Hoe voegt u Google Analytics toe aan uw privacybeleid?

Image of Iron Brands

Gepubliceerd op 8 nov 2022 en bijgewerkt op 16 apr 2024 door Iron Brands

Een privacybeleid1 is een verklaring die een betrokkene informeert over de manier waarop zijn gegevens worden verwerkt. In het geval van de website stelt een privacybeleid de bezoeker op de hoogte van de verwerking van zijn gegevens en de doeleinden van de verwerking (websiteoptimalisatie, marktanalyse, enz.).

Bij het opbouwen van een bedrijf of het exploiteren van een website is dit niet het meest opwindende onderdeel om mee bezig te zijn, maar het is belangrijk om dit vakje aan te vinken. Om je het leven gemakkelijker te maken, hebben we een lijst samengesteld van dingen waar je rekening mee moet houden.

  1. Wat is het doel van een privacybeleid?
  2. Heb ik een privacybeleid nodig voor Google Analytics?
  3. Hoe schrijf je een privacybeleid?
  4. Een voorbeeld van een gelaagd privacybeleid
  5. Google Analytics privacy beleid sjabloon
  6. Wanneer moet mijn privacybeleid worden weergegeven?
  7. Welke informatie moet mijn privacybeleid bevatten?
    1. Slotopmerkingen
Logo of the Government of the United KingdomThe UK Government chose Simple AnalyticsJoin them

Laten we erin duiken!

Wat is het doel van een privacybeleid?

Het primaire doel van een privacybeleid is om een betrokkene (in dit geval de bezoeker van je website) informatie te geven over de verwerking van zijn gegevens, volgens het transparantiebeginsel2.

U moet de gebruiker informeren over de verwerking van zijn gegevens - welke gegevens u verwerkt, op welke basis, voor welk doel, enz. Je moet de gebruiker ook informeren over zijn rechten onder de GDPR (zoals het verzoeken om het wissen van de gegevens en het indienen van een klacht). Ook moet u de uitoefening van deze rechten vergemakkelijken door een contactpunt aan te wijzen voor eventuele verzoeken of vragen.

Denk eraan dat een privacybeleid zich rechtstreeks tot de gebruiker richt. De informatie moet zo duidelijk en toegankelijk mogelijk zijn3. Gebruik duidelijke taal en laat het jargon over aan de advocaten!

Heb ik een privacybeleid nodig voor Google Analytics?

Ja. Google Analytics verzamelt cookies en IP-adressen die persoonsgegevens zijn onder de GDPR. Je hebt ook toestemming nodig om cookies te verwerken omdat ze onder de ePrivacy-richtlijn4 vallen. Dit is het geval voor zowel first-party als third-party cookies (de laatste zijn gekoppeld aan een ander domein dan het domein dat de gebruiker bezoekt en zijn meestal meer privacy-invasief).

Hoe schrijf je een privacybeleid?

Het is geen raketwetenschap, maar ook niet eenvoudig. Uw privacybeleid moet veel specifieke informatie bevatten om te voldoen aan artikel 13 GDPR. 13 GDPR. Tegelijkertijd moet het beknopt, toegankelijk en duidelijk zijn om te voldoen aan artikel 12, lid 1, GDPR. 12(1) GDPR.

Het kan moeilijk zijn om alle vereiste informatie op te nemen en tegelijkertijd uw beleid eenvoudig en toegankelijk te houden, maar een gelaagde aanpak5 kan u helpen een evenwicht te vinden. Een gelaagd privacybeleid geeft de meest cruciale informatie vooraf. Het verwijst de lezer naar andere bronnen voor meer gedetailleerde informatie (bijvoorbeeld door links naar verschillende pagina's of misschien naar de relevante koppen van een enkele, uitgebreidere verklaring).

how to add google analytics to your privacy policy

Een voorbeeld van een gelaagd privacybeleid

Eerst een noodzakelijke disclaimer: dit is geen juridisch advies en mag niet als zodanig worden opgevat. Elke mededeling moet worden afgestemd op een specifieke website. Kopieer uw verklaring niet van ons of van ergens anders op het internet! Als u enige kennis hebt van privacywetgeving, schrijf er dan zelf een, of laat een deskundige er een voor u opstellen.

