Bedrijven moeten bij het verzamelen van gegevens van hun gebruikers voldoen aan privacywetgeving. Een probleem hierbij is dat de Algemene Verordening Gegevensbescherming (AVG) en verschillende andere privacywetten niet duidelijk regelen wie er toestemming moet vragen voor het verzamelen van deze gegevens. Deze wetten stellen dat ‘iemand’ toestemming moet vragen, maar specificeren niet bij wie deze verantwoordelijkheid ligt. Hierdoor komt het vaak voor dat technologiebedrijven zoals Google en Facebook gegevens van websitebezoekers verzamelen zonder voorafgaande toestemming, terwijl deze bedrijven de aansprakelijkheid hiervoor afschuiven op websitebeheerders.

Het doel van dit artikel is om te onderzoeken of het verzamelen van gegevens op websites door Google en andere Tech bedrijven in overeenstemming is met de Algemene Verordening Gegevensbescherming en hoe dit het beste ingericht kan worden. Hierbij wordt gekeken naar technische aspecten rondom het plaatsen van cookies en met welke instructies gegevens rondom privacy worden verrijkt voordat deze worden gedeeld met Google en sociale media. Daarnaast worden de consequenties besproken van de wijzigingen in de verzamelmethoden van Google als gevolg van de invoering van nieuwe privacywetgeving in de Verenigde Staten, almede of er nog juridische bezwaren blijven bestaan zijn met delen van deze gegevens.

Inhoudsopgave

  1. Introductie
  2. Hoe verzamelen platformen, gebruikersdata buiten hun eigen platform?
  3. Wat zijn trackingscripts?
  4. Het trackingscript van Google
  5. Wettelijke regels omtrent het verzamelen van persoonlijke informatie
  6. Google consent mode
  7. Conclusies
  8. Referenties

Introductie

Veel bedrijven laten organisaties zoals Google en Facebook, data van hun website verzamelen terwijl die organisaties vaak gelinkt worden aan privacy schandalen zoals Cambride Analytica (Graham-Harrison & Cadwalladr, 2021) waar persoonsgegevens van 50 miljoen mensen werden verkocht aan een politieke partij.

Websitebeheerders verzamelen gegevens door de trackingscripts van bijvoorbeeld Google op hun website te plaatsen om bezoekersgedrag in kaart te brengen. In dit artikel wordt besproken hoe deze scripts werken en waarom organisaties deze plaatsen.

Waarom willen bedrijven data van hun website verzamelen?

De website van een organisatie is tegenwoordig een belangrijk marketingkanaal dat wordt gebruikt voor de acquisitie van nieuwe klanten. Vaak wordt er online geadverteerd om de juiste mensen naar de website te trekken. Hier kunnen aanzienlijke kosten mee gepaard gaan en goed presterende advertenties en website kunnen ervoor zorgen dat een organisatie meer omzet draait.

Door het plaatsen van een script dat bezoekersgedrag in kaart brengt, kunnen de resultaten van succesvolle en minder succesvolle marketinginspanningen worden geïdentificeerd en het rendement op het marketingbudget verhoogd.

Doel van dit artikel

Dit artikel behandeld hoe website-beheerders gegevens laten verzamelen door Google en andere Tech bedrijven. Ook worden de voorwaarden waaronder deze gegevens verzameld worden, evenals de privacy-, ethische overwegingen en regelgeving hieromtrent besproken door vanuit een technisch en juridisch oogpunt naar de gegevensverzameling te kijken.

De centrale vraag die in dit artikel beantwoord moet worden is:
Hoe voldoet een website die gegevens door Tech bedrijven laat verzamelen aan de Algemene Verordening Gegevensbescherming?

Onderzoeksaanpak

Voor het beantwoorden van deze vraag is beperkt onderzoek gedaan. Dit bestond uit literatuuronderzoek, het analyseren van publiekelijk beschikbare informatie zoals de cookies die geplaatst worden in de browser van gebruikers en de informatie die wordt meegegeven aan gegevens die naar Google, Facebook en LinkedIn worden verstuurd op basis van browserinformatie.

Hoe verzamelen platformen, gebruikersdata buiten hun eigen platform?

Op hun eigen platform, zoals Google Search en YouTube, kan Google, gegevens verzamelen uit bijvoorbeeld zoekopdrachten en op welke zoekresultaten de gebruiker heeft geklikt. Echter, zodra de gebruiker het platform verlaat, zou Google het zicht op die gebruiker verliezen en niet weten welke pagina’s bezocht worden en welke acties ondernomen worden terwijl dat juist waardevolle informatie oplevert.

