Google Analytics stopt met verzamelen van IP-adressen

Google Analytics gaat stoppen met het verzamelen van IP-adressen. Die beslissing valt samen met het stopzetten van een oude versie van de software en een grotere focus op een modernere versie. Analytics ligt in verschillende Europese landen onder vuur.

Google schrijft in een blogpost dat Analytics in de toekomst geen IP-adressen meer gaat verzamelen. Het lijkt erop dat dat per direct gebeurt, maar Google geeft er verder geen details over. Het is ook niet duidelijk wat het alternatief wordt voor IP-adressen in Analytics. Google zegt dat het stoppen nodig is 'in het huidige dataprivacylandschap, waar gebruikers meer privacybescherming en controle over hun data verwachten'.

Het besluit is onderdeel van een shift in hoe Google Analytics werkt. Google gaat op termijn stoppen met Universal Analytics en dat vervangen door het nieuwere Google Analytics 4. Universal Analytics was jarenlang de standaardversie van de software. In oktober 2020 bracht Google Analytics 4 uit. Bij nieuwe configuraties is dat sindsdien de standaardversie geworden. Het bedrijf zegt nu dat het Universal Analytics gaat uitfaseren.

Alle installaties van Universal Analytics stoppen er op 1 juli 2023 mee. De software neemt vanaf dat moment geen hits meer op. Het zakelijke pakket Universal Analytics 360 werkt nog drie maanden langer, tot 1 oktober 2023. Gebruikers hebben na die datum nog zes maanden toegang tot oude gegevens. In de tussentijd zullen ze moeten migreren naar Analytics 4.

Google zegt dat Universal Analytics een verouderd model is, omdat het nog gebruikmaakt van cookies om gebruikers te volgen op verschillende sessies, bijvoorbeeld in andere browsers of op andere apparaten. Analytics 4 kan wel geconfigureerd worden om cookies in te zetten, maar werkt standaard met andere modellen om gebruikersgedrag crossplatform te kunnen meten. Google zegt dat daar ook meer privacycontrols in zitten.

Als onderdeel van die shift naar een privacyvriendelijker model gaat Analytics 4 dan ook geen IP-adressen meer opslaan. Google zegt dat 'het privacylandschap verandert' en dat gebruikers steeds hardere eisen stellen aan privacyvriendelijke software. Het bedrijf noemt niet de controverse rondom de software die momenteel in meerdere Europese landen speelt, maar het is moeilijk de beslissing daar los van te zien. Verschillende Europese privacytoezichthouders, waaronder die in Oostenrijk en Frankrijk zeiden de afgelopen weken dat het gebruik van Google Analytics in strijd is met de AVG. Ook de Nederlandse Autoriteit Persoonsgegevens waarschuwde daarvoor, al is dat onderzoek nog niet afgerond. Dat komt omdat Analytics IP-adressen verzamelt en zo gebruikers kan identificeren. Verwacht wordt dat in de komende weken nog meer toezichthouders zich over de software zullen uitspreken.

IT-banen

Reacties (63)

RJWvdH 17 maart 2022 09:25

IP adressen anonimiseren kon je toch al aanzetten om aan de AVG te voldoen?

gtag('config', '<GA_MEASUREMENT_ID>', { 'anonymize_ip': true });

https://developers.google...n/gtagjs/ip-anonymization

Demonitzu @RJWvdH • 17 maart 2022 09:41

Het laatste octet van een IP adres wordt hiermee op nul gezet, maar tot een zekere hoogte nog steeds te koppelen aan een persoon. Het lijkt vier jaar na de ingang van de AVG pas duidelijk te worden dat dit de privacy niet voldoende zou beschermen.

geert_s @Demonitzu • 17 maart 2022 09:50

Dat was nog niet eens het probleem, het probleem is dat het gehele IP adres eerst verzonden wordt, en dan aan de kant van Google pas werd 'geanonimiseerd'. De data is dan al verzonden naar de VS, en dat mag dus niet.

bobberg @geert_s • 17 maart 2022 22:47

Dank! Hiervan was ik nog niet op de hoogte en is zeer relevant voor mijn huidige project.

