Google Analytics en de GDPR (AVG)

De “General Data Protection Regulation” komt steeds dichterbij en daarom is het van belang dat ondertussen ook jouw website hier en daar moet veranderen.

De GDPR, of in het nederlands “Algemene verordening gegevensbescherming” (AVG), is een wet binnen de EU die een hoop veranderingen met zich meebrengt, de wet is namelijk niet alleen regelgeving maar brengt ook veranderingen in verschillende definities rondom persoonsgegevens. Dit zorgt er ook voor dat je verandering aan zult moeten brengen in de manier waarop je gegevens verzameld via bijvoorbeeld Google Analytics.

In het geval van Google Analytics en persoonsgegevens zijn er twee veranderingen:

  1. IP adressen worden nu gezien als persoonsgegevens.
  2. Pseudo-identiteitsgegevens zoals een klant-id worden gezien als traceerbare gegevens.

Punt twee is een beetje een vaag punt en heeft meer te maken met gerichte advertenties dan enkel het verzamelen van gegevens, de regels rondt dit punt verschillen per type website en wat je met deze informatie doet speelt uiteraard ook mee.

Binnen de GDPR (en even alle uitzonderingen weg denken) is het noodzaak dat punt één moet worden geanonimiseerd en dat een overeenkomst wordt aangegaan met Google voor gegevensbewerking.

De overeenkomst voor gegevensbewerking en het delen van gegevens

    
De eerste stap om je google analytics GDPR-proof te maken is een overeenkomst afsluiten met Google voor gegevensbewerking. Deze overeenkomst houdt in dat Google de geanonimiseerde data mag verwerken. Zonder deze overeenkomst is het niet toegestaan om Google Analytics te gebruiken onder de GDPR, gelukkig is het afsluiten van deze overeenkomst hartstikke makkelijk gemaakt.
Om te starten klik je op beheer (rechtsonder) in je Google Analytics dashboard en navigeer je vervolgens naar je accountinstellingen (bovenaan de linkerkolom).
Binnen deze instellingen kun je naar beneden scrollen tot “Aanpassing van de gegevensverwerking” om hier de huidige status van je overeenkomst te zien.
Klik op de knop “Aanpassing bekijken” en volg de stappen op het scherm om de overeenkomst aan te gaan.
      
                                                                                
    
Naast de overeenkomst gegevensverwerking is het ook noodzakelijk dat je als website eigenaar stopt met het delen van Google-analytics gegevens met Google. Onder de nieuwe wetten is dit niet toegestaan zonder dat je expliciet een akkoord hebt van je websitebezoeker.
Het stopzetten van gegevens delen is ook mogelijk in je accountinstellingen (vlak boven het vak over de gegevensverwerking overeenkomst), zorg ervoor dat er geen enkel vakje over blijft met een vinkje erin.
        
                                                                             
        
Het switchen naar de Google Tag Manager
        
    
Dit is niet een verplichting en ook niet super noodzakelijk. Maar het aangeven aan Google welke gegevens wél of juist niet verzameld moeten worden is vele malen makkelijker via dit systeem.

Het is dus even aanpassen en een klein beetje tijd steken in het gebruiken van de Tag Manager maar dat zal ervoor zorgen dat je in de toekomst stukken makkelijker veranderingen kunt toepassen op je website, een bijkomend voordeel is dat de code van je website niet constant aangepast hoeft te worden.

De Google Tag Manager is te bereiken via de volgende link: https://tagmanager.google.com/?hl=nl#/home

Er wordt eerst gevraagd om een account en een “container” op te zetten. Het is hierbij verstandig om voor beide je website naam te gebruiken zoals op de afbeelding.

