Gebruik jij Google Analytics om de prestaties van jouw website te monitoren? En ben je bang dat de AVG roet in het eten gaat gooien?
Wees gerust: met de 6 stappen in dit artikel kun je Google Analytics privacyvriendelijk instellen en ook na 25 mei 2018 – als de AVG van kracht wordt – blijven gebruiken.
1 – Een Verwerkersovereenkomst met Google afsluiten
De AVG stelt dat jij als ‘Verantwoordelijke’ een Verwerkersovereenkomst moet afsluiten met Google (de Verwerkervan de persoonsgegevens van jouw websitebezoekers). Je kunt deze overeenkomst met Google aangaan via het instellingenmenu van Google Analytics (Inloggen -> Beheer -> Accountinstellingen -> Scroll naar het juiste kopje om te (gewijzigde) voorwaarden in te zien en te accepteren).
2 – Google niet het volledige IP-adres laten verwerken
IP-adressen bestaan uit 4 zogeheten ‘octetten’ van elk 3 cijfers. Google biedt de mogelijkheid om het laatste octet van het IP-adres van jouw websitebezoekers te verwijderen. Dit gebeurt in het tijdelijk geheugen, nog voordat het IP-adres door Google wordt opgeslagen. Google noemt dit ‘anonimiseren’. De Autoriteit Persoonsgegevens(AP) vindt dat het resterende deel van het IP-adres nog steeds een persoonsgegeven is, maar het verwijderen van het laatste octet wordt wél gezien als een belangrijke maatregel om de risico’s voor websitebezoekers te verkleinen. Slim dus om dit z.s.m. te regelen door aan jouw websitebeheerder te vragen om de zogeheten tracking-code uit te breiden met het hieronder ‘geel gearceerde’ stukje code. Vergeet niet op een screenshot te maken van de code met de datum/tijd waarop je deze code hebt toegevoegd en bewaar dit in jouw verwerkingsregister: zo kun je altijd aantonen dat en wanneer je deze maatregel hebt doorgevoerd.
https://rvo.regelhulpenvoorbedrijven.nl/avg/#/welkom
Regelhulp Algemene verordening gegevensbescherming
Met deze Regelhulp van de Autoriteit Persoonsgegevens (AP) krijgt u in 10 stappen een beeld van waar u aan kunt werken om goed voorbereid te zijn op de Algemene verordening gegevensbescherming (AVG). Dit is de nieuwe Europese privacywet waar iedere organisatie zich vanaf 25 mei 2018 aan moet houden.
Voor wie is de AVG-Regelhulp bedoeld?
Deze Regelhulp is bedoeld voor verwerkingsverantwoordelijken. Oftewel: voor iedere organisatie, groot of klein, die persoonsgegevens verwerkt en daarvoor zelf het doel en de middelen bepaalt. Dus onder meer voor bedrijven, overheidsinstanties, stichtingen en kleine zelfstandigen.
https://www.nederlandict.nl/self-assessment/
DATA PRO SELF-ASSESSMENT
Vul dit self-assessment in om te toetsen in hoeverre je al voldoet aan de eisen van de Avg (GDPR) voor verwerkers. Weet je niet zeker of je verwerker bent? Doe de quickscan op de helpdesk Avg. Het self-assessment is gebaseerd op de acht principes van de Data Pro Code. Na het invullen krijg je per mail een totaalscore en een score per principe. In een korte toelichting vertellen we je bovendien welke maatregelen er per principe nodig zijn om 100% te scoren.
We raden je aan het self-assessment eerst uit te voeren als nulmeting. Op basis van de uitkomsten en de toelichting kun je bepalen welke maatregelen prioriteit krijgen. In Stap 3 bieden we een checklist en een Avg Toolkit die je helpen om deze maatregelen te nemen.
