Meten is weten! Daarom verzamelt vrijwel iedere website gegevens van haar bezoekers. Bijvoorbeeld het aantal bezoekers, hoe lang ze op de website verblijven, welke pagina’s bezocht worden. Deze gegevens vertellen niet alleen veel over een website maar ook over haar bezoekers. Om die reden is het verzamelen van de gegevens een verwerking van persoonsgegevens in de zin van de Wbp. Het is echter vaak niet helder aan welke wetgeving het verzamelen van bezoekersgegevens moet voldoen. Dit artikel brengt daar verandering in.

Minder relevant voor particulieren.

Om te voorkomen dat iemand ten onrechte angst aangejaagd wordt het volgende: De Wet bescherming persoonsgegevens is niet van toepassing op huiselijk en privégebruik. Het verzamelen van bezoekersgegevens voor een persoonlijk weblog valt bijvoorbeeld onder privégebruik. Dat verandert weer als uit het weblog inkomsten uit advertenties komen. Dan worden de persoonsgegevens uit zakelijke motieven gebruikt en is de Wbp. wel van toepassing.

Wat is Google Analytics?

Google Analytics is een softwarepakket waarmee bezoekersgegevens verzameld worden. Met een marktaandeel van 63% heeft Google Analytics het grootste gedeelte van de markt in handen. Daarom richt dit artikel zich voornamelijk op Google Analytics.

Zijn bezoekersgegevens persoonsgegevens?

Het antwoord op deze vraag is: ja! Het College Bescherming Persoonsgegevens (CBP) heeft onlangs bepaald dat bezoekersgegevens persoonsgegevens zijn. De verzamelde gegevens vertellen immers veel over de persoon die een website bezoekt. Iemand die een pagina over pony’s bezoekt zal bijvoorbeeld interesse hebben in pony’s. Op die manier kunnen uitgebreide profielen worden gemaakt van een bezoeker. In dit artikel wordt meer uitgelegd over bezoekersgegevens en persoonsgegevens. Omdat bezoekersgegevens persoonsgegevens zijn is het verwerken ervan onderhevig aan de Wbp..

Google Analytics als bewerker.

In dit artikel wordt meer uitgelegd over het verschil tussen een bewerker en een verantwoordelijke.

De bezoekersgegevens worden verzameld ten behoeve van de beheerder van de website. Daarom kan de beheerder van de website als verantwoordelijke worden aangemerkt.
Google Analytics draait op de servers van Google. De beheerder van de website installeert slechts een korte code waarmee Google toestemming krijgt om de bezoekersgegevens te verzamelen. Google maakt hier vervolgens rapporten van die de Website-beheerder weer kan opvragen.
In feite besteedt de beheerder hiermee een groot gedeelte van de verwerking van de bezoekersgegevens uit aan Google. Google verzamelt de gegevens immers, slaat ze op én verwerkt ze tot een rapport. Zoals in dit artikel omschreven kan de verwerking van persoonsgegevens worden uitbesteed aan een derde. Deze derde wordt de bewerker genoemd. Dit is wel aan een aantal wettelijke beperkingen gekoppeld.

Google Analytics verzamelt gegevens met behulp van tracking-cookies. Ingevolge artikel 11.7 Tw is het gebruik van cookies weliswaar toegestaan maar alleen nadat toestemming daarvoor is verkregen. Dat is de reden dat de meeste websites een cookie pop-up gebruiken.

Enkele aandachtspunten voor beheerders bij het gebruik van Google Analytics.

Zoals hierboven kort omschreven is het verzamelen van bezoekersgegevens een verwerking in de zin van de Wbp. Daarnaast wordt door Google Analytics gebruikt gemaakt van cookies, waardoor rekening moet worden gehouden met cookiewetgeving.

Hieronder worden een paar aandachtspunten gegeven waar als beheerder van een website rekening kan houden.

Google moet kwalificeren als bewerker.

Een bewerker verzamelt persoonsgegevens ten behoeve van de verantwoordelijke. De verantwoordelijk bepaalt het doel en de middelen van de verwerking. Google mag de gegevens dus niet zelf gebruiken of op eigen initiatief aan derden verstrekken. Anders is Google geen verwerker maar een mede-verantwoordelijke.
Standaard geeft de beheerder aan Google toestemming om de bezoekersgegevens aan derden te verstrekken. De website-beheerder doet er dan ook verstandig aan om de privacy-instellingen op dit punt aan te passen.

Sluit een bewerkersovereenkomst af.

De verantwoordelijke is verplicht een bewerkersovereenkomst te sluiten met de bewerker. Sinds 9 september 2013 stelt Google deze overeenkomst ter beschikking. Met een enkele druk op de knop kan de beheerder met Google een bewerkersovereenkomst aangaan. Het is dus verstandig om dat te doen.

De verantwoordelijke is verantwoordelijk: Controleer Google.

De term verantwoordelijke is niet per toeval gekozen. De verantwoordelijke is verantwoordelijk voor de persoonsgegevens, ook als de gegevens door derden (in dit geval Google) verwerkt worden.
Daarom heeft de verantwoordelijke de plicht te controleren dat Google zich aan de gemaakte afspraken houdt, en vooral of de gegevens adequaat beveiligd worden! In de praktijk vindt deze controle natuurlijk niet plaats. Google zou immers raar opkijken als een website-beheerder hiervoor aanklopt bij Google.
Dat neemt niet weg dat bij enig conflict, of een fout van Google, de verantwoordelijke hierop wordt aangesproken door het CBP, niet Google. Het zal niet snel voorkomen dat iets verkeerd gaat bij Google maar toch iets om in ieder geval in het achterhoofd te houden.

Voor verwerking is toestemming nodig van de bezoeker.