Andere platformen zoals Facebook ervaren vergelijkbare beperkingen. Om toch extra inzichten te verkrijgen, hebben deze platformen trackingscripts ontwikkeld waarmee websitebeheerders het effect van campagnes kunnen meten. Google gaat nog een stap verder door naast het script voor adverteerders ook een gratis dienst genaamd Google Analytics aan te bieden. Met deze service kunnen websitebeheerders gebruikersgedrag op hun site in kaart brengen door een trackingscript te plaatsen.

Het in kaart brengen van gebruikersgedrag is gebonden aan regelgeving. Gebruikers die een platform zoals Google of Facebook gebruiken, wordt bij het eerste gebruik van het platform toestemming gevraagd voor het volgen van hun gedrag op en buiten dit platform. Echter, met hulp van trackingscripts op websites worden ook bezoekers in kaart gebracht die geen Google of Facebook-account hebben en dus geen toestemming hebben gegeven voor het verzamelen van deze gegevens.

Wat zijn trackingscripts?

Een trackingscript is een stukje code dat door een platform als Google wordt aangeleverd met als doel gegevens te verzamelen. Een voorbeeld hiervan is het script voor Google Analytics. Een websitebeheerder kan dit op zijn website plaatsen, waarna het script informatie over het websitegebruik naar Google stuurt. Deze informatie bevat o.a. gegevens waarmee bezoekers te identificeren zijn en zodoende gevolgd kunnen worden. Google verwerkt deze data en toont in Google Analytics rapporten van het gebruik van de website. Google Analytics-gegevens kunnen ook gedeeld worden met het advertentieprogramma van Google (Google Ads), waardoor belangrijke doelen aan campagnes kunnen worden toegewezen.

Google gebruikt deze gegevens ook zelf. Volgens Dischler (2023) gebruikt Google deze gebruikersinformatie met hulp van kunstmatige intelligentie bij het optimaliseren van advertenties. Daarnaast worden gebruikers ingedeeld in demografische en interessedoelgroepen die Google gebruikt om campagnes van andere adverteerders te optimaliseren en bij gericht adverteren.

Hoe werken trackingscripts met cookies?

Om antwoord te kunnen geven op privacyvraagstukken, is enig inzicht in de technische werking van trackingscripts cookies nodig.

Cookies zijn kleine tekstbestanden die in een webbrowser zoals Chrome of Safari worden opgeslagen. Deze bestandjes worden een bepaalde tijd bewaard en bevatten veelal informatie om een gebruiker te identificeren. Dit is nodig omdat (web)-servers niet bijhouden wie een bepaalde gebruiker is en onthouden bijvoorbeeld ook niet dat die gebruiker reeds ingelogd is. Vervolgens als er gegevens naar de server wordt gestuurd, zal ook de inhoud van alle cookies worden meegezonden. Zodoende kan een webserver identificeren om welke gebruiker het gaat. Trackingscripts maken echter ook gebruik van deze cookies met als doel gedrag in kaart te brengen.

Er zijn twee type cookies. First-party cookies hebben, zoals ook te zien is in afbeelding 1, dezelfde domeinnaam als de website waarop ze geïnstalleerd zijn. Daarnaast zijn er third-party cookies, die een andere domeinnaam hebben (bijvoorbeeld google.com). Een belangrijk verschil tussen deze twee is dat bij third-party cookies dezelfde cookies gebruikt wordt als de gebruiker een andere website bezoekt waar ditzelfde script staat.

Als er op een website een trackingscript is geïnstalleerd dan zal dit script controleren of er reeds cookies met daarin identificeerbare gegevens zoals een gebruikers-id voor dat script aanwezig zijn en zal deze zo nodig eerst plaatsen. Telkens wanneer de gebruiker een pagina op de website waar het script staat bezoekt of een bepaalde actie onderneemt, verstuurt het trackingscript een bericht (verzoek) naar de server van bijvoorbeeld Google en verzoekt deze om de gegevens op te slaan. De gegevens bestaat uit informatie over de betreffende gebeurtenis, evenals de inhoud van de cookies waarmee de gebruiker kan worden geïdentificeerd en in bepaalde gevallen instructies rondom toestemming voor gebruik van deze gegevens.

Zodoende kan de organisatie die deze gegevens verzameld (bijvoorbeeld Google) deze bezoekers volgen en gedrag in kaart brengen. Bij first-party cookies is dit alleen mogelijk binnen dezelfde website. Om deze reden vormen third-party cookies ook een groter privacyrisico.

