zitten etc. Welke browsers zijn het nog wel/niet meer waard om voor te ontwikkelen etc. Google heeft het slim gedaan door een gratis pakket neer te zetten met veel inzichten, wat ook weer goed integreert met andere gratis en marketing oplossingen als optimize en ads, waardoor zo’n beetje iedereen ‘afhankelijk’ aan het worden is van die oplossingen.
Oké, ik vertel het je: je bezoekers komen uit Nederland, en hier en daar wat uit België en Duitsland in de grensstreek. En nu? Hoe ga je hier beleid op maken?
Die vind je door goed te testen, en door je bezoekers een laagdrempelige feedbackmogelijkheid te bieden.
Een goede webbouwer ontwikkelt niet “voor” bepaalde browsers. Dat is beleid van 20 of 30 jaar geleden, toen de Netscape versus Explorer-oorlogen nog woedden. Anno jaren 20 hou je je aan standaards en je controleert dat, en goede browsers doen het dan goed. Zo niet, dan deugt die browser niet, en jouw site wel.
Ik zie nog steeds het nut niet van Google Analytics. Ik denk dat het een hype is: iedereen praat elkaar na, en niemand denkt na of het wel echt nodig en zinnig is.
Heel menselijk. De waan van de dag. Alle neuzen één kant op. Het is van alle tijden. Maar daarom klopt het nog niet automatisch.
Zo’n vijf jaar geleden werkte ik nog bij een Nederlandse webshop (± 3500 pakketjes per dag waarvan ±1000 buiten NL). Uiteraard hielden we ons aan de standaarden, maar er waren toch browsers die het niet toonden zoals zou moeten, bijv. oude Internet Explorer. Google Analytics liet ons zien dat deze (helaas) toch nog veel gebruikt werd door onze klanten, waardoor we de website ook voor die gebruikers bruikbaar moesten houden.
En juist voor een webshop die zich ook op het buitenland richt, is het nuttig te zien waar de klanten vandaan komen, en welke campagnes dus zin hebben. Wat die feedback betreft, die geven bezoekers hooguit als ze hun aankoop niet kunnen doen en het artikel niet bij de concurrent kunnen vinden, maar niet als ze de site traag vinden of onhandig (doordat de browser ‘m niet zo laadt als wij ‘m bedoeld hadden). De meesten gaan gewoon naar de concurrent.
Knelpunten vind je niet altijd door goed te testen, want je weet zelf hoe je je site bedoeld hebt. Als je echter bezoekers massaal ziet afhaken op een bepaald punt, dan is dat toch echt een knelpunt. Een voorbeeld. Ik heb ook ooit bij een verzekeraar gewerkt. Om de premie te kunnen berekenen, werden aan de hand van het kenteken de gegevens van de auto opgehaald. De widget om het kenteken in te voeren, vroeg ook om de meldcode. Die hadden we immers nodig voor het afsluiten. Bij het testen voerden we een aantal kentekens en meldcodes in, site gaf gegevens van de auto, premie werd berekend, werkte prima! In de praktijk bleken veel bezoekers na het invoeren van het kenteken af te haken, als ze de meldcode in moesten vullen. Die hadden ze blijkbaar niet bij de hand omdat ze zich nog aan het oriënteren waren. Voor de premieberekening was de meldcode ook niet nodig. Door dat inzicht hebben wij de website aangepast om op dat punt de meldcode nog niet te vragen, waardoor de doorstroming verbeterde. Natuurlijk hadden we dat van te voren kunnen bedenken, maar zonder gebruik van tools als Google Analytics hadden we het niet achteraf kunnen constateren.
Dat is een mooi standpunt. In theorie.
In de praktijk verschilt de implentatie van die standaarden enorm tussen browsers en verschillende versies van browsers, en als er iets bij de bezoeker niet werkt in zijn/haar versie van Internet Explorer 8 die hij niet kan of wil updaten, dan is in zijn/haar beleving jouw schuld. Als je een hobby-pagina beheert is dat geen probleem, maar als jouw bedrijf afhankelijk is van het functioneren van de website, dan wil je niet dat je potentiële klanten naar de concurrent gaan omdat die wél de moeite neemt om te kijken met welke browser de bezoeker aankomt en zorgt dat de website daar correct op werkt.
Nee, dat is het antwoord niet. Misschien is de server waar je website op gehost wordt, niet snel genoeg gedurende verschillende perioden van de dag. Misschien heeft één van je medewerkers een paar te grote afbeeldingen geüpload die een bepaalde sectie traag maken. Misschien laden de pagina’s redelijk snel, maar duurt het lang voordat de browser de pagina kan weergeven omdat het lang duurt om deze in te delen. Misschien is er één specifiek noodzakelijk script dat onbedoeld heel traag uitvoert. Misschien gaan je bezoekers weg als ze moeten wachten terwijl je productpagina wordt ingeladen, terwijl je ze met een simpele animatie of door het inladen van minder producten per pagina, vast kunt houden. Misschien heb je veel bezoekers uit een regio waar geen snel internet beschikbaar is, of wordt jouw dienst vooral onderweg gebruikt op slechte 3G-verbindingen.
Allemaal dingen die je niet gaat weten zonder te meten. Een winkelier of restaurant-houder kijkt ook naar wie de klanten zijn, en past zijn zaak en aanbod daarop aan. Daar zeg je ook niet tegen “als jij gewoon een beetje goed kookt, of een beetje goede producten verkoopt, dan hoef jij helemaal niet te weten wie je klanten zijn.”
Het concept van web analytics bestaat inmiddels al sinds de jaren ’90, en Google Analytics is ook al een jaar of 16 oud. Wellicht dat je niet per sé het pakket van Google hoeft te gebruiken (al is de lijst van alternatieven magertjes), maar het concept van web analytics ‘mode’ of een ‘hype’ noemen, is pertinent onzin.
Ha! Ik zet één cookie, alleen op eigen verzoek, voor kleuren, en heb al die analyse-, tellingen- en reclamerommel al jaren geleden rigoureus verwijderd.
O wacht, ik lieg, ook cookies voor woordenboekzoekprofiles. Als de gebruiker dat wil. https://rudhar.com/lingtics/intrlnga/cgi-grep/modempia.htm#Profilos
Ook bij het Europese bedrijf is het nog niet een legitiem belang om een gratis tool te gebruiken door de persoonsgegevens van je gebruikers door te geven. Ik zie ook niet hoe het kan zonder verwerkersovereenkomst.