Tag: Google Analytics

About Google Analytics

Subscribe Feeds

Franse privacytoezichthouder biedt oplossing voor gebruik Google Analytics

Geplaatst op in Ondernemingsvrijheid, Privacy, 16 reacties

Websites in Frankrijk kunnen met Google Analytics blijven werken, maar moeten dan wel van een goed geconfigureerde proxy gebruikmaken, zo las ik bij Security.nl. We weten al een tijdje dat Google Analytics best problematisch is onder de AVG, omdat het structureel persoonsgegevens overbrengt naar Amerika. Tijd om ermee te stoppen dus, maar voor wie nog een paar jaar geld wil betalen om zijn hoofd in het zand te steken, is er nu een juridisch-technisch correcte oplossing.

Sinds het Schrems II-arrest weten we dat persoonsgegevens overbrengen naar de VS erg problematisch is, omdat de VS fundamenteel niet dezelfde soort bescherming van persoonsgegevens wil bieden. Het Privacy Shield is daarmee geen goede basis om zomaar aan te mogen nemen dat je een Amerikaanse clouddienst (zoals Google’s Analyticsdienst) mag inzetten.

Ook helpt het niet als je de verschillende pseudonimisering-opties instelt, zoals we in Nederland gewend zijn te doen op advies van onze Autoriteit Persoonsgegevens. Ook dan komen er nog tot personen te herleiden gegevens bij Google, die ze waarschijnlijk combineert met andere gegevens – of in ieder geval ze opslaat in de VS. En alleen dat al is een probleem.

“Hoewel Google verschillende maatregelen heeft opgesteld om dataverzending naar andere landen te reguleren, zijn deze niet voldoende om de toegang door Amerikaanse inlichtingendiensten te beschermen”, schreef de Franse toezichthouder in februari nog. Onze AP meldde toen dat het gebruik van Analytics ‘mogelijk binnenkort niet meer is toegestaan’, hoewel dat binnenkort dus wat rekkelijk moet worden opgevat.

De CNIL is technisch gaan brainstormen en komt nu met de oplossing van een anonimiserende proxy. Kort gezegd, alle Analyticsverkeer wordt geforceerd naar een eigen server gestuurd waar werkelijk álles wordt gestript. En pas daarna gaat het naar Google, zodat je toch mooie statistiekjes en plaatjes kunt krijgen in je dashboard. (De waarde van deze gegevens voor marketing laat ik buiten beschouwing).

Dat álles is echt nogal veel:

  • the absence of transfer of the IP address to the servers of the measurement tool;
  • the replacement of the user identifier by the proxy server;
  • the deletion of the referring site information external to the site;
  • the deletion of any parameter contained in the URLs collected (e.g. UTMs and URL parameters allowing the internal routing of the site);
  • the reprocessing of information that can participate in the generation of a fingerprint , such as ‘user agents’, to remove the rarest configurations that can lead to re-identification;
  • the absence of any collection of cross-site identifiers; and
  • the deletion of any other data that may lead to re-identification.
De proxy die dit doet, moet fysiek in Europa staan en in eigendom én beheer zijn bij een Europese partij. En je moet periodiek controleren dat je écht geen indirect identificerende gegevens doorstuurt. Want de CNIL ziet ook risico’s bij situaties dat je IP-adressen weglaat, getuige de verwijzingen naar user-agent strings en andere parameters waarmee je alsnog server-side fingerprints kunt samenstellen.

Mocht u nu denken, wat een enorm gedoe, wat gaat dat wel niet kosten: ja precies. Dus vraag meteen een offerte aan uw webbouwer voor het integreren van een alternatieve oplossing zoals Piwik of Matomo.

Meelezende marketingmensen en andere Analyticslovers: waarom Google Analytics?

Arnoud

Duitse website veroordeeld voor doorgeven ip-adres bezoeker via Google Fonts

Geplaatst op in Ondernemingsvrijheid, Privacy, 43 reacties

Een Duitse rechtbank heeft een Duitse website veroordeeld voor het zonder toestemming doorgeven van het ip-adres van een bezoeker aan Google door middel van Google Fonts. Dat meldde Security.nl afgelopen maandag. De klagende bezoeker krijgt 100 euro schadevergoeding. Volgens de rechter heeft de website geen gerechtvaardigd belang, aangezien Google Fonts ook lokaal is te gebruiken waarbij er geen ip-adres van bezoekers naar Google wordt gestuurd. Exit Google Fonts?

