Vanaf 25 mei 2018 moeten we allemaal voldoen aan de verstrengde wetgeving in verband met gegevensbescherming en -opslag van persoonlijke data van Europese burgers. Aan de hand van deze korte handleiding kan je alvast enkele quick wins doorvoeren om aan de nieuwe Algemene Verordening Gegevensbescherming (AVG of GDPR) te voldoen!

We sommen in enkele stappen de verschillende aanpassingen  op die je moet doorvoeren om te voldoen aan de GDPR normen. We nemen zowel een kijkje in de instellingen van Google Analytics als in Google Tag Manager (GTM). 

GDPR 6

1. GOOGLE ANALYTICS

In Google Analytics dienen heel wat settings aangepast te worden. Hieronder een overzicht.

1.1 Instellingen voor gegevens delen

  • Ga naar beheerder/admin > accountinstellingen
  • Wij adviseren je om bij ‘Data Sharing Settings’ alle opties uit te vinken. Zo deel je geen gegevens meer met andere Google-producten.

1.2 Aanpassingen van de gegevensverwerking

  • Onder bovenstaande tabel vind je ‘aanpassingen van de gegevensverwerking’
  • Klik op ‘geüpdatet amendement’
  • Keur vervolgens de voorwaarden goed
  • Indien jullie beschikken over een DPO kan dit meegegeven worden bij het klikken op ‘DPA-gegevens beheren’
  • Klik vervolgens op opslaan
GDPR 1

1.3 Gegevens verzamelen voor advertentiefuncties

  • Dit kan je terugvinden onder ‘properties’ > ‘trackinginfo’ > ‘gegevensverzameling’
  • Controleer of ook deze opties uitgevinkt zijn. Indien je deze tracking aan laat staan, dient dit opgenomen te worden in jouw cookie policy
Acpq

1.4 Instellingen voor gegevensbehoud

Google laat je de termijn voor het bewaren van gebruikersgegevens vanaf 25 mei zelf bepalen. Je kan kiezen tussen verwijderen na 14 maanden, 26 maanden, 38 maanden, 50 maanden of helemaal niet. Op die manier wil Google de verantwoordelijkheid bij bedrijven zelf leggen, maar welke termijn moet je nu kiezen?

  • Gegevensbehoud is enkel van toepassing op aangepaste rapporten of aangepaste segmenten. Het heeft geen invloed op de algemene resultaten in Google Analytics. Als men gegevensbehoud aanzet, is de gekozen periode (vb 14 maanden) de maximale periode dat men die data bijhoudt.
     
  • Naast de periode kan je kiezen om de vervaldatum te vernieuwen voor terugkerende bezoekers. Als gegevensbehoud bijvoorbeeld beperkt is tot 14 maanden en iemand bezocht 20 maanden geleden de website en 10 maanden later nog eens, zullen deze gegevens niet verwijderd worden.
     
  • Tenzij je er een goede reden voor hebt, raden we aan om gegevensbehoud te beperken tot 14 maanden. GDPR stelt geen expliciete termijn, maar je moet een goede reden hebben om gegevens langer bij te houden, “voor de statistieken” is daarbij niet voldoende. Bovendien is de impact op je data beperkt.

1.5 Rapporten over demografische en interessecategorieën

  • Admin > property instellingen
  • Controleer hier of je ‘demografische en interesse rapporten’ verzamelt
  • Dit kan best uitgeschakeld zijn. Indien dit aanstaat, dient dit opgenomen te worden in jouw cookie policy
gdpr5

1.6 Anonimiseren van IP-adressen in Analytics

Je kan een IP-adres anonimiseren op verschillende manieren:

  • Door volgende code aan je tracking-code toe te voegen. Dit moet dan op alle pagina’s worden uitgevoerd.

    ga('set', 'anonymizeIp', true); 

  • Of je kan dit ook oplossen door gebruik te maken van GTM (Google Tag Manager). Deze methode geniet dan ook onze voorkeur. Je kan dan heel eenvoudig je Analytics tracking-code voorzien van een extra veld om IP-adressen te anonimiseren. Dit vind je door te klikken op more settings > fields to Set. Field name: anonymizeIp en de value is: true

