Het verzamelen en analyseren van data is voor vrijwel elke organisatie een essentieel onderdeel van de activiteiten geworden. De manier waarop die gegevens verzameld worden, is echter steeds meer aan regels onderhevig. In deze tweedelige serie bekijk ik zes verschillende methoden om bezoekers- en gebruikersdata te bijeen te brengen.
In de vorige aflevering van deze serie ging ik in op analytics trackers, first-party tracking/cookies en privacyvriendelijke analytics. Deze keer zijn ‘cookie-loze’ tracking, opt-in only tracking en het verzamelen van anonieme data aan de beurt.
- Cookieloos volgen
‘Cookie-loze’ tracking is bedoeld om gebruikers of hun apparaten te volgen, als zij cookies verwijderen of als gebruikers geen trackers toestaan. ‘Cookie-loze’ tracking, ook bekend als fingerprinting, identificeert terugkerende gebruikers door het combineren van vergelijkbare patronen van gegevens die herleidbaar zijn tot een persoon (bijvoorbeeld naw-gegevens, ip-adres of logingegevens) en data die herleid zijn te herleiden naar een specifiek individu, zoals geslacht, woonplaats, leeftijd of beroep.
De meeste analytics-platforms gebruiken een client-side-methode. Dit betekent dat er een JavaScript-code en de gewenste tags op de browser van de gebruiker worden geplaatst. Die code verzamelt vrij algemene informatie zoals ip-adres, browsertype en -versie, browserplugins, standaardtaal, schermresolutie en besturingssysteem.
Deze data lijken misschien abstract, maar samen kunnen ze persoonlijke gegevens worden. In veel gevallen is het mogelijk deze informatie, samen of met andere unieke identificatiemiddelen, te gebruiken om de informatie te koppelen aan een specifiek persoon of een groep personen. Als die koppelingen mogelijk zijn, is voor cookie-loze tracking wél specifieke toestemming van de betrokkene nodig [regel 24 van de ePrivacy-richtlijn 2002/58/EG].
Verwarrend
Hoewel cookieloos tracken veel voordelen biedt, wordt het analyseren van gegevens hierdoor mogelijk moeilijker. Dit is vooral het geval als je fingerprints probeert te gebruiken voor tracking ‘over sessies heen’. Dit kan leiden tot verwarrende profielen, omdat twee sessies van één bezoeker als twee aparte profielen worden gezien. Sessies van meerdere bezoekers zijn zo ook ten onrechte te combineren tot één profiel. Misschien wel daarom is het gebruik van cookie-loze trackers niet vanzelfsprekend. Google Analytics 4 biedt weliswaar de mogelijkheid om cookieloos te tracken, maar het versnelde einde van Google Univeral Analytics (Google Analytics 3), op 1 juli 2023 creëert flinke uitdagingen voor veel organisaties, omdat GA4 totaal anders werkt.
- Opt-in only tracking
Wat privacyregelgeving betreft, is het kiezen voor alleen opt-in tracking een veilige aanpak. Zolang je de gegevens precies gebruikt zoals je beschrijft in de toestemming, blijf je in lijn met zelfs de strengste privacywetgeving. Als je persoonlijke gegevens verzamelt, moet je oppassen voor andere beperkingen, zoals de opslag van de gegevens en de rechten van de betrokkenen. Als je geen persoonsgegevens verzamelt, is alleen opt-in-tracking zelfs nog veiliger – door toestemming te vragen voor het verzamelen van anonieme gegevens blijf je ruim binnen alle huidige dataprivacyregelgeving.
Toestemming
Opt-in only tracking is dus volledig gebaseerd op de toestemming van de gebruiker. Hoe verzamel je die gegevens op de juiste wijze? Volgens artikel 7, Grond 32 van de AVG moet de betrokkene vrijelijk, specifiek, geïnformeerd en ondubbelzinnig met de verwerking van zijn persoonsgegevens instemmen. Dit kan bijvoorbeeld door te klikken op een vakje bij een bezoek aan een website, of het selecteren van technische instellingen voor diensten of een verklaring waaruit blijkt dat de betrokkene bewust instemt met de verwerking van zijn persoonsgegevens. Bovendien moet elke gebruiker zijn toestemming kunnen weigeren of de mogelijkheid hebben om zijn toestemming op elk moment in te trekken.
Opt-in tracking kent echter ook nadelen. Als een gebruiker geen toestemming geeft, betekent dat er geen gegevens worden verzameld. De ervaring leert dat 30% tot 50% van de gebruikers toestemming geeft voor tracking, afhankelijk van de bedrijfstak en van het land. Soms zijn de gegevens die zijn verzameld met alleen opt-in-tracking niet genoeg om een volledige analyse te maken. Jouw organisatie kan aanvullende gegevens nodig hebben voor analyses. Daarom bieden analytics-leveranciers tal van oplossingen die enigszins van elkaar verschillen in hun gebruik van trackingmethoden met en zonder cookies.
- Anonieme gegevensverzameling
Het risico met opt-in tracking is dat zodra een gebruiker toestemming negeert of weigert, er geen persoonsgegevens zijn te verzamelen. Er moet dus een andere manier zijn om anoniem data te verzamelen. Anoniem betekent in dit verband dat het gaat om data die niet direct of indirect herleidbaar zijn tot een specifiek persoon. Anonieme data vallen daarom buiten de regels van de AVG. Om te komen tot het verzamelen van anonieme data bieden sommige platforms hashing of pseudonimisering van persoonsgegevens aan. Hierop is de AVG wél van toepassing omdat het hier om persoonsgegevens gaat.
Sessiegegevens
Een mogelijke oplossing voor het tracken van gebruikers zonder cookies is door anoniem gegevens te verzamelen met behulp van sessiegegevens. Hierbij wordt een sessie-identificatiecode in de vorm van een vingerafdruk van het apparaat ingevoerd. Deze koppelt gebeurtenissen, zoals paginaweergaven, aan één sessie. De gebruiker kan niet worden geïdentificeerd of getraceerd over sessies heen. Hierdoor zijn de verzamelde gegevens betrouwbaarder dan andere anonieme datatrackingmethoden.
Er zijn dus verschillende manieren om data van gebruikers te verzamelen, al dan niet met verplichte toestemming. De meeste methoden voor het bijhouden van analyticsgegevens kunnen in principe privacyvriendelijk zijn, maar ze kunnen vaak ook gebruikt worden om ongeoorloofde gegevens te verzamelen. De uiteindelijke aanpak is afhankelijk van de specifieke details van een analyseproject. Die details zijn natuurlijk afhankelijk van de intenties van de organisatie, maar ook van de mogelijkheden die ze bieden. Het is dan ook verstandig om de verschillende analyticsplatforms goed te onderzoeken om te kijken of deze de gewenste resultaten en inzichten opleveren, maar wel rekening houdend met de privacy en de geldende wet- en regelgeving op dit gebied.