Websites in Frankrijk kunnen met Google Analytics blijven werken, maar moeten dan wel van een goed geconfigureerde proxy gebruikmaken, zo las ik bij Security.nl. We weten al een tijdje dat Google Analytics best problematisch is onder de AVG, omdat het structureel persoonsgegevens overbrengt naar Amerika. Tijd om ermee te stoppen dus, maar voor wie nog een paar jaar geld wil betalen om zijn hoofd in het zand te steken, is er nu een juridisch-technisch correcte oplossing.
Sinds het Schrems II-arrest weten we dat persoonsgegevens overbrengen naar de VS erg problematisch is, omdat de VS fundamenteel niet dezelfde soort bescherming van persoonsgegevens wil bieden. Het Privacy Shield is daarmee geen goede basis om zomaar aan te mogen nemen dat je een Amerikaanse clouddienst (zoals Google’s Analyticsdienst) mag inzetten.
Ook helpt het niet als je de verschillende pseudonimisering-opties instelt, zoals we in Nederland gewend zijn te doen op advies van onze Autoriteit Persoonsgegevens. Ook dan komen er nog tot personen te herleiden gegevens bij Google, die ze waarschijnlijk combineert met andere gegevens – of in ieder geval ze opslaat in de VS. En alleen dat al is een probleem.
“Hoewel Google verschillende maatregelen heeft opgesteld om dataverzending naar andere landen te reguleren, zijn deze niet voldoende om de toegang door Amerikaanse inlichtingendiensten te beschermen”, schreef de Franse toezichthouder in februari nog. Onze AP meldde toen dat het gebruik van Analytics ‘mogelijk binnenkort niet meer is toegestaan’, hoewel dat binnenkort dus wat rekkelijk moet worden opgevat.
De CNIL is technisch gaan brainstormen en komt nu met de oplossing van een anonimiserende proxy. Kort gezegd, alle Analyticsverkeer wordt geforceerd naar een eigen server gestuurd waar werkelijk álles wordt gestript. En pas daarna gaat het naar Google, zodat je toch mooie statistiekjes en plaatjes kunt krijgen in je dashboard. (De waarde van deze gegevens voor marketing laat ik buiten beschouwing).
Dat álles is echt nogal veel:
- the absence of transfer of the IP address to the servers of the measurement tool;
- the replacement of the user identifier by the proxy server;
- the deletion of the referring site information external to the site;
- the deletion of any parameter contained in the URLs collected (e.g. UTMs and URL parameters allowing the internal routing of the site);
- the reprocessing of information that can participate in the generation of a fingerprint , such as ‘user agents’, to remove the rarest configurations that can lead to re-identification;
- the absence of any collection of cross-site identifiers; and
- the deletion of any other data that may lead to re-identification.
Mocht u nu denken, wat een enorm gedoe, wat gaat dat wel niet kosten: ja precies. Dus vraag meteen een offerte aan uw webbouwer voor het integreren van een alternatieve oplossing zoals Piwik of Matomo.
Meelezende marketingmensen en andere Analyticslovers: waarom Google Analytics?
Arnoud