Google Analytics en AVG/GDPR

Google Analytics bewaartermijn van gegevens

Als je gebruik maakt van Google Analytics dan heb je waarschijnlijk het bericht ontvangen van Google dat je moet kiezen welke bewaartermijn je wilt hanteren voor persoonsgegevens. Na deze termijn zullen gegevens automatisch verwijderd worden.

De regels omtrent de bewaartermijn

De maatregel heeft alles te maken met de AVG regelgeving die sinds 25 mei 2018 wordt gehandhaafd. Onder andere de bewaartermijn van persoonsgegevens dient te worden verantwoord en gecommuniceerd richting de verstrekker van de gegevens. De Autoriteit Persoonsgegevens heeft geen concrete bewaartermijn vastgesteld.

Je kunt zelf het best inschatten hoe lang het nodig is om gegevens te bewaren. Zo kan het bijvoorbeeld noodzakelijk zijn om voor de belastingdienst bepaalde gegevens te bewaren, deze kun je archiveren. Zodra de wettelijke termijn verlopen is vernietig of verwijder je de gegevens.

De bewaartermijnen van Google Analytics

Google hanteert verschillende bewaartermijnen, namelijk: 14, 26, 38 of 50 maanden. Voor welke bewaartermijn je kiest hangt af van hoe lang je deze gegevens redelijkerwijs nodig hebt. Wanneer je kiest voor één van deze bewaartermijnen dien je dit in de privacyverklaring te communiceren naar je websitebezoekers.

Is automatisch verwijderen altijd nodig?

Je kunt ook kiezen voor de optie ‘niet automatisch verwijderen’. Het is namelijk niet altijd nodig om te kiezen voor een bewaartermijn binnen Google Analytics. Bijvoorbeeld voor de ‘Standaard Analytics rapportage’. Maar wanneer moet je dit wél doen?:

• Als je persoonsgegevens opslaat op gebruikers- en gebeurtenisniveau.
• Wanneer ze te herleiden zijn naar een specifieke gebruiker en de actie die hij heeft ondernomen.
• Wanneer je binnen Analytics segmenteert, bijvoorbeeld als je filtert op leeftijd of locatie.
• Wanneer je aan Analytics gekoppelde cookies plaatst op je website.
• Als gegevens zijn gekoppeld aan gebruikers ID’s of advertentie ID’s.

Gegevens anonimiseren

Bij de ‘Standaard Analytics rapportage’ zijn de gebruikersgegevens in principe anoniem. Hierdoor zijn ze niet herleidbaar en is een bewaartermijn dan ook niet van toepassing. Er bestaat echter ook gegevens die ‘pseudo-anoniem’ zijn. Deze gegevens zijn weliswaar niet herleidbaar naar een natuurlijk persoon, ze zijn wel te individualiseren. Bijvoorbeeld door middel van gebruikers ID’s. Wil je er zeker van zijn dat de persoonsgegevens die je via cookies op je website verzamelt beschermd zijn? Onderneem dan de volgende acties:

• Anonimiseer IP-adressen
  Dit kun je doen door een aanvullende code in je trackingcode te plaatsen of via Google Tag Manager.
• Sluit een verwerkersovereenkomst met Google
  Als derde partij met toegang tot de persoonsgegevens van jouw bezoeker heeft Google een verantwoordingsplicht. Leg dit goed vast in een verwerkersovereenkomst. De Autoriteit Persoonsgegevens heeft hiervoor een handleiding ontwikkeld.
• Deel geen gegevens met Google
  Dit kun je doen door de vinkjes uit te zetten onder ‘account’. Doe je dit niet dan ga je akkoord dat Google deze gegevens mag gebruiken en dien je namens Google toestemming te vragen aan je bezoekers.
• Advertentiefuncties
  Zet ‘Gegevens verzamelen voor advertentiefuncties’ uit. Zowel bij ‘Remarketing’ als bij ‘Rapportagefuncties voor advertenties’.
• Gebruik SSL
  Hierdoor zijn de gegevens die je verstuurd versleuteld. Zie ook onze HTTPS adres blog hierover.

Informeer je bezoekers

Communiceer in je privacyverklaring dat je cookies plaatst op je website voor Google Analytics en met welk doel. Vermeld hierbij wat de bewaartermijn voor deze gegevens is. Laat verder ook blijken dat je één of meerdere van de vijf bovenstaande acties hebt ondernomen.