Persoonsgegevens mogen slechts worden verwerkt op basis van een rechtvaardigingsgrond. (Zie voor meer informatie dit artikel) In het geval van bezoekersgegevens op een website komt alleen de rechtvaardiging op grond van toestemming (art. 8 lid a Wbp.) in aanmerking. Er is pas sprake van toestemming als deze vrij is, geïnformeerd is en een actieve handeling is. De beheerder van de website moet de bezoeker dus informeren over de verwerking van de persoonsgegevens voordat de verwerking plaatsvindt. Dat gebeurt meestal met een link naar de privacy-statement. De gebruiker moet de website ook kunnen bezoeken als hij de toestemming weigert, om die reden is een cookie-muur dan ook niet toegestaan. Tot slot moet de toestemming een actieve handeling omvatten die gericht is op het geven van toestemming. Het niet aanvinken van een checkbox is daarom geen toestemming. Ook het klikken op een link naar meer informatie is om die reden geen toestemming.

Ook voor het gebruik van trackingcookies is toestemming vereist, op grond van art. 11.7 TW. De trackingcookies zijn namelijk niet essentieel voor het functioneren van de website. Immers, een website kan ook geëxploiteerd worden zonder bezoekersgegevens. Voor deze toestemming gelden eenzelfde eisen als voor de toestemming voor persoonsgegevens. Het is dus gemakkelijk om in één keer toestemming te vragen voor zowel de cookies als het verwerken van persoonsgegevens.

De verantwoordelijke heeft een informatieplicht.

De verantwoordelijke is verplicht om de betrokkene te informeren over de verwerking van persoonsgegevens. Zoals hierboven omschreven is deze informatie ook vereist voor het verkrijgen van toestemming. Meestal wordt een privacy statement gebruikt om aan de informatieplicht te voldoen. Een privacy-statement moet wel een goed beeld geven van de werkelijke situatie. Maar al te vaak wordt een privacy-statement lukraak van het internet geplukt. Dat is onverstandig omdat er in iedere organisatie anders wordt omgegaan met persoonsgegevens.

Meld de verwerking bij het CBP.

Een verwerking van persoonsgegevens moet bij het CBP gemeld worden (art. 27 Wbp.). Dat kan via deze pagina. De beheerder van de website moet dus aangeven dat op zijn website bezoekersgegevens verzameld worden.

Een alternatief voor Google Analytics: Piwik!

Het gebruik van Google Analytics blijft op gespannen voet met de privacy van de gebruikers staan. Zeker in een tijd waarin de Amerikaanse inlichtingendiensten deze data kunnen inzien. Daarbij blijft het lastig om een grote partij als Google te controleren op nakoming van de overeenkomst, terwijl de eigenaar van de website wel verantwoordelijk is daarvoor.

Voor de beheerder van deze website waren deze bezwaren in ieder geval voldoende om opzoek te gaan naar een alternatief. Dat alternatief is Piwik, een open-source webanalytics-pakket. Piwik wordt geïnstalleerd op een eigen server, waardoor geen gebruik hoeft te worden gemaakt van een externe verwerker. Ook kan Piwik worden zo worden ingesteld dat geen gebruik wordt gemaakt van cookies. Het beste van alles: Piwik is gratis.
Overigens ontslaat het gebruik van Piwik de beheerder niet van de informatieplicht, toestemmingsplicht en meldingsplicht.

Wat is het gevolg van niet voldoen aan de Wbp.

Het CBP kan handhavend optreden tegen onrechtmatige verwerkingen van persoonsgegevens. In praktijk zal dat echter niet snel voorkomen aangezien het CBP slechts beperkte capaciteit heeft. Het handhaven van alle websites die Google Analytics gebruikt is simpelweg niet mogelijk. Buiten dat handhaving van iedere website weinig efficiënt is.

Dat neemt niet weg dat een organisatie zich wel aan de wet dient te houden, zeker op een belangrijk punt als privacy. Dat is ook naar je afnemers een teken dat je een serieuze organisatie bent. Met slechts een paar kleine aanpassingen kan namelijk al voldaan worden aan relevante privacywetgeving.

De oplettende lezer zal tenslotte opmerken dat ook de Lexxit website op één punt (nog) niet voldoet aan de privacywetgeving. Lexxit vraagt namelijk geen toestemming voor de verwerking van persoonsgegevens. Daar wordt aan gewerkt. Wél is lexxit overgegaan op Piwik en heeft zij Piwik zo ingesteld dat geen cookies meer gebruikt worden.

Kan dit artikel gebruikt worden in een juridische procedure?

Dat is onwaarschijnlijk. Om die artikel voor consumenten leesbaar te maken is namelijk wat van de juridische precisie geofferd. Het is voor niet-juristen bovendien niet eenvoudig om de juridische accenten in een casus te herkennen. Dat is vergelijkbaar met het bouwen van een huis op basis van een schetstekening.

Dit artikel is voornamelijk bedoeld om een algemeen beeld te geven van de juridische aspecten van het internet. Lexxit raadt dan ook af om op basis van dit artikel enige juridische stappen te ondernemen. Dat kan veel schade veroorzaken.

Heeft u een vraag over persoonsgegevens?

Mocht u een vraag hebben over persoonsgegevens dan kunt u deze aan Lexxit stellen. U kunt contact opnemen met Lexxit door op de onderstaande knop te drukken.

Lexxit persoonsgegevens

Licentie

Creative Commons-Licentie
Lexxit Knowledge van Lexxit is in licentie gegeven volgens een Creative Commons Naamsvermelding-NietCommercieel-GelijkDelen 3.0 Unported-licentie.
Gebaseerd op een werk op www.lexx-it.nl.

Lexxit geeft vrijblijvend advies over uw casus!

Meld internetmisbruik