De dienst Google Fonts is bedoeld om website-eigenaren makkelijker mooie lettertypes te kunnen laten serveren. Natuurlijk kan iedereen eigen fonts op de eigen site zetten, maar dan blijf je downloaden. Google zet ze centraal neer (fonts.googlea.com), en dan onthoudt je browser welke fonts al gedownload. Dat scheelt, en als er updates zijn (een ontbrekend karakter, een nieuwe emoji, noem maar op) kan dat op één plek doorgevoerd.

Nadeel: je browser maakt dan verbinding met een site van Google, waardoor die je IP-adres te pakken krijgt. En -als ik even snel in mijn eigen cookiejar kijk- ook analyticscookies en andere gezellige trackers, die ongetwijfeld gecombineerd zijn met mijn Google-profiel en ander online gedrag. Dit ter verbetering van de gebruikerservaring, veronderstel ik.

Dit is dus een probleem, om dezelfde reden als waarom Google Analytics een probleem is. Als website forceer je zo dat mensen hun persoonsgegevens (IP-adres en/of cookie) naar Amerika gaan. En hier is er ook een eenvoudig alternatief, aldus de rechtbank: je mag die fonts gewoon lokaal hosten. Je hebt dan wel een beetje overhead en extra downloads, maar toen ik dat schreef twee alinea’s terug zat ik ondertussen te Netflixen met Spotify aan én een AI model te renderen dus ik twijfelde al of ik dat nog wel een serieus argument vind in 2022.

De rechtbank bevestigt nog eens dat een IP-adres een persoonsgegeven is, ook als het “maar” dynamisch is. Gecombineeerd met datum en tijd is het gewoon het adres van een persoon – de netsurfer – en zeker voor Google, die het zo kan koppelen aan nog veel meer gegevens. En dat alles dus zonder toestemming en zonder goede reden (gerechtvaardigd belang).

In de comments bij Security.nl wordt gewezen op moderne beveiligingsmaatregelen in Firefox, waarmee je sowieso al niet meer profiteert van centrale opslag: fonts worden opnieuw opgehaald vanaf de Google-site bij iedere nieuwe site, zodat er niet één centraal overzicht komt voor de beheerder van de Google Fonts site. Wat dus specifiek bij Google niet werkt, maar bij andere meegluurders wel.

De 100 euro is een interessante opsteker voor de vele AVG-schadeclaimverzoekers. Heel hard wordt het niet onderbouwd:

The amount of the claimed damages is appropriate in view of the seriousness and duration of the infringement and is not challenged by the defendant.
Oftewel, “mja dat klinkt niet onredelijk en ik hoor ook geen serieus bezwaar van de website-eigenaar”.

Arnoud

Overheidssites scheppen verwarring met cookies van Google Analytics

Geplaatst op in Privacy, 19 reacties

Maar liefst 20 procent van alle sites van de rijksoverheid maakt gebruik van de analysesoftware van Google, las ik in de Volkskrant. Alex Bik van zakelijke internetprovider BIT onderzocht de bijna 1.200 websites van de Rijksoverheid op het gebruik van Google Analytics, de software van Google waarmee sitebeheerders het bezoek aan hun sites kunnen analyseren, en vond dat 236 sites deze dienst inzet. Dat is opmerkelijk, omdat er genoeg privacyvriendelijke alternatieven zijn die zelfs door de overheid worden gepromoot. Maar is het verboden?

In de kern komt de zorg van Bik erop neer dat er áltijd data naar Google gaat als je hun Analytics-dienst inzet, en dat is raar als het gaat om overheidswebsites. Als ik als burger de Nederlandse overheid bezoek, hoort niets van mijn bezoek bij een commerciële Amerikaanse partij terecht te komen, zou je zeggen.

Natuurlijk mag de overheid best meten hoe hun sites worden gebruikt, zodat ze deze kunnen verbeteren of leren waar mensen tegenaan lopen. Maar daarvoor is het hele geweld van Google Analytics niet nodig, er zijn genoeg alternatieven. Er is zelfs een standaard platform gebouwd dat met het vriendelijker, first-party analytics systeem Piwik werkt. Maar dat wordt slechts zeer beperkt ingezet, mede vanwege de wildgroei aan webbouwers die voor de overheid aan de slag is gegaan.

In theorie kan het best legaal zijn, ook wanneer de website geen toestemming vraagt voor de Analytics-cookies. Wanneer je als dienstverlener Analytics privacyvriendelijk configureert, voldoe je aan de richtlijnen van de Autoriteit Persoonsgegevens (en de uitzondering uit de cookiewet) en wordt je Analytics als “geen of geringe inbreuk op de privacy” aangemerkt. In dat geval is geen toestemming nodig – en is, althans op papier, Google niet toegestaan om die gegevens verder te gebruiken.