    
Vervolgens krijg je van Google 2 stukjes die je moet implementeren op je website. We hebben een kort stappenplan opgezet hoe je dit kunt doen op een standaard WordPress website.
  1. Download en installeer de plugin “Header and Footer scripts” op je WordPress website.
  2. Kopieer en plak de Google-code aangegeven met in het bovenste vak binnen de plugin.
  3. Kopieer en plak de Google-code aangegeven met in het onderste vak binnen de plugin.
  4. Sla de instellingen op.
  5. Verwijder nu je oude Google Analytics implementatie
    1. Meestal is dit via een plugin zoals MonsterInsights, dit heb je nu niet meer nodig en kun je dus verwijderen van je WordPress installatie.
De Google Tag Manager werkt met “Tags” en “Triggers”, dat klinkt heel gecompliceerd maar eigenlijk houdt het in dat jij als beheerder precies kunt aangeven wanneer welke data wordt verzameld op basis van een gebeurtenis. Hiermee kun je bijvoorbeeld aangeven dat Google Analytics data verzameld vanaf het eerste moment dat een website wordt bezocht maar dat een tool zoals Hotjar pas begint met opnemen zodra iemand op een specifieke knop drukt, dit biedt ontzettend veel vrijheid in de gegevens die je kunt verzamelen. Het beste hiervan is dat dit mogelijk is zonder dat je verder de code van je website hoeft aan te passen, het stukje Google code is genoeg.

De Tags en Triggers kun je zo gecompliceerd maken als je zelf wilt, nu houden we het redelijk simpel met enkel Google Analytics en het anonimiseren van IP adressen.

Het instellen van Google Analytics in de Google Tag Manager

    
Het werken met Google Tag Manager is even wennen, veel aspecten zijn nieuw en anders opgebouwd dan de traditionele Google producten zoals Analytics of Adwords.

Zodra je de code van Google Tag Manager hebt geïnstalleerd kom je (als het goed is) op het controlepaneel van de Tag Manager terecht, dit wordt je Werkruimte genoemd.

Je hebt verschillende werkruimtes per domein of applicatie dus let goed op dat je de juiste werkruimte hebt geselecteerd als je meerdere domeinen en/of applicaties inzet.

We starten met het maken van een nieuwe “Tag”, er komt nu een nieuw menu naar voren om deze Tag een naam te geven en in te stellen.

Het is handig om je Tag een duidelijke naam te geven van wat het is en doet, bijvoorbeeld “Google Analytics tag”.

Hierna is het zaak om de tag in te stellen en te configureren. Je ziet twee vakken:

Om een nieuwe Tag te kiezen kun je gewoon ergens in het bovenste vak klikken, een nieuw menu komt naar voren om een keuze te maken uit de beschikbare tags.

In dit menu kiezen we voor “Universal Analytics, Google Analytics”.

Nadat de tag volledig is ingeladen kun je verder met het configureren.

    
Het is noodzaak om de tag eerst te linken aan je gewenste Google Analytics profiel, hiervoor heb je het Google Analytics Tracking ID nodig. Het Google Analytics Tracking ID kun je in het dashboard van Google Analytics vinden: Klik binnen Google Analytics op de knop “beheerder”, en klik vervolgens op “JS-tracking info” (middelste kolom).

Helemaal bovenaan deze pagina is je Tracking Identificatie voor Google Analytics te vinden, het ziet er uit als “UA-999999999-9”.
Kopieer deze code, je zult hem zometeen nodig hebben in de Tag Manager.
     
                                                                              
    
Terug in de Tag Manager kan er gestart worden met het configureren van de Google Analytics Tag.
Klik op het veld “Tagconfiguratie” om de instellingen aan te passen, je ziet nu velden voor het tracking type en de google analytics instellingen.
In het veld bij “Google Analytics-instellingen” staat nu een tekst zoals “variabele voor instellingen selecteren”, dit veld gaan moeten we veranderen, klik op het veld en selecteer “nieuwe variabele”.
Er komt nu een nieuw menu naar voren om de Google Analytics instellingen aan te passen, geef de variabele een gewenste naam en plak je Google Analytics Tracking-ID in het daarvoor bedoelde vak. Sla de instellingen echter nog niet op.
     
                                                                               
    
Het is nu de bedoeling dat we data gaan anonimiseren zoals de IP adressen. Dit kan binnen hetzelfde menu onder “Meer instellingen”.

Selecteer vervolgens “Velden die moeten worden ingesteld” en voeg het volgende veld toe:
“anonymizeIp” met waarde “true”
Vul dit veld in met de waarde zoals op de onderstaande afbeelding.
        