Tim.k @geert_s • 17 maart 2022 10:01

Uhm, als je weet hoe het internet werkt kun je niet zonder het IP naar de VS te sturen uberhaupt analytics gebruiken. Laat staan welke site dan ook. Om te verbinden met een website expose je automatisch je IP want de data zal toch terug moeten richting dat IP.

Dus ze sturen helemaal geen IP mee in de HTTP request, dat zou dubbele data zijn en daarin anonimiseren is ook niet nuttig want het IP gaat hoe dan ook wel mee via het HTTP protocol.

geert_s @Tim.k • 17 maart 2022 10:07

Lekker bijdehand die opmerking. Uit een van de vorige artikelen hierover (ik verzin het niet zelf):

Google Analytics is volgens de Oostenrijkse privacytoezichthouder in strijd met Europese privacywetgeving. De dienst stuurt IP-adressen en cookiegegevens van gebruikers naar de VS, wat volgens de waakhond onder de GDPR verboden is.

IP-adressen en cookiedata vallen volgens de Oostenrijkse privacywaakhond onder persoonlijke gegevens en mogen daarom volgens de privacywet niet naar de Verenigde Staten overgedragen worden

nieuws: Oostenrijkse privacytoezichthouder: Google Analytics is in strijd met...

Mijn comment ging over het zogenaamde anonimiseren, wat dus in de VS gebeurt, en het verzenden daarnaartoe mag dus al niet.

Tim.k @geert_s • 17 maart 2022 10:18

Helder, dat maakt het een stuk duidelijker. Al snap je hopelijk wel dat die context niet uit je Initiële opmerking te halen valt waardoor het lijkt alsof je suggereert dat de mogelijkheid tot anonimiseren foutief wordt toegepast door Google tov. de AVG.

Maar inderdaad, als je het letterlijk leest dan zou dat niet mogen. Al is dat onmogelijk en verwacht ik dat de uitspraak het niet zo letterlijk bedoeld is en dat ze meer doelen op het verwerken van / opslaan van IP's.

[Reactie gewijzigd door Tim.k op 23 juli 2024 20:01]

petervdam @Tim.k • 17 maart 2022 15:28

Uhm, als je weet hoe het internet werkt kun je niet zonder het IP naar de VS te sturen uberhaupt analytics gebruiken.

Dat zou prima kunnen. Server side.

Maar goed, servers kunnen je ip dan ook weer doorsturen. Dus wat beter werkt, is dat een of andere privacy waakhond met een relay service komt die op isp niveau zorgt dat alle requests naar google analytics (of andere ad trackers) via hun loopt waarbij alle persoonlijke tracking verwijderd wordt. Kosten hiervan declareren aan Google.

pookie79 @RJWvdH • 17 maart 2022 09:32

Zolang het een sleutel is om data te koppelen zal het voor de AVG niet veel doen. Je kan het alleen niet meer pingen of verrijken met andere databronnen.

Daarnaast zegt dat ook niets over hoe Google zelf met de ip-adressen omgaat.

RJWvdH @pookie79 • 17 maart 2022 09:37

Dat klopt, maar dat hebben we eigenlijk nooit geweten, toch?
Wie weet slaan ze gewoon bijv. een hash van een IP adres op om je profiel(en) te koppelen

kodak

Privacy

@RJWvdH • 17 maart 2022 10:26

Er was al voor gewaarschuwd dat dat niet zomaar voldoende is om aan de wet te voldoen.
Dat het een optie is maakt het al niet zomaar anoniem.
Dat het IP-adres toch eerst verwerkt moet worden maakt het zelfs niet zomaar legaal.
Dat Google IP-adressen verwerkt voor hun doelen maakt het niet zomaar legaal.

Slavy 17 maart 2022 09:22

Kernwoord is "stoppen", er wordt niets gezegd over alle IP adressen die ze al hebben opgenomen in hun database en het koppelen van nieuwe data aan dezelfde IP adressen.

The Zep Man

Privacy
Google

@Slavy • 17 maart 2022 09:24

Het is ook niet duidelijk wat het alternatief wordt voor IP-adressen in Analytics.