Het is precies dat “althans op papier” waar Bik terecht bezwaar tegen maakt. Want hoe zien wij dat? Er is bijvoorbeeld een vinkje in het Google Analytics dashboard nodig dat bepaalt dat data niet met andere Google diensten mag worden gedeeld. Van buitenaf is het onmogelijk om na te gaan of dat vinkje is gezet. Je moet de opsteller van de privacyverklaring maar geloven dat dit werkelijk zo doorgevoerd is. Ik vind dat best wel een grote stap, zeker bij een overheidsdienst.

Arnoud

Wat mag er nu de cookiewet wordt versoepeld?

Geplaatst op in Privacy, 21 reacties

cookie-bril.jpgHet voelt een tikje als verplicht nummer, deze blog, maar goed. De versoepelde cookiewet is aangenomen in de Eerste Kamer. Nu is het alleen nog even wachten op inwerkingtreding, maar dan zal het toegestaan zijn om niet-functionele cookies te plaatsen zonder toestemming te vragen zolang het gaat om cookies die “geen of slechts geringe” inbreuk op de privacy maken. Dus ook analytics, en tot mijn verrassing zélfs Google Analytics.

Al sinds de invoering heeft iedereen een hekel aan de cookiewet. Jammer ergens, want het was een goed idee, ze hadden alleen cookies uit moeten zonderen. Het principe is namelijk best sympathiek: geen data zetten op mijn apparatuur zonder mijn toestemming, en geen data uitlezen ook niet. Maar toen kreeg iemand het in zijn hoofd dat cookies ook ‘data’ zijn en toen zei iemand, dat is handig want cookies zijn privacyschendend en spyware en tracking en OMGWTFWBP daar moeten we wat mee. Vandaar.

Het idee was daarbij ook nog eens dat iedereen door de cookiewet zou denken “oei, toestemming vragen is moeilijk, laten we maar zonder tracking en zonder Analytics gaan werken”. Niet dus: dat werd de bekende domme oplossing van het de gebruiker vragen terwijl die geen idee heeft waar het over gaat. Binnen een mum van tijd stond het web vol met popups waar je een door een jurist opgestelde tekst (“Deze website wenst ‘cookies’ te plaatsen, conform artikel 11.7a Telecommunicatiewet is daarvoor specifieke, vrije en geïnformeerde toestemming nodig”) moest lezen en dan “ja” of “nee” kon kiezen. Hoewel vaker je alleen “ja” of je Back-button kon kiezen – de cookiemuur.

Na veel ophef, met name over cookiemuren bij de publieke omroep, is er dan toch gekozen voor een wettelijk compromis: je mag nu zonder toestemming cookies plaatsen die de privacy niet of slechts een klein beetje schenden én je dat doet voor het doel “informatie te verkrijgen over de kwaliteit of effectiviteit van een geleverde dienst van de informatiemaatschappij.” Analytics dus.

Ook die van Google? Nee, dacht ik altijd: Google is eng-Amerikaans en doet niet aan privacy, dus dat is meer dan “geringe gevolgen” voor de privacy. Bij dit wetsvoorstel is daar verder niet op ingegaan, maar recent publiceerde het Cbp een handreiking over hoe je je aan de privacywet kunt houden en toch Google Analytics kunt inzetten. Je moet vier stappen nemen:

  1. Accepteer het “Amendement gegevensverwerking” in je Analytics-account (‘Beheer’ > ‘Account instellingen’ en dan helemaal onderaan);
  2. Blokkeer het meezenden van volledige IP-adressen (ga('set', 'anonymizeIp', true);) en forceer als je toch bezig bent even SSL (ga('set', 'forceSSL', true););
  3. Zet het delen van gegevens met Google uit (‘Beheer’ > ‘Account instellingen’ en dan vier instellingen uitvinken);
  4. Informeer je bezoekers in een cookieverklaring of privacyverklaring over je gebruik van Google Analytics.

Hiermee is je gebruik van Google Analytics zo privacyvriendelijk mogelijk, en onder de Wbp is het dan oké via de “eigen dringende noodzaak”-uitzondering. En kennelijk vinden we het in die situatie dan ook oké om te spreken van een “geringe inbreuk op de privacy”, zodat je je popup weg kunt laten als je daarmee werkt.

Ga je mensen over meerdere sites heen tracken dan blijft de cookiewet van kracht: dat valt buiten het doel “informatie over kwaliteit of effectiviteit” en bovendien is dat écht wel een meer dan geringe inbreuk op de privacy. Hetzelfde geldt voor andere analytics-achtige tools waarbij je wél IP-adresgebonden informatie logt en analyseert.