                                                                               
    
De configuratie kan nu opgeslagen worden, je keert terug naar het menu van je Tag waar de volgende stap is om een “Trigger” in te stellen. Dit is simpel te doen door op het onderste veld (genaamd “Triggers”) te klikken. In het geval van Google Analytics is er maar een trigger mogelijk, een pageview trigger. Zodra je de Pageview trigger hebt geselecteerd kun je de aangemaakte tag opslaan.
       
                                                                             
    
Je nieuw gemaakte tag is nu opgeslagen maar nog niet actief, om je tag te activeren moet nog één knop aangeklikt worden:
De verzendknop op je dashboard.
        
                                                                              
    
Iets opslaan betekent in de Google Tag Manager niet dat iets ook direct actief wordt.

De Google Tag Manager is gemaakt met de gedachte dat meerdere personen binnen een team het gebruiken om veranderingen toe te passen, daarom komen de veranderingen eerst in een overzicht terecht zodat de eindverantwoordelijke alles nogmaals kan inzien en kan goedkeuren.

Als website eigenaar zul je echter alle rollen in dit traject zelf uitvoeren.
Door simpelweg op de knop “verzenden” te drukken worden je aanpassingen geactiveerd.

Je Google Analytics data is nu correct ingesteld met geanonimiseerde IP adressen.

Let op! De GDPR is enorm complex en het is daarom niet mogelijk om één artikel te maken dat voor iedereen klopt. Maak je gebruik van complexere integraties zoals Google Analytics + Adwords remarketing/Doubleclick, dan kunnen we alleen adviseren om contact op te nemen met een juridisch adviseur om specifiek te kijken wat wel of niet mag.

Wat is SSL en waarom is het nodig?

Startend bij de basis: SSL staat voor Secure Sockets Layer, het is dé implementatie voor beveiligde verbindingen als het gaat om internetverkeer en daarmee voornamelijk het verkeer tussen je computer en de website die je bezoekt.

De naam SSL kom je misschien niet heel vaak tegen maar het is de drijvende kracht achter een afkorting die wél erg bekend is, namelijk HTTPS. HTTPS zie je tegenwoordig overal en dat is maar goed ook want dat houdt in dat het internet steeds iets veiliger wordt.

Oké, maar wat doet SSL nou eigenlijk?

Het fundament van SSL bestaat eigenlijk uit twee processen:

  1. Authenticatie
  2. Encryptie

De combinatie van deze twee functies zorgt ervoor dat de website die je bezoekt kan aangeven dat het wel écht de website is die je wilt bezoeken en dat de verbinding tussen je computer en de website versleuteld is.

Zowel de authenticatie en encryptie nemen meestal maar enkele milliseconden in en worden beide op de achtergrond geregeld vlak voordat de website die je bezoekt wordt geladen.

De eerste stap is authenticatie, dit gebeurt met een zogeheten SSL-handshake. Tijdens deze ‘handdruk’ worden certificaten uitgebreid gecontroleerd. Deze controle vindt plaats op zowel de server van de website als op je eigen computer. Op deze manier kan er worden bepaald of jij als bezoeker veilig bent voor de server en of de server veilig is voor jou als bezoeker.

Hierna begint het proces van encryptie, dit gebeurt met zogenoemde sleutels en een hele hoop wiskundige formules. Als we alle technische praat weghalen dan komt het encryptieproces ongeveer op het volgende neer:

  1. De informatie van de website wordt uit elkaar gehaald
  2. De uit elkaar gehaalde informatie wordt gemanipuleerd door de wiskundige formules
  3. De gemanipuleerde informatie wordt opgestuurd naar de website bezoeker
  4. De computer van de websitebezoeker kan de informatie weer kloppend maken en in elkaar zetten.

Als ook maar één deel van alle bovenstaande stappen niet klopt dan blokkeert het hele HTTPS protocol en krijg je als bezoeker een error te zien. Dit kun je zelf zien op de website badssl.com, hier hebben ze allemaal voorbeelden van foute HTTPS verbindingen.

En wat is daar het praktisch nut van?

Het grootste voordeel van de encryptie is dat alle informatie die uitgewisseld wordt tussen de bezoeker en server absoluut onleesbaar wordt voor iedereen die een poging waagt om mee te kijken.