Er komt uiteraard een alternatief. Browser fingerprinting is niet moeilijk, en levert meer nuttige informatie op. IPv4 adressen zijn steeds minder interessant omdat er meerdere apparaten en gebruikers tegelijkertijd gebruik van maken, en er ook vaak gewisseld wordt van IPv4 adres.

[Reactie gewijzigd door The Zep Man op 23 juli 2024 20:01]

.oisyn Moderator Devschuur® @The Zep Man • 17 maart 2022 09:41

Alleen mijn useragent is blijkbaar al uniek. Browse gewoon met chrome op een geüpdatete S21. Iets zegt me dat dit niet zo representatief is (maar geeft wel goed inzicht in welke gegevens ze over je browser kunnen verzamelen)

Anoniem: 85014 @.oisyn • 17 maart 2022 10:01

He hebt plugins waarmee je die user agent iedere keer random kan laten wijzigen. Waardoor je daardoor niet meer volgbaar bent.

.oisyn Moderator Devschuur® @Anoniem: 85014 • 17 maart 2022 10:05

Thanks, dat is idd een goede tip, maar mijn punt was meer dat als de user agent van chrome op een actuele androidversie al uniek is, hoeveel waarde moet ik dan hechten aan hun database en de percentages die ze op basis daarvan bepalen?

Blonde Tux @.oisyn • 17 maart 2022 18:06

Neem daarbij geïnstalleerde plugins, fonts en runtime libraries mee en je komt een aardig eind om unieke gebruikers eruit te vissen

SirQuack @.oisyn • 18 maart 2022 13:37

Er waren ooit gesprekken op Google Groups om dit te versimpelen, maar de planning in de post is niet gehaald (mijn Chromium user-agent is nog altijd met exact chrome versienummer).

Idealiter geven browsers aan dat ze een browser zijn, en welk OS ze op draaien. De rest is optioneel en mag uitgefaseerd worden (dat breekt geheid oude applicaties, maar voor de 99% use-case zal dat niet uitmaken).

Voor een Firefox kan dat bijvoorbeeld zijn "Mozilla Firefox/98 (Linux; browser)" en voor Chrome "Google Chrome/99 (Windows; browser)". Dan kan een site zien "ah, Firefox op Linux, en behandelen als een browser" en een major versie, die anoniem genoeg is (dat zijn miljoenen gebruikers).

:murb:

@The Zep Man • 17 maart 2022 09:43

Uit de AVG:

Natuurlijke personen kunnen worden gekoppeld aan online-identificatoren via hun apparatuur, applicaties, instrumenten en protocollen, zoals internetprotocol (IP)-adressen, identificatiecookies of andere identificatoren zoals radiofrequentie-identificatietags. Dit kan sporen achterlaten die, met name wanneer zij met unieke identificatoren en andere door de servers ontvangen informatie worden gecombineerd, kunnen worden gebruikt om profielen op te stellen van natuurlijke personen en natuurlijke personen te herkennen.

M.a.w., als IP adres gebaseerde herkenning niet ok was, geldt datzelfde voor browser fingerprinting of andere manieren. Mochten ze browser fingerprinting gaan inzetten dan vereist dat ook toestemming van de gebruiker, maar wellicht gaan ze het inzetten zonder toestemming en hopen ze nog 2 jaar door te kunnen gaan omdat de rechterlijke uitspraak ging over IP adressen?

The Zep Man

Privacy
Google

@:murb: • 17 maart 2022 09:47

M.a.w., als IP adres gebaseerde herkenning niet ok was, geldt datzelfde voor browser fingerprinting of andere manieren. Mochten ze browser fingerprinting gaan inzetten dan vereist dat ook toestemming van de gebruiker,

"Door deze website te gebruiken ga je akkoord met dat Google Analytics XYZ verzamelt. Anders kan je deze site niet gebruiken. Wat ga je ertegen doen? Klagen bij de onderbemande AP? Veel succes gewenst, samen met jouw vele lotgenoten over de vele sites die dit doen! Ondertussen gaan wij jarenlang op de oude, voor ons vertrouwde en voor jou irritante voet verder. Als er ooit een boete komt, dan zal die toch minimaal zijn t.o.v. de opbrengsten in de tussentijd."

