Privacy, cookies &Google consent mode v2

Google Consent Mode komt met een tweede versie, en dit heeft invloed op privacy en cookies op jouw website. Daar komt nog eens bij dat de Autoriteit Persoonsgegevens dit jaar actief toezicht houdt op naleving van cookie-regels.

Wetboeken

Google Consent Mode v2 houdt in dat Google alleen cookies plaatst nadat via de cookiebanner toestemming is gegeven. Vanaf 1 maart, is dit verplicht om te gebruiken. Hierdoor kan Google alleen met toestemming de cookiedata van een websitebezoeker uitlezen. En dat betekent dat er een werkende cookiebanner op de website moet staan. Dit geldt overigens ook voor apps.

Zodra Google uitleest dat er toestemming is gegeven, gaat er een signaal naar Google Ads en naar Google Analytics. Wordt deze wijziging niet goed doorgevoerd? Dan is de conversie informatie in de toekomst niet compleet meer.

Cookies geweigerd?

Heb je geen werkende cookiebanner geïnstalleerd? Dan gaat Google uit van geen toestemming.

Als er geen toestemming is gegeven voor cookies, haalt Google trouwens evengoed informatie op. Dit betreft informatie die enkel analytisch is en geeft inzicht in bijvoorbeeld het aantal conversies. Google leest dan uit of toestemming is gegeven voor cookies via cookieloze pings.

De volgende cookieloze pings worden op dit moment gebruikt:

  • Een ping om Google te laten weten wat de toestemmingsstatus is op jouw website (toestemming gegeven of automatisch toestemming geweigerd door geen werkende cookiebanner)
  • Een conversie ping, als een coversie heeft plaatsgevonden.
  • Een Google Analytics ping

Google laat hier een algoritme op los, om te modelleren hoeveel conversies daadwerkelijk heeft plaatsgevonden. Iedere actie op de website wordt (voor zover voldoende conversies zijn gegenereerd) wordt vervolgens meegenomen in de learning mode van het algoritme.

Wat is een cookieloze ping van Google?

Een cookieloze ping bestaat uit functionele informatie van de browser van de websitebezoeker, met:

  • een timestamp,
  • Geolocatie,
  • een uniek random gegenereerd nummer dat aan iedere page-load wordt gekoppeld
  • informatie over de gebruikte browser,
  • welk cookiebanner platform wordt gebruikt door de webbouwer,
  • een referrer (het HTTP-headerveld dat het adres identificeert van de webpagina waarvan de bron is opgevraagd, met andere woorden: de URL waar de websitebezoeker vandaan kwam)
  • En, als laatste, uit die URL wordt uitgelezen of de websitebezoeker via een advertentie binnen is gekomen.

Toestemming nodig voor de ping?

Google stelt dat op geen enkele wijze deze informatie kan worden herleid naar de websitebezoeker.

In dat geval is de AVG niet van toepassing en hoeft geen grondslag te worden gevonden voor de data-verzameling.

Wel is onder de Nederlandse Telecommunicatiewet (11.7a) het via een website toegang verkrijgen tot informatie in de randapparatuur van een websitebezoeker, alleen toegestaan op voorwaarde dat deze websitebezoeker daarvoor toestemming heeft verleend.

Dat is alleen anders als het enige doel en de noodzaak van de cookieloze ping is gericht op het leveren van de website, of – mits dit geen of geringe gevolgen heeft voor de privacy van de betrokken websitegebruiker – om informatie te verkrijgen over de kwaliteit of effectiviteit van een de website.

Om die reden is geen toestemming vereist voor het verzenden van pings in Nederland.

NB: zolang Google is goedgekeurd onder het Data Privacy Framework in combinatie met het adequaatheidsbesluit.

NB2: in andere Europese landen kunnen hiervoor andere regels gelden.

NB3: Je mag geen fingerprint ID’s in combinatie met deze dienst gebruiken (e.g. Flash cookies, Browser Helper Objects, HTML5 local storage)

Wat moet je nu doen?

Zorg dat Google tags de cookiebanner kunnen uitlezen en goed kunnen zien of er toestemming is gegeven of niet.

Installeer een werkende cookiebanner

Installeer consent mode van Google

Vragen over dit blog? Ideeën of opmerkingen?

"*" geeft vereiste velden aan

Laat ons weten wat je bezighoudt. Heb je een vraag voor ons? Stel hem gerust.
Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.