Google Analytics onder uitzondering nieuwe cookiewet, maar wél onder strenge voorwaarden

Op de website van het CBP staat sinds gisteren een handleiding voor het privacyvriendelijk gebruik van Google Analytics. Vermoedelijk heeft het CBP dit gedaan vooruitlopend op de wijziging van artikel 11.7a Telecommunicatiewet (‘de cookiewet’), die op dit moment in de Eerste Kamer ligt. Hiermee lijkt het CBP de vraag te willen beantwoorden onder welke voorwaarden gebruik van Google Analytics valt onder de nieuwe uitzondering voor cookies met geen of geringe privacy-impact.

De handleiding benoemt vier stappen om Google Analytics privacyvriendelijk te gebruiken:

  1. Afsluiten van een bewerkersovereenkomst met Google.
  2. ‘Anonimiseren’ van het volledige IP-adres (door het laatste octet van het IP-adres te verwijderen).
  3. Gegevens delen met Google uitzetten.
  4. Informeren over het gebruik van Google Analytics en bieden van een opt-out-mogelijkheid.

De handleiding, die zonder enige nadere toelichting en op een moeilijk vindbare plek op de website van het CBP is gezet, licht gedetailleerd toe op welke manier deze vier stappen doorlopen dienen te worden.

Opmerkelijk is dat het CBP van mening is dat de gebruiker behoorlijk uitgebreid geïnformeerd moet worden over analytische cookies, zélfs wanneer er sprake is van een lage privacy-impact. Dat is niet in lijn met de doelstelling van het wetsvoorstel, dat gebruikers juist alleen wil informeren en toestemming verkrijgen wanneer er sprake is van meer dan geringe privacy-impact. Niet alleen moet de gebruiker van Google Analytics aan de websitegebruiker melden dát Google Analytics-cookies worden gebruikt, maar ook dat er een bewerkersovereenkomst met Google is gesloten, dat de laatste drie cijfers van het IP-adres worden gemaskeerd, dat ‘gegevens delen’ is uitgezet en dat er geen gebruik wordt gemaakt van andere Google-diensten in combinatie met de Google Analytics-cookies.

Handleiding privacyvriendelijk instellen van Google Analytics