Zijn de dagen van Google Analytics geteld?

2020 en 2021 waren op zijn zachtst uitgedrukt chaotisch. Voor digital marketeers kende 2022 al een soortgelijke start. Een Oostenrijkse rechter oordeelde namelijk dat het gebruik van Google Analytics in strijd is met de GDPR. Aangezien de tool een marktaandeel heeft van 85,2%, veroorzaakte deze vaststelling veel paniek binnen de sector. Laten we echter eerst eens naar de feiten kijken voor we overhaaste beslissingen nemen. In dit artikel nemen we je mee in het volledige verhaal, van de oorzaak tot de mogelijke uitkomsten, zodat je weloverwogen een volgende stap kan zetten.

Google logo on roof

De oorzaak van het probleem

De GDPR is toepasbaar op personal data. Maar wat beschouwt de EU als personal data? Dat het verwerken van namen, adressen en telefoonnummers zonder juridische motivering verboden is, wordt inmiddels (als) vanzelfsprekend beschouwd. Er is echter één veelgebruikt gegeven dat vaak wordt vergeten: het IP-adres. Een IP-adres kan worden gebruikt om de (geografische) locatie van een persoon te traceren. Op die manier wordt het in de GDPR geclassificeerd als een persoonsgegeven.

Het hele internet is opgebouwd rond IP-adressen. Een webserver moet jouw IP-adres kunnen ophalen om je vervolgens de gewenste inhoud te tonen. Gelukkig kan dit op basis van een "legitiem belang", wat betekent dat je geen uitdrukkelijke toestemming van de gebruiker nodig hebt. Verzoeken die gegevens naar de servers van Google sturen, hebben minder geluk. Want terwijl je IP-anonimisering kan inschakelen in Universal Analytics (en GA4 zelfs standaard je IP-adres anonimiseert), zal je IP-adres nog steeds deel uitmaken van elk verzoek dat vanaf jouw apparaat naar een Google-server wordt gestuurd. En net daar wordt het lastig.

Datatransfers tussen de EU en de VS

Tijdens het schrijfproces biedt Google Analytics je niet de mogelijkheid om uitsluitend Europese datacenters te gebruiken. Dit betekent dat je gegevens in de VS terechtkomen. Eenmaal in de VS, worden de gegevens verwerkt volgens de Amerikaanse Privacy Act: een wettelijk kader dat veel minder strikt is dan de GDPR. De Amerikaanse wet staat bijvoorbeeld ook toe dat inlichtingendiensten persoonsgegevens mogen verzamelen en gebruiken die van Amerikaanse elektronische communicatiediensten zoals Google komen. Dit geldt ook voor de verzamelde gegevens van Europese burgers, wat niet in overeenstemming is met de GDPR.

De EU probeerde reeds in het verleden met de VS tot een overeenkomst te komen over de verwerking van persoonsgegevens van Europese burgers in de VS. Dit resulteerde in het ‘Privacy Shield’ (de vroegere Safe Harbor Privacy Principles). Het Privacy Shield moest zorgen voor de implementatie van de juiste ‘etiquette’ bij de overdracht van gegevens naar de VS. Het zou de gegevens van Europese burgers beschermen, maar bleek niet grondig genoeg te zijn. Naar aanleiding van een rechtszaak, die door privacy-activist Max Schremms werd aangespannen en gewonnen, werd het Privacy Shield in juli 2020 geseponeerd. Hierdoor moesten Amerikaanse dienstverleners andere middelen vinden om de gegevens van EU-burgers te beschermen, zoals IP-anonimisering en het aanbieden van hostings die in de EU gevestigd zijn.

De Oostenrijkse wet die alles veranderde

Ondanks de Schremms-uitspraak van 2020 bleef de situatie onveranderd. Althans, daar leek het op. Privacy-activistengroep "noyb" (None of Your Business) diende immers al meerdere klachten in tegen het gebruik van Google Analytics en soortgelijke tools door verschillende bedrijven in de EU (101 om precies te zijn). Intussen werd er ook al één klacht behandeld door een Oostenrijkse rechtbank. Een samenvatting van hun conclusie op pagina 38 & 39: "Google kan niet garanderen dat onze gegevens veilig zijn voor de Amerikaanse inlichtingendiensten.”

Dit zorgde ervoor dat ook andere Europese landen hun standpunt over het gebruik van Google Analytics opnieuw in overweging namen. Zo wijzigde Nederland bijvoorbeeld inmiddels zijn ‘privacyvriendelijke tracking richtlijnen’. Bij het openen van de handleiding verschijnt een grote disclaimer waarin vermeld staat: “Mogelijk is Google Analytics binnenkort niet meer toegestaan”. De kans dat Nederland binnenkort een verbod aankondigt, is dus reëel.