Afbeelding 1. Cookies die gebruikt worden op de website van de StackOverflow

Privacyrisico’s en regelgeving bij het gebruik van trackingscripts?

De data die bijvoorbeeld door Google en Facebook van websitebezoekers wordt verzameld bestaat moet geanonimiseerd zijn. Dat wil zeggen dat het geen direct identificeerbare gegevens zoals een naam of mailadres mag bevatten. Om toch afzonderlijke bezoekers te herkennen worden semi-geanonimiseerde gegevens gebruikt. Deze gegevens zijn semi-anoniem omdat ze identificeerbare informatie bevatten, zoals unieke gebruikers-id’s, zonder dat deze direct terug te herleiden zijn naar een persoon zoals bij een naam of emailadres.

Deze gebruikers-id is echter apparaat afhankelijk en vaak bezoekt een gebruiker meerdere malen de website via verschillende apparaten voordat er een gewenste actie wordt uitgevoerd. Om de gebruiker te identificeren worden vaak ook emailadressen en andere persoonsgegevens verstuurd, maar deze worden conform privacywetgeving wel versleuteld verzonden (Google, z.d.-c). Deze gegevens worden eerst versleuteld met hulp van een algoritme dat bij herhaling van dezelfde input ook telkens dezelfde output produceert (Gitlan, 2024). Zonder een lijst te hebben van niet versleutelde e-mailadressen is het uitermate lastig te herleiden om welke gebruikers het gaat. Bedrijven zoals Google en Facebook kennen de e-mailadressen van hun gebruikers en houden bij wanneer deze op een advertentie hebben geklikt. Op basis van deze gegevens kunnen ze alsnog herleiden dat het om dezelfde gebruiker gaat, zelfs als deze uiteindelijk op een ander apparaat een gewenste actie uitvoert.

In de Europese Unie geldt o.a. de Algemene Verordening Gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (z.d.-a) geeft aan dat websitebezoekers expliciet toestemming moeten geven voor opslag en verwerking van persoonsgegevens.

Hierbij definiëren ze cookies in drie verschillende categorieën:

  • Functionele cookies
  • Analytische cookies
  • Tracking cookies

Functionele cookies worden beschreven als cookies die essentieel zijn voor de werking van de website, bijvoorbeeld om gebruikers ingelogd te houden. Deze cookies vormen daarom ook geen privacyrisico.

Alle andere cookies vallen in de categorie trackingcookies. Er wordt wel onderscheid gemaakt tussen cookies die slechts gebruikersgedrag in kaart brengen, zoals die van Google Analytics, waarbij gebruikers niet te identificeren zijn, nog dat gebruikersinformatie wordt gebruikt voor marketingdoeleinden en gericht adverteren. Omdat scripts voor analytische doeleinden geen gebruikers kunnen identificeren, vormen ze ook een gering privacyrisico aldus de Autoriteit Consument en Markt (ACM, 2024).

Het trackingscript van Google

Het trackingscript van Google dat websitebeheerders kunnen gebruiken voor zowel het meten van gebruikersgedrag in Google Analytics als Google Ads is de Google Tag.

Hoe werkt de Google Tag?

Wanneer websitebeheerders de Google Tag op hun website plaatsen, registreert dit script gebeurtenissen zoals paginaweergave, klikken op buttons, hyperlinks, formulierinzendingen en andere interacties en stuurt informatie daarover naar de servers van Google.

Voor de werking voor Google Analytics zijn alleen ‘analytische’ first party cookies nodig. De Google Tag plaats deze cookies bij het eerste bezoek. Daarnaast controleert de Google Tag ook of een gebruiker met een Google-account is ingelogd. Indien dat het geval is, heeft de gebruiker reeds toestemming gegeven voor het volgen, waarna de Google Tag ook third-party cookies zal plaatsen.

Wat doet Google met gegevens uit Google Analytics?

Google Analytics is in beginsel een systeem voor het analyseren van bezoekersgedrag op websites. Door Google Analytics te koppelen aan Google Ads worden de gebruikersgegevens echter gebruikt in campagnes die door kunstmatige intelligentie worden aangestuurd, waardoor deze informatie gebruikt wordt voor gericht adverteren (Google, z.d.-a). Wanneer er ook third-party cookies worden geplaatst, kan Google deze gebruikers volgen en op basis van hun gedrag ze indelen in demografische en interessedoelgroepen.