Dat gezegd zijnde, hier is een voorbeeldsjabloon voor een gelaagd privacybeleid:

Wij van awesomewebsite.com gebruiken Google Analytics om gegevens te verzamelen. We hebben deze gegevens nodig om te begrijpen hoe u onze website gebruikt, zodat we het ontwerp en de functionaliteit ervan kunnen verbeteren. We hebben de gegevens ook nodig om het meeste uit onze marketingcampagnes te halen.

Met uw toestemming verwerkt en verzamelt Google Analytics uw persoonlijke gegevens (cookies en IP-adres) om ons waardevolle informatie te geven. Google Analytics zal uw gegevens overbrengen naar de Verenigde Staten en deze gedurende x maanden opslaan. Klik hier voor meer informatie over het beleid van Google inzake gegevensoverdracht.

U hebt bepaalde rechten op uw gegevens: u kunt bijvoorbeeld eisen dat wij ze verwijderen of u een kopie bezorgen. Wij nemen de verantwoordelijkheid voor de verwerking van uw gegevens. Wij zijn beschikbaar om elke vraag te beantwoorden en elk verzoek van u te behandelen. Klik hier om meer te lezen over uw rechten en hoe u contact met ons kunt opnemen.

Geef uw cookievoorkeur aan:

  1. Ik geef toestemming voor de verwerking van niet-essentiële cookies
  2. Ik weiger de verwerking van niet-essentiële cookies Wij zullen geen cookies lezen of schrijven zonder uw toestemming.

Google Analytics privacy beleid sjabloon

Wij van awesomewebsite.com gebruiken Google Analytics om gegevens te verzamelen. We hebben deze gegevens nodig om te begrijpen hoe u onze website gebruikt, zodat we het ontwerp en de functionaliteit ervan kunnen verbeteren. We hebben de gegevens ook nodig om het meeste uit onze marketingcampagnes te halen.

U moet alle doeleinden waarvoor u de gegevens verwerkt vermelden en duidelijk onderscheid maken tussen deze doeleinden. Dit is slechts een voorbeeld: als u ook voor andere doeleinden persoonsgegevens verzamelt, moet u dat vermelden.

Met uw toestemming verwerkt en verzamelt Google Analytics uw persoonsgegevens (cookies en IP-adres) om ons waardevolle informatie te geven. Google Analytics zal uw gegevens overbrengen naar de Verenigde Staten en deze gedurende x maanden opslaan. Klik hier voor meer informatie over het beleid van Google inzake gegevensoverdracht.

De link is waar u kunt uitleggen dat Google Ireland Ltd. gegevens doorgeeft aan Google LLC en dat zij standaard contractuele clausules gebruiken om de gegevens te beschermen. U moet in duidelijke taal uitleggen wat dat betekent. Bijvoorbeeld:

Standaard contractuele clausules zijn juridische clausules die door de Europese Commissie zijn geschreven. Ze maken deel uit van een contract tussen Google Ireland Ltd. en Google LLC, en Google LLC moet zich eraan houden. Standaardcontractbepalingen vertellen Google LLC wat het wel en niet mag doen met uw gegevens.

U hoeft de inhoud van de clausules niet te reproduceren, maar u zou een link naar de eigen documentatie van Google kunnen geven.

Merk op dat het verstrekken van deze informatie de gegevensoverdracht niet rechtmatig maakt. Google Analytics is praktisch verboden in vier EU-landen (Oostenrijk, Frankrijk, Italië en Denemarken) omdat de gegevensoverdrachten tussen Google Ierland en Google LLC in strijd bleken met hoofdstuk V van de GDPR, en er kunnen meer landen volgen. U kunt hier realistisch gezien niets aan doen: als u Google Analytics gebruikt, accepteert u een nalevingsrisico. We schreven hier meer over het onderwerp.

Naar aanleiding hiervan is een discussie ontstaan over de vraag of alle versie van Google Analytics onrechtmatig worden bevonden of alleen de huidige versie (universal analytics).Het korte antwoord is dat de overtredingen gelden voor beide versies van Google Analytics. We hebben hier in deze blog uitgebreider over geschreven.

U heeft bepaalde rechten over uw gegevens: u kunt bijvoorbeeld van ons eisen dat wij ze verwijderen of u een kopie verstrekken. Wij nemen verantwoordelijkheid voor de verwerking van uw gegevens. Wij zijn beschikbaar om elke vraag te beantwoorden en elk verzoek van u te behandelen. Klik hier om meer te lezen over uw rechten en hoe u contact met ons kunt opnemen.