Oh, en als je een instelling bent die op grond van de wet is opgericht dan mag je geen toestemming eisen voordat mensen op je site mogen. De Publieke Omroep werd hier een tijdje terug nog voor beboet, maar nu geldt het dus formeel voor álle openbare instellingen. Private bedrijven en organisaties mogen wel cookiemuren hanteren, omdat daar concurrentie voor bestaat.

Afijn. Ik ben benieuwd hoe dit in de praktijk gaat uitpakken.

Arnoud

Mag mijn werkgever Google Analytics op het intranet zetten?

Geplaatst op in Ondernemingsvrijheid, Privacy, 10 reacties

google-analyticsEen lezer vroeg me:

Onlangs viel me op dat ons intranet cookies van Google Analytics zet. Mijn manager zei dat dat gewoon mag omdat het om werkgerelateerde gegevens gaat en niet om privégerelateerde gegevens. Maar klopt dat wel?

Nou nee, niet helemaal. Met Google Analytics verzamel je gegevens over bezoekers van je website of intranet. Die gegevens zijn te herleiden tot specifieke individuen en dús zijn het persoonsgegevens waarop de Wet bescherming persoonsgegevens van toepassing is.

Hoofdregel is toestemming, maar voor werknemers is het best lastig om toestemming te geven aangezien de wet eist dat dit op vrijwillige basis gebeurt. En in principe kun je als werknemer geen vrijwillige toestemming geven als je werkgever iets vraagt, omdat er op de achtergrond áltijd de vage angst zal heersen “als ik dit niet doe, dan ontslaat hij me/krijg ik geen verhoging/promotie volgend jaar”.

Als werkgever kom je dan al snel uit bij de grond van noodzaak voor de (arbeids-)overeenkomst. Oftewel, ik moet deze gegevens wel verzamelen anders gaat het mis met het werk en/of kun jij je werk niet doen. Een rittenadministratie bijhouden of mensen laten in- en uitklokken valt hieronder. Maar is het echt net zo nodig om te monitoren hoe je intranet wordt gebruikt?

De trend is om social intranets in te zetten voor kennisdelen en contact houden tussen collega’s. Binnen die trend zou ik het verdedigbaar vinden om ook te willen monitoren hoe het intranet wordt gebruikt. Je moet immers kunnen inspelen op gebruikersgedrag.

Is er geen noodzaak voor het werk, dan is de enige redding nog de eigen dringende noodzaak die zwaarder weegt dan de privacy. Je moet dan als werkgever aantonen dat je eigenlijk niet anders kunt. Bij bijvoorbeeld een camera op het werk is dit de rechtvaardiging: ik móet het magazijn filmen want er wordt anders te veel gestolen. Ik móet wel met Analytics werken anders gaat er iets stúk, namelijk.. eh, nee die zie ik ook niet direct.

Beroep je je op zo’n dringende noodzaak dan moet je ook alles hebben gedaan om de privacy zo veel mogelijk beschermen. Er zal dus een privacyreglement moeten zijn dat uitlegt wat je doet en waarom, je moet de IP-adressen zo veel mogelijk verbergen en Google vertellen dat ze écht niets anders mogen doen met jouw Analyticsdata. En rapportages mogen niet op individueel niveau gedaan worden.

Oh ja. Er is een Vrijstelling Intranetten binnen de wet, maar die vrijstelling houdt alleen in dat je niet aan het Cbp hoeft te melden dat je gebruikersgegevens verwerkt via je intranet. Het wil niet zeggen dat als je het zo doet, je legáál handelt. Bovendien dekt die vrijstelling niet het monitoren met Google Analytics (of Piwik of wat dan ook).

Verder is hoe dan ook instemming van de Ondernemingsraad nodig (art. 27 Wet OR). Immers, het gaat om

k. een regeling omtrent het verwerken van alsmede de bescherming van de persoonsgegevens van de in de onderneming werkzame personen;

dan wel

l. een regeling inzake voorzieningen die gericht zijn op of geschikt zijn voor waarneming van of controle op aanwezigheid, gedrag of prestaties van de in de onderneming werkzame personen;

En bij al dergelijke regelingen is voorafgaande instemming verplicht. Ik gok zomaar dat de OR van de vraagsteller niet gevraagd is of Google Analytics op het intranet mag worden ingezet. Want dit is Hip en Leuk en gaan we doen. En ik snap dat ook wel, het ís ook gewoon handig en leuk zo’n tool. Maar ja. Die Wbp hè.

Arnoud