[Reactie gewijzigd door The Zep Man op 23 juli 2024 20:01]

Epidemias @The Zep Man • 17 maart 2022 10:49

Wat ga je ertegen doen?

NoScript installeren, en geen scripts toelaten die van het domein "google-analytics.com" komen.

Simon Weel @Epidemias • 17 maart 2022 11:40

De vraag is hoeveel effect dat heeft? Zie Panopticlick.

:murb:

@The Zep Man • 17 maart 2022 10:25

Deze wijzigingen lijken deels in antwoord te zijn op een enkele rechtszaken buiten Nederland. Dus ja, klagen bij een AP ergens in Europa, die weliswaar minder daadkrachtig is dan gehoopt, heeft uiteindelijk zin. Maar wat ik al aangaf, dan zijn we waarschijnlijk wel weer 2 (wellicht wat optimistisch) jaar verder.

kevlar01 @Slavy • 17 maart 2022 09:23

Op een gegeven moment is die (IP) data dan achterhaald toch?

Heroic_Nonsense

@Slavy • 17 maart 2022 09:42

Tussen de regels lees je dat ze de manier veranderen waarop je wordt getraceerd, niet dat ze stoppen met traceren.

Nu doen ze dat met IP-adressen, straks met andere manieren waarmee ze kunnen herleiden met wie ze te maken hebben. Browser-fingerprinting, cross-sessie tokens; dat soort zaken.

Kortom er verandert niet heel veel.

mister_dog @Heroic_Nonsense • 17 maart 2022 11:33

Google zet zich actief in tegen finger printing.

https://blog.google/produ.../2021-01-privacy-sandbox/

NoTechSupport @mister_dog • 18 maart 2022 09:10

Door anderen.

shrdcr 17 maart 2022 09:43

Voor de geïnteresseerden heeft Google een browser plugin voor Chrome dat in principe een opt-out zou moeten zijn voor Google Analytics: https://chrome.google.com...cojecljbmefodhfapmkghcbnh

nicolaasjan @shrdcr • 17 maart 2022 10:07

En voor diegene die niet nog een extra extensie wil installeren; uBlock Origin blokkeert het Google Analytics script en vervangt het door een dummy versie (sommige sites willen niet werken zonder GA...).

Hanzo @nicolaasjan • 17 maart 2022 11:53

Hoi NicolaasJan, staat die blokkade voor GA standaard aan in uBlockOrigin, of moet ik dat ergens instellen (niet iedereen hier is zo technisch van aard

? Zoja, wil je dan graag even aangeven waar en hoe dat ingesteld moet worden? BVD voor de te nemen moeite, Hanzo.

nicolaasjan @Hanzo • 17 maart 2022 12:26

Wordt standaard uitgevoerd met de default Filter lijsten.

In dit geval is het een regel in "uBlock filters – Privacy":

! Redirect to neutered Google Analytics
||google-analytics.com/analytics.js$script,redirect=google-analytics.com/analytics.js

Evenals blokkeren van googletagservices:

||googletagservices.com/tag/js/gpt.js$script,redirect=googletagservices.com/gpt.js
||securepubads.g.doubleclick.net/tag/js/gpt.js$script,redirect=googletagservices_gpt.js
||pagead2.googlesyndication.com/tag/js/gpt.js$script,redirect=googletagservices_gpt.js

[Reactie gewijzigd door nicolaasjan op 23 juli 2024 20:01]

Hanzo @nicolaasjan • 17 maart 2022 17:05

Bedankt Nicolaasjan, ik zal het zo invoeren en het scheelt me hier een hoop puzzelwerk natuurlijk. Normaals bedankt.

shrdcr @nicolaasjan • 17 maart 2022 10:37

Kijk eens aan, vandaag nog wat bijgeleerd! Bedankt @nicolaasjan, ik ga uBlock Origin zeker eens bekijken!

nicolaasjan @shrdcr • 17 maart 2022 11:43

Daar zul je geen spijt van krijgen.