Als je verbinding met een website over HTTP is in plaats van HTTPS dan is het toch echt te adviseren om geen betalingsgegevens in te vullen maar deel ook je mailadres niet. Het is namelijk mogelijk dat daardoor gegevens worden gestolen doordat iemand meekijkt met je sessie. Het gebeurt misschien niet zo vaak, maar het is mogelijk en dat is al reden genoeg om SSL en HTTPS erg serieus te nemen.

Geen enkele site hoort nog zonder encryptie, doe mee met #HTTPSeverywhere samen met @LetsEncrypt 🛡 Click to Tweet

Moeten alle websites dan over SSL/HTTPS? Ook mijn blog?

Ja.

Heel veel meer valt er eigenlijk niet te zeggen over het wel of niet hebben van SSL/HTTPS. Of je nou een webshop hebt of een klein blog, SSL/HTTPS is de standaard tegenwoordig.

Er zijn een hoop andere websites of blogs die beweren dat je als kleine particuliere site geen HTTPS nodig hebt maar daar zijn we het gewoon echt niet mee eens. HTTPS heeft namelijk geen enkel nadeel behalve van een vertraging op je website van ~50 milliseconden of zelfs minder.

Sterker nog, HTTPS levert nog een extra voordeel bovenop de beveiliging! Het grote internet-orakel genaamd Google heeft in 2014 al aangegeven dat website met HTTPS automatisch een betere positie krijgen in de zoekresultaten dan websites zonder HTTPS. En niet alleen Google doet dit, ondertussen zijn alle andere zoekmachines zoals Bing en Yahoo meegegaan met dit initiatief. Het is dus naast beveiliging ook nog een zeer belangrijk SEO punt.

Nog meer nuttige dingen?

Jazeker.

Een SSL certificaat (en daarmee dus HTTPS) is nodig om gebruik te kunnen maken van HTTP/2.

HTTP/2 is een relatief nieuw internetprotocol dat we gratis ondersteunen op al onze webhosting pakketten, HTTP/2 verminderd vertragingen met websites enorm en kan ervoor zorgen dat jouw website veel snellere laadtijden heeft dan andere websites. Lees meer over HTTP/2

Wat voor SSL certificaat moet ik dan kiezen en hoe start ik ermee?

SSL certificaten bestaan in verschillende soorten en maten tegenwoordig, het perfecte certificaat voor jouw website is echt afhankelijk van jouw site en doel.

Bij onze webhosting pakketten krijg je gratis SSL certificaten van LetsEncrypt, deze certificaten zijn goed genoeg voor de meeste websites en we installeren ze ook nog voor je website, die optie is dus volledig kosteloos en is een prima oplossing om SSL/HTTPS op je website te krijgen.

Zodra je website groeit is het (soms) echter verstandig om een SSL certificaat mee te laten groeien. Als je enkel een blog hebt dan is het meestal niet nodig om veel te investeren in een SSL certificaat, het gratis LetsEncrypt certificaat wat je van ons krijgt is dan meestal voldoende, mocht je dat zelf echter niet genoeg vinden dan zijn er redelijk goedkope SSL certificaten beschikbaar met garantie.

Ook mijn website is beveiligd met @LetsEncrypt #HTTPSeverywhere 🛡 Click to Tweet

Voor grotere websites, bedrijven en webshops is het echter een ander verhaal, als je website net nieuw is dan is het gratis SSL certificaat nog gewoon voldoende maar na een tijdje is de website gaan groeien en krijg je meer bezoekers. Als je een bedrijfswebsite hebt of een webshop dan wil je uiteraard vertrouwen uitstralen met je website. Op dat moment komen de grotere SSL certificaten in beeld, zeker het zogenoemde 'Extended Validation' SSL certificaat zorgt voor extra vertrouwen bij je bezoekers. Het Extended Validation certificaat, of korter; EV, zorgt ervoor dat de bedrijfsnaam bovenin de URL-balk te zien is. Deze certificaten zijn absoluut onkraakbaar en kunnen ongelofelijk belangrijk zijn om je online identiteit te beschermen, zeker als je al redelijk wat websitebezoekers hebt.

De wereld van SSL certificaten kan echter lastig zijn om doorheen te werken en certificaten komen in veel verschillende vormen en maten. Weet je niet wat voor certificaat je nodig hebt? Stuur ons dan een berichtje, we geven je graag advies voor de beste certificaten die aansluiten bij jouw doelen.