Wettelijke regels omtrent het verzamelen van persoonlijke informatie

In 2022 heeft een Oostenrijkse rechter geoordeeld dat Google Analytics in strijd is met de AVG vanwege het verzamelen van identificeerbare gebruikersinformatie die buiten de EU wordt opgeslagen. Bovendien, gezien het toezicht van de Amerikaanse inlichtingsdienst op Google, worden deze gegevens mogelijk aan hun doorgegeven (Doorne, 2024). In Nederland heeft de Autoriteit Persoonsgegevens hier nooit veel nadruk op gelegd. Met de komst van het EU-US Data Privacy Framework dat in juli 2023 van kracht is gegaan zijn de meeste van de genoemde bezwaren weggenomen (Grevink, 2024).

Desondanks verzamelde Google Analytics nog wel persoonlijk identificeerbare gegevens. In 2020 heeft Google een nieuwe versie van Google Analytics (GA4) geïntroduceerd die wel voldoet aan de AVG-. Deze werd jaren naast de oude versie van Google Analytics gebruikt, maar die is sinds juli 2023 gestopt met het verzamelen van gegevens.

In 2021 werd Google consent mode geïntroduceerd (Google, z.d.-b). Hiermee kunnen websitebeheerders gegevens versturen op basis van de gegeven toestemming en de informatie verrijken met instructies aan Google voor welk doel er toestemming is gegeven.

Op 7 April 2024 is de American Privacy Rights Act (APRA) van kracht gegaan. In tegenstelling tot de AVG, waar alleen wordt vermeld dat er om toestemming gevraagd moet worden zonder duidelijk te specificeren wie dat moet doen (Autoriteit Persoonsgegevens, z.d.-b), vereist APRA dat Google duidelijkheid moet hebben over verkregen toestemming voordat persoonsgegevens verzameld mogen worden. Hierdoor kan Google niet meer de aansprakelijkheid afschuiven op alle websitebeheerders.

Google heeft in november 2023 Google consent mode v2 geïntroduceerd. Deze nieuwe versie zal identificeerbare cookie-informatie verwijderen uit het verzoek om de informatie op te slaan dat naar Google wordt verstuurd, zolang er geen toestemming is (Google, z.d-b). Om te voldoen aan de APRA-wetgeving heeft Google op 7 maart 2024 consent mode v2 verplicht gesteld en de werking van de Google Tag aangepast. Hierdoor worden gegevens die naar Google worden verzonden zonder implementatie van consent mode behandeld alsof er geen toestemming is verleend. De datum 7 maart is gekozen omdat de cookies die Google gebruikt 30 dagen bewaard mogen worden waardoor ze voor de ingangsdatum van APRA verwijderd zijn uit de browsers van gebruikers.

Hierdoor is met ingang van uiterlijk 7 april 2024 alle data die naar Google wordt verstuurd in overeenstemming met de AVG en APRA-wetgeving, tenzij expliciet wordt aangegeven dat er toestemming is terwijl dat niet het geval is.

Welke informatie wordt met Google gedeeld en onder welke voorwaarden?

De informatie die via de Google Tag wordt verstuurd, kan worden uitgebreid met instructies over de verkregen toestemming via consent mode. Hierdoor kunnen bijvoorbeeld instructies worden meegegeven, zoals toestemming voor het verzamelen van statistieken, maar geen toestemming voor het indelen van gebruikers in doelgroepen voor gepersonaliseerde advertenties.

Zodra de website wordt geladen, stelt Google consent mode de toestemmingsstatus in voor een aantal doeleinden. Wanneer scripts van Google worden afgevuurd, worden aan de berichten die naar Google worden verstuurd parameters toegevoegd over de verkregen toestemmingsstatus. Dit gebeurt echter alleen bij scripts van Google en niet bij andere platformen.

Tabel 1 consent type voor consent mode (Google, z.d.-d)

Google Tag Manager (GTM) is een applicatie die door Google beschikbaar is gesteld die het websitebeheerders in staat stelt om het afvuren van scripts (tags in GTM) te managen op basis van bepaalde voorwaarden. Hierin kan de toestemmingsstatus worden bijgehouden. Google geeft in tabel 1 weer waarvoor toestemmingsstatus ingesteld kan worden en wat de gevolgen daarvan zijn. Deze keuzes gaan verder dan de drie keuzes voor cookies die de Autoriteit Persoonsgegevens hanteert

Wat zijn de consequenties als er (nog) geen toestemming is?