3 – Gegevens delen met Google uitzetten
In de standaardinstellingen van Google Analytics is aangevinkt dat u gegevens deelt met Google voor de volgende 5 doelen: producten en services van Google; benchmarking; technische ondersteuning; (toegang voor -) accountspecialisten; Google-(toegang voor -) verkopers/salesexperts. Als je deze standaardinstellingen niet wijzigt, ga je ermee akkoord dat Google de verzamelde persoonsgegevens van jouw bezoekers ook voor eigen doeleinden gebruikt. In dat geval treedt Google niet louter meer op als uw Verwerker, maar ook als Verantwoordelijke en dat is zonder expliciete toestemming van jouw bezoekers niet in lijn met de AVG. Zet alle opties dus uit via het instellingenmenu van Google Analytics (Inloggen -> Beheer -> Accountinstellingen ->Vink de 5 opties uit).
4 – Gegevens delen met Google voor advertentiedoeleinden uitzetten
Als je stap 3 hebt uitgevoerd, kan Google nog steeds gegevens van jouw websitebezoekers gebruiken, namelijk voor advertentiedoeleinden. Schakel ook dit uit via Property-instellingen -> Tracking info -> Gegevensverzameling -> Vink de 2 getoonde opties uit en klik op opslaan.
5 – Niet per ongeluk de functie voor User ID’s inschakelen
Google biedt de mogelijkheid om surfgedrag van verschillende apparaten en meerdere sessies te koppelen. Dit mag alleen met voorafgaande toestemming van gebruikers. Controleer daarom of deze instelling niet per ongeluk staat ingeschakeld. Ga naar Property-instellingen -> Tracking info -> User ID -> Check of de optie uitstaat of zet hem uit.
6 – Bezoekers goed informeren over het gebruik van Google Analytics en een opt-out aanbieden
Als je de bovenstaande stappen hebt gezet, mag je persoonsgegevens van websitebezoekers met Google Analytics-cookies verwerken zonder voorafgaande toestemming. Maar je moet bezoekers hier wél over informeren, bijvoorbeeld via jouw privacy policy. Neem hierin op dat je: Google Analytics-cookies gebruikt; Een Verwerkersovereenkomst met Google hebt gesloten; Het laatste octet van het IP-adres hebt gemaskeerd; De optie ‘gegevens delen’ hebt uitgezet en Geen gebruik maakt van andere Google-diensten in combinatie met de Google Analytics-cookies.
De AP adviseert om bezoekers ook nog een opt-outmogelijkheid te bieden voor Google Analytics. Om dit te realiseren, moet je een speciaal component toevoegen aan jouw website. Als je technisch onderlegd bent (of een goede technische website beheerder hebt) is dat prima te doen. Als dat niet het geval is, kun je terecht bij ConsentCookie, een dienst waarmee jouw websitebezoekers baas worden over eigen data.
NB: Dit artikel is gebaseerd op informatie die is verstrekt door de AP. Eventuele wijzigingen in de zienswijze van de AP voorbehouden.
https://www.ravib.nl/
Risicoanalyse voor Informatiebeveiliging
Deze website biedt u een gratis hulpmiddel voor het uitvoeren van een risicoanalyse voor informatiebeveiliging. Het gebruik van deze website vereist dat u inlogt. Klik hier voor het aanmaken van een account. Wilt u alleen rondkijken, maak dan gebruik van het demo-account.
Geaccepteerde standaarden
Bij de RAVIB methode wordt gebruik gemaakt van de geaccepteerde standaarden ISO 27002 en NEN 7510 en de richtlijnen BIR, BIG en BIWA. Voor de Privacy Impact Assessment module wordt gebruik gemaakt van de methode vanuit NOREA. Dit maakt het mogelijk om RAVIB in te zetten bij een certificeringstraject.
Eenvoudig in gebruik
Door middel van een duidelijke handleidingen een begrijpelijke interface, bent u als informatiebeveiliger in staat om zelfstandig een risicoanalyse uit te voeren. Met behulp van de rapportage die deze tool u biedt, kunt u zelf een plan van aanpak opstellen om de informatiebeveiliging binnen uw organisatie te verbeteren.
Geheel kostenloos
Het gebruik van RAVIB is volledig gratis, zonder addertje onder het gras. Heeft u, ondanks alle waarborgen, geen vertrouwen in het gebruik van een cloud-oplossing voor het uitvoeren van een risicoanalyse, dan is het zelfs mogelijk om deze tool in uw eigen omgeving te draaien.