Voor Chrome/Chromium/Edge:
https://chrome.google.com...lnbpafiamejdnhcphjbkeiagm

Voor Firefox:
https://addons.mozilla.org/nl/firefox/addon/ublock-origin/

(gebruik geen andere ad blocker tegelijkertijd)

Xedev 17 maart 2022 09:25

Iemand een ELI5 hoe het volgen gaat zonder cookies of IP adressen? Vooral nieuwsgierigheid, excuses als dit niet de plek is om hier naar te vragen

GekkePrutser @Xedev • 17 maart 2022 09:33

Dit geeft een goede demo van hoe het werkt: https://coveryourtracks.eff.org/

Als het resultaat is "Your browser has a unique fingerprint" dan ben je gewoon te tracken ondanks je privacy addons en ad blockers. Die site heeft ook goede informatie om uit te leggen hoe het allemaal werkt. Maar in het kort: Browsers lekken allemaal informatie zoals een ID van je "OpenGL Canvas", audio interfaces, fonts die geinstalleerd zijn enz. Deze info op zich is niet genoeg om je te identificeren maar de combinatie van al die dingen is vrijwel altijd uniek. Met andere woorden vingerafdruk...

Deze site heette vroeger Panopticlick trouwens maar ze hebben pas de naam veranderd.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 20:01]

TheHeavySoldier @Xedev • 17 maart 2022 09:34

Ben geen expert maar waarschijnlijk iets in de richting van.

Op basis van browser info.
Venster grootte, extensies, browser versie, OS versie(?), welke browser opties staan uit of aan enz.
In combinatie met een Google pixel of iets dergelijks die op websites geplaatst wordt.

Ze zullen waarschijnlijk die browser info ook nog weer aan specifieke Google accounts kunnen koppelen wanneer jij gebruik maakt van Google services.

Maar zoals ik al zei, ik ben geen expert, volgens mij zit ik echter redelijk in de buurt.

wica 17 maart 2022 11:05

In bepaalde landen, zoals Duitsland. Heeft het geen nut om tracking te doen op bases van IP. Daar ik hier elke dag een andere IP krijg, uit elke keer een andere range.

Ik heb mij altijd al verbaast over consumenten met een vast IP. Bij een vorige werkgever, kon ik van o.a. xs4all mensen. Zien welke video's ze de afgelopen 8 jaar bekeken hadden op welke site. Mits onze player gebruikt werd.

Maar Google zal wel een andere manier gevonden hebben om mensen te volgen. Daar onze browsers en computers behoorlijk wat unieke informatie "lekken".

Alex3 @wica • 17 maart 2022 12:17

Blij dat ik een andere player gebruik dan die spyware van jullie.

wica @Alex3 • 17 maart 2022 12:56

Blij dat ik een andere player gebruik dan die spyware van jullie.

Daar heb jij geen invloed op, als het een player in een website is

Maar spyware? Nee, dat is het niet. Het is hoe internet werkt, jij vraagt een website op met een video. En elke webserver weet je IP adres. Hoe anders, moet een webserver je content terug geven?

Enige wat misschien een probleem kan zijn, voor mensen met een vast IP. Is hoe lang dat bedrijf de logs bewaard en/of stats bijhoud.

S-1-5-7 @wica • 17 maart 2022 19:04

Hoe kan je aan de hand van een IP-adres zien welke video's iemand op een andere website heeft bezocht?..

wica @S-1-5-7 • 17 maart 2022 19:40

Ik neem aan dat je de term embedded video kent?
Laten we even youtube misbruiken.

Tweakers, plaatst een artikel met een embedded video van youtube. De video wordt elke keer gestreamd vanaf de servers van youtube.
In de logs van youtube, komt vervolgens alle requests inclusief de IP adressen van de mensen, die de embedded player van youtube laden.

Stel, ik heb een vast IP en werk bij youtube met de rechten om de logs te bekijken. Dan kan ik vervolgens zoeken op mijn eigen IP in die logs. En afhankelijk van hoelang youtube zijn logs bewaard. Kan ik alle video's die ik ooit bekeken heb, terug zien.

Op deze manier werken meerdere video partijen.

