Bijna wekelijks krijgen wij bij DMCC wel de vraag of er nu wel of geen toestemming nodig is voor Google Analytics cookies. Dat hangt er dus vanaf: allereerst van het feit of u gebruik maakt van Google Universal Analytics of het nieuwere Google Analytics 4.
Bij Google Universal Analytics mag u de analytics cookie alleen voor toestemming plaatsen als u aan deze zes voorwaarden voldoet:
Sluit een verwerkersovereenkomst af met Google
Anonimiseer het IP-adres
Schakel gegevens delen met Google uit
Schakel gegevensverzameling voor advertentiefuncties uit
Schakel User ID uit
Informeer over gebruik Google Analytics en opt-out
Veel websites die Google Analytics cookies plaatsen voor toestemming voldoen hier niet aan, vaak wordt er bijvoorbeeld toch gebruik gemaakt van een user ID.
Google Analytics 4 (GA4) vervangt het minder privacy vriendelijke Google Universal Analytics. De Google Analytics 4 cookie wordt als first party cookie geplaatst vanaf de site van een adverteerder en wordt gebruikt voor analytics. De cookie geeft een unieke identifier aan een webbezoeker. Via die ID kan een site eigenaar verschillende websitebezoekers onderscheiden en hun activiteiten volgen. De ID is onder andere afhankelijk van de websitebezoeker, url en het apparaat dat wordt gebruikt. Dit betekent dat als er sprake is van herhaalbezoek, of bezoek van een ander apparaat of bezoek aan een andere URL, Google Analytics 4 niet ziet dat het om dezelfde bezoeker gaat. Het is dus niet mogelijk om mensen te tracken over tijd, verschillende sites en apparaten.
De meningen zijn erover verdeeld of Google Analytics 4 inderdaad valt onder een analytics cookie met geringe privacy gevolgen en er dus geen consent gevraagd hoeft te worden. Omdat geen herhaalbezoek wordt vastgelegd kan je beredeneren dat een ‘kale’ Google Analytics 4 cookie wel te verdedigen is als analytics cookie met geringe privacy gevolgen. Maar waarschijnlijk zal de Autoriteit Persoonsgegevens wel vinden dat u wel toestemming nodig hebt, omdat de cookie toch gebruik maakt van een unieke identifier. Er wordt dus niet geaggregeerd data over websitebezoek verzameld, bij een sessie wordt dit toch per gebruiker vastgelegd.
Als u naast Google Analytics gebruik maakt van andere Google diensten zoals Google Signals, is er altijd sprake van tracking en is dus toestemming van de webbezoeker nodig. Google Signals maakt het mogelijk om één gebruiker over verschillende apparaten (desktop, tablet, telefoon) te volgen en gebruiksgedrag te analyseren. Als u via Google wilt remarketen moet u deze functie inschakelen in GA4.