1.7 Parameters uit URL’s strippen

  • Kijk na of je bijvoorbeeld bij het invullen van een contactformulier geen persoonlijke data meeneemt in de URL zoals bijvoorbeeld een “email=querystring” parameter
  • De beste werkwijze is om deze query’s via GTM te verwijderen. Op die manier komen ze niet op Google Analytics servers te staan en kan je de privacy garanderen. Daarom is het uitfilteren van deze informatie in je weergaves niet voldoende. Je hebt de variabele "Page URL" nodig. Indien vereist, moet je deze eerst activeren.
  • Je kan dit ook aan de hand van JavaScript code oplossen. Dit kan je best aan je webdeveloper vragen. Moest je daar onze hulp bij nodig hebben, helpen onze webdevelopers je daar graag mee verder. Neem dan zeker contact met ons op. 

1.8 Gebruikers

Ga na wie er toegang heeft tot Google Analytics en verwijder eventueel personen die hier geen toegang meer tot nodig hebben. 

2. Google tag manager

  • Alle tags die te maken hebben met persoonlijke data, denk bijvoorbeeld aan Hotjar, remarketing, LinkedIn Insight Tag, Facebook tracking pixel … dienen tegengehouden te worden totdat de websitebezoeker goedkeuring geeft voor jouw cookies.
  • Hiervoor dien je een nieuwe trigger te maken die enkel afvuurt als de websitebezoeker de cookies goedgekeurd heeft.
gdpr7

3. Cookie banner

  • Op de website zal er een cookie banner moeten verschijnen waarbij de websitebezoeker de mogelijkheid krijgt om de cookies te aanvaarden of af te keuren
  • In het ideale geval geef je hen ook de mogelijkheid om te kiezen welke cookies er mogen geplaatst worden en geef je hier extra informatie over

4. Cookie policy

In de cookie policy dien je een duidelijk overzicht te geven van onder andere onderstaande items:

  • Welke informatie wordt er bijgehouden
  • Wie verzamelt deze informatie
  • Hoe is deze informatie verzameld
  • Waarom wordt deze informatie bijgehouden
  • Hoe ga je deze informatie gebruiken
  • Met wie wordt deze informatie gedeeld
  • Wat is het effect op de individuen die je website bezoeken
  • Een duidelijk overzicht van First & Third party cookies
  • Google Analytics: Dat er een bewerkersovereenkomst is afgesloten
  • Google Analytics: Dat de gegevens anoniem worden verwerkt
  • Google Analytics: ‘gegevens delen’ is uitgeschakeld
  • Google Analytics: dat er geen gebruik wordt gemaakt van andere Google diensten in combinatie met Google Analytics cookies.
  • Uitleg over hoe ze de cookies kunnen verwijderen

Neem hierbij zeker ook eens een kijkje in onze eigen cookie verklaring.

GDPR 2

5. Copy website

Voorzie bij elk contactformulier, inschrijvingsformulier, nieuwsbrief inschrijving, … een tekstje waar je duidt: 

  • waarom je die informatie nodig hebt en
  • waarvoor je die informatie gaat gebruiken en
  • hoelang je de informatie bijhoudt.
GDPR 8

6. Dubbele opt -in

Als bezoekers zich inschrijven voor je nieuwsbrief, vergeet dan in eerste plaats het tekstje niet (zie rubriek 5. Copy website).

Om te kunnen bewijzen dat de gebruiker toestemming heeft gegeven (de ‘verantwoordingsplicht') om bijvoorbeeld nieuwsbrieven te ontvangen, is het gebruik van een dubbele opt-in ideaal. De bezoeker zal na het invullen van zijn/haar e-mailadres een e-mail ontvangen waarin een bijkomende verificatie gevraagd wordt. Pas na de bevestiging hiervan, zal het e-mailadres opgenomen worden in de databank.

Meer informatie over GDPR

CarFreeDay Leuven

Heb je vragen omtrent GDPR voor jouw website? Neem dan vrijblijvend contact op met Calibrate.