S-1-5-7 @wica • 17 maart 2022 20:03

Ah zo

Dus jij werkte bij een partij als YT. Het is niet zo dat een website als Tweakers door het gebruik van een embedded YT video kan zien welke video's een bezoeker op andere websites heeft bekeken. Dat dacht ik even

jbemmel @wica • 18 maart 2022 02:40

Marktaandeel van Chrome is inmiddels 66%, en IP adressen werken toch al niet op user niveau aangezien de home gateway NAT toepast (en mensen nu eenmaal mobiel zijn, niet achter 1 vast IP adres zitten zelfs als dat niet iedere dag wijzigt)

Technologie is inmiddels zover gevorderd dat de IP adressen niet meer nodig zijn - dus mooi makkelijk punten scoren bij de regulators.

Zolang Google niet van business model verandert, zal het mensen blijven tracken en de definitie van "privacy" blijven uithollen

trixx 17 maart 2022 09:55

Ip-adres is ook niet zo belangrijk meer. Dus dit is echt een wassen neus. Heel veel gebruikers zijn tegenwoordig mobiel. Die switchen vaak tussen locaties van 4G/5G naar Wifi op werk/school /thuis krijgen dus tussendoor vaak nieuwe ip adressen. Ik denk dat er betere manieren zijn om gebruikers te volgen.

mjz2cool @trixx • 17 maart 2022 10:05

Daarnaast zit je met een mobiele verbinding ook nog wel eens achter een NAT, dus het publieke ipadres die je telefoon heeft is al niet echt publiek.

Croga

17 maart 2022 09:22

Nu dat iedereen weet dat tracking cookies slecht zijn, gaan ze dus een andere manier van tracking gebruiken..... De gebruiker krijgt er slechts in PR-land meer privacy bij maar in werkelijkheid wordt je nogsteeds gewoon overal gevolgd....

De functionaliteit van Google Analytics is simpelweg niet mogelijk zonder dat de gebruiker gevolgd wordt.

GekkePrutser 17 maart 2022 09:23

Hmm... Ik heb er zeer grote twijfels bij dat dit gaat voorkomen dat Google Analytics de gebruiker kan identificeren. Ze hebben zo veel informatie... Fingerprinting bijvoorbeeld zoals @The Zep Man al noemde.

Noem me sceptisch maar ik denk dat het IP toch steeds minder belangrijk is ter identificatie nu steeds meer providers Carrier-Grade NAT gebruiken op IPv4 omdat de IP's opraken. En IPv6 wordt nog steeds niet door veel sites ondersteund.

Dus makkelijk om zo'n gebaar te maken en ondertussen gewoon doorgaan met de gebruiker tracken

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 20:01]

pk128934 17 maart 2022 09:25

Het is ook niet duidelijk wat het alternatief wordt voor IP-adressen in Analytics.

Waarschijnlijk reverse looked up DNS namen.

Serieus: De waarde van een IP adres wordt steeds minder. Met IPv6 straks, is het al helemaal niet meer echt van betekenis. De andere assests die Google van je pikt zijn veel waardevoller.
Dit is gewoon een makkelijke, en weinig impactvolle wijziging om de waakhonden tijdelijk weer wat op afstand te krijgen. Totdat de waakhonden zich weer hebben laten informeren door inhoudsdeskundigen en dan kiezen ze weer een nieuwe target.

laptopleon @pk128934 • 17 maart 2022 11:22

Als elke koelkast, zonnepaneel en autosleutel een eigen ip heeft, in principe ook nog te gebruiken voor heel de buitenwereld, is dat toch alleen maar makkelijker voor analytics-achtige toepassingen?

chielsen 17 maart 2022 09:26

Ik lees alleen nergens dat daarmee het tracken wordt verminderd, ze gebruiken alleen andere technieken (welke?). Het idee vanuit privacy is juist dat je niet meer wordt getracked, maar dat staat natuurlijk haaks op de doelen van Google.
Net als met het cookieless adverteren zullen de grote jongens waarschijnlijk iets hebben ontwikkeld waarmee zij niet zoveel last hebben, maar de kleinere nog verder op een achterstand komen. Daarmee wordt hun positie verder versterkt en gaat de consument er nog verder op achteruit. Volgens mij is dat niet helemaal de bedoeling van de privacy wetgeving.

Op dit item kan niet meer gereageerd worden.

Google Analytics stopt met verzamelen van IP-adressen

Lees meer

Alternatieven voor Google Analytics

IT-banen

Reacties (63)

Sorteer op:

Weergave: