MijnMarketing.com > Blogs > Google Analytics > Wordt GA4 ooit AVG-proof?

02 aug Wordt GA4 ooit AVG-proof?

Google Analytics 4 (GA4) heeft verschillende verbeteringen geïntroduceerd met betrekking tot de naleving van de AVG-richtlijnen. Met functies zoals het anoniem maken van IP-adressen en beperkte opslagduur van persoonlijke gegevens neemt GA4 stappen in de goede richting. Maar omdat nog steeds gegevens worden verzonden naar servers buiten Europa, werkt GA4 niet conform de AVG. Hoe staat het er nu voor met de privacy in GA4? En welke alternatieven kun je overwegen als je streeft naar een betere AVG- naleving? We praten je bij!

IP-anonimisatie en beperkte opslagduur

Een positieve verandering in GA4 is dat het standaard IP-anonimisatie inschakelt, waardoor IP-adressen van gebruikers niet worden opgeslagen. Bovendien verwijdert GA4 alle IP- adressen van EU-gebruikers voordat de gegevens worden geregistreerd via EU-domeinen en servers. Hierdoor wordt minder persoonlijke gegevens verzameld. Een andere belangrijke verbetering is de beperkte opslagduur van gegevens in GA4. In tegenstelling tot de vorige versie van Google Analytics, waar gegevens tot 64 maanden konden worden opgeslagen, biedt GA4 slechts twee opties: 2 maanden óf 14 maanden. De AVG stelt dat gegevens alleen bewaard mogen worden, zolang dat absoluut noodzakelijk is. Met de korte opslagduur voldoet een gebruiker automatisch aan deze regel.

Gegevens delen met andere Google-producten

Google moedigt het aan om gegevens te delen met andere Google-producten zoals Google Signals en Google Ads. Dit brengt risico’s met zich mee voor de AVG. Volgens de AVG moeten gebruikers namelijk expliciete toestemming geven voordat gegevens worden gedeeld tussen deze producten. Het is daarom belangrijk om gebruikers op de hoogte te stellen van het delen van gegevens in de cookie- en privacyverklaring van de website en ervoor te zorgen dat de juiste toestemming wordt verkregen. Het implementeren van een cookiemelding heeft gevolgen voor de naleving van de AVG en de vermelding in de cookie- of privacyverklaring van een website. Volgens de AVG is het essentieel om transparant te zijn over het gebruik van cookies en tracking technologieën op de website, evenals de gegevens die worden verzameld. De cookie- of privacyverklaring moet daarom duidelijke informatie bevatten over het soort cookies, hun doel, de duur van opslag en of derde partijen toegang hebben tot de verzamelde gegevens.

GA4 niet conform de AVG, wat zijn de alternatieven?

Helaas werkt GA4 op dit moment nog niet volledig conform de AVG. Ondanks de nieuwe functies die zich richten op op privacy, heeft GA4 nog geen akkoord bereikt met Europese toezichthouders. Google informeert Google gebruikers bijvoorbeeld niet over de opslaglocaties of gegevensoverdrachten buiten Europa. Dit is een directe schending van de AVG. Wil je voldoen aan de AVG-richtlijnen? Dan zijn Piwik PRO en Matomo goede alternatieven voor GA4. Eén kanttekening: als je alle functies wilt hebben, moet je voor een betaald pakket kiezen. Daarentegen is GA4 gratis!

Update #10 juli 2023

Het Data Privacy Framework: De Europese Commissie heeft een nieuw adequaatheidsbesluit aangenomen genaamd het Data Privacy Framework (DPF). Dit kader beoordeelt het beschermingsniveau van persoonsgegevens in de VS als gelijkwaardig aan dat van de AVG. Hierdoor kunnen organisaties weer persoonsgegevens delen met de VS in overeenstemming met de AVG.
Veranderingen in de VS: Na het vernietigen van het vorige adequaatheidsbesluit (Privacy Shield) in 2020, er politieke overeenkomsten en aanpassingen op nationaal niveau in de VS zijn geweest om het beschermingsniveau van persoonsgegevens te verbeteren.
Bescherming van Europese burgers: Het DPF benadrukt enkele verbeteringen in de bescherming van Europese burgers, waaronder beperkingen op de toegang tot gegevens door Amerikaanse inlichtingendiensten, verscherpt toezicht op deze activiteiten en de oprichting van een onafhankelijk klachtenmechanisme.
Kritiek en onzekerheden: Er kritiek is op het nieuwe systeem, vooral met betrekking tot de beperkingen van de aanvullende waarborgen en de rechtskracht van het klachtenmechanisme. Het Europees Parlement en de EDPB hebben vraagtekens gezet bij deze aspecten.
Impact op marketingpraktijk: Organisaties hoeven niet noodzakelijkerwijs gebruik te maken van modelcontracten (SCC’s) voor doorgifte naar de VS. Het DPF kan in plaats daarvan worden gebruikt, zolang partijen in de VS zijn aangesloten bij het framework en de bijbehorende regels volgen.
Invloed op Google Analytics: Het besluit kan mogelijk ook gevolgen hebben voor lopende klachten en besluiten met betrekking tot het gebruik van Google Analytics. De wijzigingen in de VS kunnen de kijk van toezichthouders op het gebruik van SCC’s beïnvloeden.
Toekomstige onzekerheden: Privacy-voorvechter Max Schrems kritiek heeft geuit en dat er een kans bestaat dat het DPF in de toekomst wordt vernietigd. Niettemin wordt verwacht dat het besluit minimaal 1,5 jaar standhoudt.
Positief nieuws: Over het algemeen wordt het aannemen van het adequaatheidsbesluit positief nieuws genoemd voor de sector, ondanks enige onzekerheden over de toekomstige duurzaamheid van het DPF.