Server Side Tracking AVG: Wat Je Moet Weten
De AVG heeft veel veranderd voor online ondernemers. Het wordt steeds belangrijker om goed om te gaan met persoonlijke data. In deze context helpt Server Side Tagging je om beter te voldoen aan de AVG-richtlijnen. Wat is de rol van Server GTM hierin? Dat leggen we uit in dit artikel.
Key Points 🔑
- Dataverzameling Beheren: Het gebruik van Server Side Tagging biedt meer controle over welke gegevens naar platforms zoals Google en Facebook worden gestuurd, waardoor je persoonlijke informatie zoals IP-adressen en cliënt-ID's kunt uitsluiten.
- Dataopslag en Verwerkingsovereenkomsten: Belangrijke overwegingen met betrekking tot waar en hoe lang data wordt opgeslagen, en het belang van verwerkingsovereenkomsten met derde partijen zoals Google Analytics.
- Toekomst van Server Side Tagging: De toenemende nadruk op data privacy en de verschuiving van Third Party naar First Party Cookies benadrukken het groeiende belang van Server Side Tagging als een methode voor AVG-compliance en geavanceerde data-analyse.
Wat is de AVG?
De AVG gaat over het reguleren van (online) persoonsgegevens. Deze is 25 mei 2018 van kracht gegaan. Online worden de volgende zaken in ieder geval als persoonsgegevens gezien:
- Naam
- IP
- Adres
- En sommige cookies
Daarnaast zijn bijvoorbeeld gezondheidsdata of financiële data ook persoonsgegevens en mogen dus niet verzameld of gedeeld worden zonder toestemming.
Standaard verzamelen Google en Facebook IP, locatie en cookie data. Tevens kun je extra data (enhanced conversion data) naar deze platformen toesturen, maar dat zit niet in de standaard setup.
Op de huidige manier kun je dus niet binnen de richtlijnen van de AVG Google en Facebook koppelen aan je website. Dat koppelen gebeurt vaak door middel van een tool als Google Tag Manager. GTM slaat geen data op, maar fungeert als een doorgeefluik. Google Tag Manager kun je dus wel AVG proof gebruiken, echter wel op een specifieke manier. Daarover later meer.
Wat betekent AVG voor data tracking?
Voor veel online bedrijven is het monitoren van gebruikersgedrag op hun website of app een essentieel onderdeel van hun bedrijfsvoering. Door middel van trackers verzamelen ze gegevens over gebruikersgedrag, wat leidt tot geïnformeerde beslissingen en uiteindelijk een grotere winst.
Het tracken van websites is op zichzelf niet illegaal. De legaliteit is afhankelijk van waar je zaken doet en hoe tracking wordt gereguleerd. Om te bepalen of je website correct data trackt, moet je begrijpen hoe je je gebruikers monitort en welke stappen je moet ondernemen om te voldoen aan wettelijke eisen.
Om AVG proof toch data tracking te kunnen doen, zijn een aantal zaken belangrijk om bij stil te staan. Het verzamelen, opslaan en verwerken van data.
Verzamelen data
Het verzamelen van data gebeurt doorgaans met een third party tracking script en third party cookies. Dit zijn codes van bijv. Google en Facebook. Deze worden vaak geplaatst via GTM. Deze codes verzamelen data. Je hebt hier vrijwel geen controle over. Google kan dus verzamelen wat het wil. Om controle te houden op welke data verzameld wordt kun je Server Side Tagging toepassen. Hierdoor neem je de volledige controle over welke data naar Google of Facebook wordt verstuurd.
Daarmee kun je ook uitsluiten dat bepaalde gegevens verzameld worden. Zo kun je IP adressen en client id’s uitsluiten van de tracking. Daarnaast kun je nog verder gaan door ook geen URL parameters (UTM tags bijvoorbeeld) mee te sturen.
De nieuwe versie van GA4 heeft ook meer flexibiliteit om te zorgen dat sommige data niet verzameld wordt. Zo kun je google signals, advertentie personalisatie en locatiegegevens uitschakelen voor optimale zekerheid.