Hier vindt u informatie over het recht van toegang6, het recht om toestemming in te trekken7, het recht om gegevens te laten wissen8, het recht om een klacht in te dienen in de lidstaat waar de betrokkene woont of werkt9, en eventueel het recht om bezwaar te maken10. Als u persoonsgegevens verwerkt zonder toestemming11, zorg er dan voor dat u aangeeft welke categorieën gegevens de gebruiker u kan verzoeken te wissen. En verduidelijk dat u verantwoordelijk bent voor het afhandelen van verzoeken, niet Google.

U moet altijd contactinformatie verstrekken voor uw organisatie, en als u een DPO en een EU-vertegenwoordiger heeft, moet u ook een contactpersoon voor hen opgeven. Contactinformatie is echt belangrijk in de praktijk. Vul niet zomaar een e-mail in en vergeet het: zorg ervoor dat verzoeken worden doorgestuurd naar iemand die ze daadwerkelijk in behandeling neemt! Bedrijven worden vaak beboet omdat ze niet snel reageren op verzoeken.

Als u een DPO hebt, verwijs de gebruiker dan naar hem of haar voor alle verzoeken - de behandeling ervan behoort tot de taak van de DPO. Als u geen DPO hebt, is het een goed gebruik om iemand in uw organisatie verantwoordelijk te maken voor het reageren op verzoeken. Vermeld een direct contactpersoon in uw privacybeleid12 zodat verzoeken niet over het hoofd worden gezien tussen de post van de organisatie.

Geef uw voorkeur voor cookies aan:

  • Ik geef toestemming voor de verwerking van niet-essentiële cookies
  • Ik weiger de verwerking van niet-essentiële cookies Wij zullen geen cookies lezen of schrijven zonder uw toestemming.

Deze keuze moet in duidelijke, niet misleidende bewoordingen worden gepresenteerd: ja of nee. Als de gebruiker "nee" zegt, respecteer dan zijn beslissing en toon hem de cookiebanner niet meer.

Een gebruiker kan instemmen met cookies voor specifieke doeleinden; hij kan bijvoorbeeld first-party cookies accepteren voor website-optimalisatie en third-party marketing cookies weigeren. Een optie "aanpassen" is aanvaardbaar als de optie om alle cookies te weigeren zichtbaar, gemakkelijk toegankelijk en duidelijk geformuleerd is. Dwing gebruikers niet om vijf verschillende cookie-instellingen te doorlopen om "nee" te zeggen, en forceer geen verwarrende keuzes zoals "accepteren" versus "aanpassen".

Veel bedrijven ontwerpen de cookiebanners niet zelf en vertrouwen in plaats daarvan op een platform voor toestemmingsbeheer. Dezelfde suggesties gelden: kort gezegd, zorg ervoor dat uw cookiebanners duidelijk zijn en dat gebruikers gemakkelijk toestemming kunnen weigeren.

Als u ten slotte zonder toestemming persoonsgegevens verzamelt, moet u die informatie ook opnemen. U zou bijvoorbeeld een laatste stukje kunnen toevoegen zoals:

We zullen nog steeds bepaalde gegevens verzamelen als u geen toestemming geeft. Klik hier voor meer informatie.

In de link kunt u aangeven welke gegevens u verzamelt en op welke rechtsgrondslag13.

Wanneer moet mijn privacybeleid worden weergegeven?

Als u Google Analytics gebruikt, moet uw privacybeleid worden weergegeven zodra de gebruiker op uw website terechtkomt14. U moet het ook op uw website zetten, zodat terugkerende gebruikers de informatie gemakkelijk kunnen raadplegen.

Vanuit praktisch oogpunt is het zinvol om uw beleid samen te voegen met uw cookiebanner, zoals we in ons sjabloon hebben gedaan. U hebt sowieso een cookiebanner nodig, en één vervelende pop-up is beter dan twee.

Terzijde: volgens de GDPR moet het intrekken van toestemming even gemakkelijk zijn als het geven ervan15. Je website moet gebruikers dus in staat stellen hun toestemming op de een of andere manier gemakkelijk in te trekken. Het maakt niet echt uit hoe, zolang de optie maar probleemloos en gemakkelijk toegankelijk is. Het kan dus handig zijn om een opt-out knop of een soortgelijke optie op te nemen in het beleid dat op uw website wordt weergegeven. Maar vergeet niet dat dit opt-out mechanisme zelf geen toestemming kan verzamelen: dat moet u nog steeds doen in uw cookiebanner!

