gdpr

GDPR, GA en GTM: 4 concrete tips

Nog een paar maandjes en de transitieperiode van GDPR is voorbij. Je hebt dan officieel 2 jaar de tijd gekregen om je zaken op orde te hebben. Geen smoesjes meer, geen uitwegen. Voldoe aan de regels of neem het risico op (flinke) boetes. Daarom nog even op een rij wat je in ieder geval in Google Analytics en Google Tag Manager kunt doen om je netjes aan de regels te houden.

Het moet toch nog even: GDPR?

Hé?  General Data Protection Regulation
Wanneer? vanaf 25 mei 2018
Uuuuhhhh? Oké, de GDPR heel beknopt in 5 punten:

  1. Meer rechten voor individuen
    Recht op inzage data en recht om vergeten te worden.
  2. Beveiliging en melding datalekken
    Je bent (en was al) verplicht datalekken te melden bij de autoriteiten. En je bent verplicht voldoende maatregelen te nemen zodat data veilig is.
  3. Organisatorische en administratieve verplichtingen
    De papieren op orde (onder meer dataverwerkingsovereenkomsten), de organisatie op orde (Data Protection Officer voor dataverwerkers).
  4. Nieuwe regels profiling en monitoring
    (Geautomatiseerd) profileren mag met toestemming, maar de geprofileerde moet aan het profileringsproces kunnen ‘ontkomen’ en heeft het recht te weten op basis waarvan keuzes zijn gemaakt die opties beïnvloeden.
  5. Hogere boetes
    Boetes kunnen oplopen tot 20 miljoen euro of hoger of 4% van de jaarlijkse omzet van een organisatie.

Concreet: wat kun en moet je doen

Ik beperk me tot de technische optimalisaties in GA en GTM. Dat je een heldere privacy policy moet hebben spreekt voor zich, net als het regelen van toestemming voor het activeren van third party pixels zoals Facebook, Doubleclick, Twitter, Youtube, etc.

1.Zorg dat je de tags alleen met de juiste toestemming afvuurt.

trigger_cookieOm de keuze van een bezoeker voor het wel of niet tracken op te slaan wordt een cookie opgeslagen. Die waarde kun je uitlezen en gebruiken voor je triggers. Simpel en effectief. Je kunt met blokkeringsregels werken of specifieke activeringsregels instellen.
trigger_cookie2

Wil je het helemaal netjes doen, lees dan de Do Not Track functie van de browser uit. Met een Custom Javascript variabele lees je uit of iemand Do Not Track (DNT) geactiveerd heeft in de browser. In dat geval raad ik aan alleen de meest essentiële tags triggeren.
var_dnt

2. Strip parameters van de URL’s

Parameters kunnen persoonlijke informatie bevatten. Als je dit ergens ziet, ga dan direct naar de developers van de site. Het is namelijk in potentie een flinke data breach. Elk extern scriptje op de site kan de URL namelijk uitlezen. Ik verwijder daarom standaard alle parameters van URL’s in Google Analytics. Staat er relevante informatie in, zorg dan dat je die informatie in aangepaste dimensies zet. Er zijn 3 opties om te voorkomen dat parameters in Google Analytics komen:

  1. View settings
    exclude_param_viewDe meest simpele en bekende optie. Voeg parameters toe bij Exclude URL Query parameters. Helaas pak je hier niet automatisch alle parameters mee.
  2. View filters
    exclude_param_filterMet een Search & Replace filter verwijder je eenvoudig alle parameters. Let dus op dat je waardevolle informatie van bepaalde parameters in een aangepaste dimensie zet.
  3. GTM Field Value
    Voeg in de GA tag in GTM bij Fields to Set Page toe met als waarde Page Path. Nu worden parameters niet meer naar Google Analytics gestuurd. UTM-tagging komt overigens nog steeds gewoon binnen als je dit instelt.
    exclude_param_gtm

3. Activeer remarketingopties in GA alleen na expliciete toestemming

Het opbouwen van remarketinglijsten voor Adwords en Doubleclick in Google Analytics is superhandig. Maarrr, je mag die remarketingopties pas aan zetten na expliciete toestemming. Dus hoe doe je dat zonder ingewikkelde triggers en dubbele tags in GTM? Met de DisplayFeaturesTask en de waarde null of true. Staat de waarde op null dan worden remarketingopties niet geactiveerd, bij true wel. En die waardes kun je natuurlijk weer afhankelijk maken van de waarde van cookie consent cookies.
displayFeaturesTask

4. Houd je gebruikerslijst in Google Analytics up to date

Check regelmatig wie er allemaal toegang hebben tot Google Analytics. En maak het jezelf makkelijk door bijvoorbeeld alleen persoonlijke accounts gekoppeld aan daadwerkelijke organisaties toe te laten. Geen jantje63@gmail.com of een info@destatistiekfabriek.nl bijvoorbeeld. Oh, en in dat kader nog een tip:

Maak een Google Analytics Organisation aan
Sinds een tijdje is die mogelijkheid er voor de gratis versie van Google Analytics. En het biedt wat extra mogelijkheden zoals het toewijzen van een Organisation Admin, instellen van beleidsregels en inzien wanneer iemand voor het laatst is ingelogd.

useradmin

Tot slot nog wat kleine punten:

Anonymize IP aanzetten: Natuurlijk moet je de IP-adressen anonimiseren  zodat Google niet alle IP-adressen verzamelt van jouw site-bezoekers. Gelukkig is dat simpel te doen met de anonymizeIp-optie in GTM.
Up to date bewerkingsovereenkomst met Google Analytics: Bij settings op account level kun je deze accepteren.
Dubbelcheck op alle dimensies en events: Check nog eens goed of de informatie inderdaad geanonimiseerd is. Geen huisnummers, postcodes, telefoonnummers, kentekens, geboortedata of een combinatie daarvan? Mooi 🙂

En just in case..

Bepaal jij mede wat er verzameld wordt? Twijfel je of iets onder profileren of PII (persoonlijk identificeerbare informatie) valt? Dubbelcheck bij je legal afdeling of zorg dat de organisatie in ieder geval een intern of extern juridisch onderlegd persoon heeft waar je terecht kunt.

Reacties (12)

Reacties zijn gesloten.