Tenslotte is het meest belangrijke om door middel van een cookiebanner toestemming te vragen om data te tracken (en aan te geven welke data je gaat verzamelen, met welke doeleinden). Wij gebruiken daar Cookiebot voor, omdat deze goed samenwerkt met Google Tag Manager. Door middel van de consent mode in Google Tag Manager kun je reguleren dat de tracking ook daadwerkelijk naleeft wat er in de cookiebanner is aangegeven.
Wanneer je consent modus instelt in de Google Tag Manager server container stuur je op basis van het consent level wat iemand invult bij de cookiebanner de data door naar de desbetreffende platformen. Hierdoor zorg je ervoor dat de gegevensverwerking meer in overeenstemming is met de gebruikersvoorkeuren en privacywetgeving, waardoor een balans wordt gevonden tussen gebruikersprivacy en data-gebruik voor gerichte marketing en analyse.
Opslaan data
Daarnaast is het opslaan van data ook een belangrijke factor. Hoe lang wordt de data opgeslagen? GA4 heeft hier ook veel stappen in gemaakt. Zo kun je uitsluiten dat data gedeeld wordt naar andere onderdelen binnen Google.
Daarnaast is het belangrijk dat persoonsgegevens niet buiten de EU worden opgeslagen. Dat is bij Google Analytics wel het geval. Door middel van Server Side Tagging zorgen we ervoor dat de persoonsgegevens al eerder uitgesloten worden en dus nooit worden verstuurd naar Google Analytics. Op deze manier kun je het binnen de richtlijnen van de AVG gebruiken.
TAGGRS heeft servers over de hele wereld , waardoor gegevens veilig worden opgeslagen en verwerkt binnen je eigen land.
Verwerken data
Tenslotte dien je een verwerkingsovereenkomst te sluiten met de partij die de data ontvangt. In het geval van GA4 teken je hiervoor als je een account aanmaakt.
First party vs Third party cookies
First Party Cookies worden door de bezochte website zelf aangemaakt en zijn primair bedoeld om de gebruikerservaring te optimaliseren, zoals het onthouden van inloggegevens en winkelmanditems. Ze zijn cruciaal voor de functionaliteit van de site en zijn alleen actief op de website die ze heeft gecreëerd. Daarentegen worden Third Party Cookies gemaakt door externe partijen, zoals advertentienetwerken, en focussen ze op tracking, retargeting en het leveren van gepersonaliseerde advertenties aan gebruikers.
Er is een duidelijke verschuiving gaande van het gebruik van Third Party Cookies naar First Party Cookies. Deze trend wordt versterkt door de toenemende focus op privacy en gegevensbescherming. Daarnaast vinden browsers zoals Google Chrome en Mozilla Firefox de privacy van de gebruiker ook steeds belangrijker wat resulteert in het steeds meer blokkeren of beperken van Third Party Cookies.
Door deze ontwikkelingen ontstaat er een verschuiving van Third Party naar First Party Cookies.
Meer info in deze blog over first party vs third party cookies.
Invloed AVG op data tracking
Een specifiek voorbeeld van de invloed van privacywetgeving op Server Side Tagging is het verbod door sommige overheden op het gebruik van Google Analytics. Omdat Google Analytics gegevens verzamelt over het gedrag van websitebezoekers, kan dit leiden tot privacy zorgen. Daarom hebben bepaalde overheden besloten Google Analytics te verbieden op overheidswebsites om de privacy van burgers te beschermen.
Er zijn veel landen die vinden dat Google Analytics niet voldoet aan de AVG wetgeving. Deze ontwikkeling benadrukt het groeiende belang van privacy en gegevensbescherming in de digitale wereld en tegelijkertijd laat het de behoefte zien aan alternatieven zoals Server Side Tagging.
Hier kun je een lijst vinden van landen die vinden dat Google Analytics illegaal is.
Hoe helpt Server Side GTM om te voldoen aan de AVG-regels?