Staat het vast?

De afloop van dit verhaal blijft onduidelijk. Zoals eerder vermeld is deze uitspraak slechts de eerste in de reeks, wat betekent dat er nog 100 uitspraken moeten volgen voordat we de volledige puzzel kunnen leggen. Voorlopig kan het nog alle kanten opgaan.

Wat zijn de mogelijkheden?

1. Kans op een randgeval

Een detail dat vaak over het hoofd wordt gezien: deze specifieke klacht betrof een Google Analytics-implementatie waarbij IP-anonimisering niet correct was geconfigureerd. Er is een kleine kans dat Google Analytics dus perfect in orde is zolang deze functie wel is ingeschakeld.

2. De VS zou de FISA kunnen veranderen of afschaffen

Dankzij de FISA kunnen Amerikaanse inlichtingendiensten de gegevens verzamelen en verwerken die techbedrijven als Google hebben. Zodra de VS niet langer ongestoord niet-Amerikaanse burgers kan bespioneren, zal Google Analytics weer vrijuit gaan. Het is echter hoogst onwaarschijnlijk dat dit zal gebeuren.

3. Google stopt met het doorspelen van gegevens naar de VS

Het toevoegen van een extra checkbox in een property kan volstaan. Als beide partijen kunnen garanderen dat onze gegevens in hun Europese datacentra blijven, zijn ze veilig.

4. Google Analytics wordt uiteindelijk toch illegaal

Hoewel het onwaarschijnlijk lijkt, is het daarom niet onmogelijk. Als dat zou gebeuren, zouden de meeste websites moeten overstappen van Google Analytics naar een van hun (in de EU gevestigde) concurrenten.

Wil je ook (intelligent) groeien?

Van auditing tot marktonderzoek, merk- en communicatiestrategieën en intelligent UX-design, het groeitraject van je merk kan vandaag nog beginnen. Hoog tijd dat we samen je publiek aanzetten tot interactie?

Laptop shopping data overview

Stilstaan is achteruitgaan (voorlopig)

Voor de meeste bedrijven is het niet nodig om halsoverkop over te stappen op Google Analytics-alternatieven. Grote veranderingen binnen de sector zijn echter wel een zekerheid. Er zijn inderdaad grote veranderingen op til, maar vermijd een overhaaste overstap naar een andere tool om vervolgens opnieuw dezelfde fout te maken. Indien je kiest voor een ander platform, let er dan op dat het niet met gelijkaardige juridische problemen kampt als Google Analytics. Zoek naar een platform dat zelf EU-hosted is en volledige anonimisering ondersteunt.

Zie deze gebeurtenis als een kans om je huidige tracking setup te herevalueren en in het algemeen de tools in kaart te brengen die mogelijk jouw gegevens exporteren. “Hebben we al deze tools echt nodig? Is het zinvol om echt alle gegevens die we verzamelen bij te houden?” Dit zijn enkele voorbeeldvragen die je je best stelt.

Begin bij het begin, herdefinieer je KPI's en pas je tech stack vervolgens aan. Het is misschien zelfs een goed moment om voor een volledig cookieloze oplossing te gaan. Gezien het tempo waarin browsers stoppen met third-party cookies, is dit misschien zelfs een meer urgentie kwestie. En wie weet: de kans bestaat dat GA niet eens een onderdeel is van je cookieloze tracking setup.

Met bijdragen van Laura Debruyne, Martijn Lijten & Dumky de Wilde.

Brecht Beertens
Over de auteur
Brecht Beertens
Teamlead Data & Insights

Dataspecialist Brecht Beertens schreef zich een week na zijn afstuderen al in voor de avondschool. Vandaag past hij deze leergierigheid toe op het bereiken van zijn doelen, naast het tracken, identificeren, implementeren & analyseren van de juiste data - samen met een team dat even gek is op het oplossen van elke puzzel.

Blijf op de hoogte. Schrijf je in op onze nieuwsbrief

  • Laat je inspireren: onze strategen, technologen en creatievelingen delen hun kennis en inzichten.

  • Blijf up-to-date: ontvang relevante content over merkstrategie, bedrijfstransformatie, digitale ecosystemen of data-intelligentie.

  • Mis niks: ontdek onze nieuwe cases en blijf op de hoogte van onze laatste ontwikkelingen.