Afbeelding 2 Consent state in Google Tag Manager

Dat er een keus voor toestemming is gemaakt, moet door middel van consent mode expliciet worden meegestuurd bij het verzenden van gegevens naar Google. Zolang dat niet het geval is, zullen alle toestemming statussen als ‘denied’ worden beschouwd en behandeld alsof er geen toestemming is. Hierdoor worden gebruikers ook niet ingedeeld in op interesse gebaseerde doelgroepen en mogen gegevens niet worden gebruikt voor gepersonaliseerd adverteren.

Aan de berichten die naar Google worden verstuurd, worden parameters met de toestemmingstatus meegegeven. In het bijzonder wordt de Google Consent State in de vorm van de GCS parameter aan het bericht meegegeven. Deze kan vier verschillende waarden hebben als uitgedrukt in tabel 2 (Ahava, 2024).

analytics_storage geweigerd en ad_storage geweigerdG100
analytics_storage geweigerd maar ad_storage toegestaanG101
analytics_storage toegestaan maar ad_storage geweigerdG110
analytic_storage en ad_storage toegestaanG111

Tabel 2 instellingen voor de Google Consent State headers

Conclusie

Om te evalueren of de gegevens die door platformen wordt verzameld voldoet aan de AVG, moet worden onderzocht met welke bedrijven data gedeeld wordt.

Door het forceren van Google Consent Mode voldoet de dataverzameling van Google op een website aan de AVG zolang hier niet expliciet wordt aangegeven dat er toestemming is terwijl dat niet het geval is. Echter werkt dit bij andere marketingscripts zoals Facebook Ads helaas niet zo. Het is dus nog steeds mogelijk gegevens door sociale media te laten verzamelen terwijl daar geen toestemming voor gegeven is.

Echter door consent mode te gebruiken kunnen die scripts hierop worden afgestemd en zal het versturen van die informatie beter afgestemd kunnen worden op gegeven toestemming voor het verzamelen van die gegevens.

Referenties

Acm. (2024, 2 april). Cookies plaatsen. ACM.nl. https://www.acm.nl/nl/verkoop-aan-consumenten/reclame-en-verleiden/online-beinvloeden/cookies-plaatsen

Ahava, S. (2024, 16 januari). Consent Mode V2 For Google Tags | Simo Ahava’s blog. Simo Ahava’s blog. https://www.simoahava.com/analytics/consent-mode-v2-google-tags/

Autoriteit Persoonsgegevens. (z.d.-a). Cookies. https://www.autoriteitpersoonsgegevens.nl/themas/internet-slimme-apparaten/cookies#wanneer-mogen-organisaties-tracking-cookies-plaatsen-op-mijn-computer

Autoriteit Persoonsgegevens. (z.d.-b). Grondslag toestemming. https://www.autoriteitpersoonsgegevens.nl/themas/basis-avg/avg-algemeen/grondslag-toestemming

Dischler, J. (2023, 23 mei). Introducing a new era of AI-powered ads with Google. Google. https://blog.google/products/ads-commerce/ai-powered-ads-google-marketing-live/

Doorne, V. (2024, 17 april). Maakt u gebruik van Google Analytics? – Van Doorne. Van Doorne. https://www.vandoorne.com/artikelen/maakt-u-gebruik-van-google-analytics/

Gitlan, D. (2024, 20 februari). What Is SHA-256 Algorithm & How It Works. SSL Dragon. https://www.ssldragon.com/blog/sha-256-algorithm/

Google. (z.d.-a). About audience segments – Google Ads Help. https://support.google.com/google-ads/answer/2497941?hl=en

Google. (z.d.-b). About consent mode modeling – Google Ads Help. https://support.google.com/google-ads/answer/10548233?hl=en

Google. (z.d.-c). [GA4] Verzameling van door gebruikers verstrekte gegevens – Google Analytics Help. https://support.google.com/analytics/answer/14077171?hl=nl-be

Google. (z.d.-d). Tag Manager consent mode support – Tag Manager Help. https://support.google.com/tagmanager/answer/10718549?hl=nl&sjid=16108383773722837755-EU

Graham-Harrison, E., & Cadwalladr, C. (2021, 29 september). Revealed: 50 million Facebook profiles harvested for Cambridge Analytica in major data breach. The Guardian. https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-influence-us-election

Grevink, G. (2024, 16 februari). Is voor het gebruik van Google Analytics 4 toestemming vereist? ICTRecht. https://www.ictrecht.nl/blog/is-voor-het-gebruik-van-google-analytics-4-toestemming-vereist-1