Als je met third party cookies werkt, weet je dat controle over je data soms lastig is. Met Server GTM kun je dit probleem oplossen en beter beheren wat er met je data gebeurt. Hieronder bespreken we hoe.
Controle Over Data van Derden
Werken met third-party web tracking scripts betekent niet altijd dat je weet welke data er verzameld wordt. Met Server GTM kun je dit nauwkeuriger beheren. Bijvoorbeeld, als je Server Side Tagging voor Facebook wilt instellen, kun je met server tags precies aangeven welke info naar Facebook gaat. Hiermee beperk je wat Facebook kan zien.
Veilig Omgaan met Gevoelige Info en PII
Het is tegen het beleid van platforms als Google en Facebook om persoonlijk identificeerbare informatie (PII) te sturen. Server GTM helpt je hiermee om te gaan. Je kunt PII zoals IP adressen verwijderen voordat het naar externe platforms gaat, of je kunt de info hashen.
Oplossingen voor Data Management
Hashing van Gebruikersgegevens: Verschillende platforms hebben hun eigen normen voor hashing. Bijvoorbeeld, Google Analytics gebruikt SHA256, net als Facebook.
Gebruik een Fake GA4 ID: Sommige mensen gebruiken een echt Google Analytics 4 ID voor event tracking, en een fake GA4 ID om data naar de server container te sturen.
Server GTM biedt je ook de mogelijkheid om website-URL's aan te passen voordat je deze naar een externe partij stuurt. Dit is handig als je bijvoorbeeld gevoelige informatie in je URL’s hebt staan die niet mag worden gedeeld.
Is Server Side de Toekomst?
Gezien de toenemende nadruk op data privacy en de AVG, lijkt Server Side Tagging meer dan een trend. Het stelt bedrijven in staat om de dataverzameling te verfijnen, terwijl het zorgt voor een betere naleving van de privacywetgeving. Sommige landen verbieden al het gebruik van bepaalde third-party tracking tools, wat de behoefte aan server side oplossingen verder versterkt.
Ook is er een verschuiving van Third Party naar First Party Cookies vanwege grotere nadruk op gebruikersprivacy. Server Side Tagging biedt hier een aanvullende oplossing door gevoelige data te filteren en te hashen voordat deze naar externe partijen wordt gestuurd.
Al met al lijkt Server Side Tagging niet alleen de toekomst te zijn; het lijkt de toekomst te vormen. Met een toenemende focus op AVG-compliance en data-integriteit, biedt Server Side Tagging een pad naar zowel naleving als gedetailleerde data-analyse.
TAGGRS bied Server Side Tracking hosting aan waardoor je online data kan blijven verzamelen terwijl je wel voldoet aan de AVG wetgeving.
See you on the server side!
FAQ - Server Side Tagging AVG
Welke data valt buiten de AVG?
Anonieme data, waarbij identificatie van personen onmogelijk is, valt buiten de AVG. De AVG is van toepassing op persoonsgegevens, wat betekent dat alle informatie die direct of indirect een persoon kan identificeren, onder deze wet valt. Anonieme data, of data die zodanig is verwerkt dat het de betrokken personen niet meer identificeert, wordt uitgesloten van de AVG. Server Side Tagging kan helpen persoonsgegevens zoals IP-adressen te anonimiseren.
Is Google Tag Manager AVG-compliant?
Google Tag Manager kan AVG-compliant zijn als het correct is ingesteld om persoonsgegevens alleen met toestemming te verzamelen en verwerken, gebruikmakend van Consent Mode.
Is Server Side Tagging legaal?
Server Side Tagging is legaal mits het voldoet aan AVG-regels. Het vereist transparantie en toestemming van gebruikers voor het verzamelen en verwerken van persoonsgegevens.
Kan AVG zonder toestemming?
AVG vereist in veel gevallen toestemming, maar verwerking is soms mogelijk zonder toestemming voor specifieke doeleinden zoals contractuele noodzaak of wettelijke verplichtingen.