Welke informatie moet mijn privacybeleid bevatten?

Uw privacybeleid moet alle informatie bevatten die wordt vereist door art. 13 GDPR. In het geval van Google Analytics zou dat zijn:

  • het doel en de rechtsgrondslag voor de verwerking
  • de contactgegevens van de verantwoordelijke voor de verwerking, de DPO en de EU-vertegenwoordiger (indien van toepassing)
  • de rechten van de gebruiker als betrokkene (met inbegrip van het recht om een klacht in te dienen)
  • of de gegevens aan derden zullen worden verstrekt
  • of de gegevens zullen worden doorgegeven buiten de VS, en met welke waarborgen
  • hoe lang de gegevens worden opgeslagen

U kunt artikel 13 zien als een checklist die u kunt doorlopen. 13 als een checklist die u kunt doorlopen om ervoor te zorgen dat uw beleid voldoet. In feite hebben wij ons sjabloon met dit artikel in gedachten geschreven. Maar het is niet voldoende om alle informatie te behandelen: zoals gezegd moet deze informatie in een duidelijke en toegankelijke vorm worden verstrekt.

Slotopmerkingen

Ons sjabloon biedt de informatie als onderdeel van een cookiebanner omdat dat handig is. Maar voor alle duidelijkheid, een privacybeleid gaat niet alleen over cookies: als u andere persoonsgegevens verzamelt, moet u de gebruiker daar ook over informeren.

Een laatste woord: als het om privacy gaat, gaapt er een grote kloof tussen theorie en praktijk. Veel websites geven minder uitgebreide informatie dan vereist, en maar weinig websites staan toe dat toestemming gemakkelijk wordt ingetrokken. Je komt er dus misschien mee weg, maar je zou nog steeds niet GDPR-compliant zijn.

Kortom: Laat de vereiste informatie weg op eigen risico (en voel je slecht over jezelf).

...wat als (het meeste van) dit helemaal niet nodig is? ...wat als er een analysetool is die webanalyse biedt zonder dat je een uitgebreid privacybeleid nodig hebt?

Yep, dat is mogelijk... met dit in gedachten hebben we Simple Analytics gemaakt. We wilden een web analytics tool maken die inzicht geeft in website verkeer zonder cookies nodig te hebben om persoonlijke gegevens te verzamelen. Wij geloven in het creëren van een onafhankelijk web dat vriendelijk is voor websitebezoekers. Als dit u aanspreekt, probeer ons dan gerust uit.

#1 Om pedant te zijn, dit is eigenlijk een privacyverklaring. Een.privacy policy is een intern document waarin regels en richtlijnen staan over de verwerking van persoonsgegevens binnen een organisatie. De twee termen worden vaak door elkaar gebruikt, zelfs door privacy professionals. [^2]: Art. 5(1) GDPR. [^3]: Art. 12(1) GDPR. [^4]: Art. 5(3) e-privacyrichtlijn [^5]: WP29 Guidelines on transparency under Regulation 2016/679, par. 35 en 36. [^6]: Art. 15 GDPR. [^7]: Art. 7(3) GDPR. [^8]: Art. 17 GDPR. [^9]: Art. 77 GDPR. Zie ook WP29, Guidelines on transparency under Regulation 2016/679, bijlage, p. 39. [^10]: Dit geldt alleen als u gegevens verwerkt op basis van een gerechtvaardigd belang: zie Art. 21 GDPR. [^11]: Yup, dit kan rechtmatig zijn - maar niet voor cookies. Zie Art. 6(1) GDPR en onze blog over toestemming[^12]: Voor de duidelijkheid, je moet nog steeds algemene contactinformatie voor je organisatie opnemen. [^13]: Rechtsgrondslagen zijn een ingewikkeld onderwerp. Onze blog over toestemming gaat kort in op het rechtmatigheidsbeginsel en een paar andere rechtsgrondslagen dan toestemming. Misschien komen we op een bepaald moment op dit onderwerp terug [^14]: Art. 13 GDPR [^15]: Art. 7(3) GDPR.

GA4 is complex. Probeer Simple Analytics

GA4 is als in de cockpit van een vliegtuig zitten zonder een pilotenlicentie

Start 14-dagen proefperiode