Google's PII policy: track geen persoonlijke data

De datalek van Albert Heijn, had als gevolg dat AH in strijd handelde met de PII policy van Google Analytics. Zij het in dit geval van korte duur en bovendien onbewust; Google's PII policy kan binnen een online oplossing zoals een CRM omgeving, door een ontwikkelaar makkelijk overtreden worden.

Een terugblik op de datalek bij Albert Heijn met 10.000 gelekte gegevens die voor het weekend plaats vond. Albert Heijn meldde in hun publicatie het volgende:

programmeerfout in de software die Albert Heijn gebruikt om het inloggen op AH.nl mogelijk te maken. Door deze programmeerfout werden de inlognamen en het wachtwoord kort zichtbaar in de URL, de adresbalk bovenaan het computerscherm.

Alhoewel de inloggegevens ongetwijfeld versleuteld zijn opgeslagen in de achterliggende database, zijn de gegevens via de url zichtbaar geweest. Hierdoor is deze data terecht gekomen in logs, waaronder naar alle waarschijnlijkheid ook bij Google Analytics, één van de mogelijke service providers van Albert Heijn.

Google Analytics data verwijderen

Data dat eenmaal in Google Analytics staat, kan niet door de accounthouder (in dit geval, Albert Heijn) verwijderd worden. Dit betekent dat er een kans is dat de data nog rond zweeft binnen de Google Analytics profielen van Albert Heijn, indien het nog niet door Google's algoritmes of op verzoek zijn verwijderd.

Views en daarmee verzamelde data kunnen binnen Google Analytics gefilterd worden, maar zorgt er enkel voor dat aanwezige data ten tijde van toepassing van deze filter, niet getoond wordt. Filteren biedt dus geen concrete oplossing. Google lijkt echter actief data te verwijderen, wanneer het in hun optiek c.q. algoritmes persoonlijk identificeerbare informatie (PII) betreft. 

Worden er bijvoorbeeld persoonsgegevens doorgestuurd naar Google bij het weergeven van Google Ads? Dan is de kans aanwezig dat je een mail ontvangt met waarschuwing, waarbij er binnen 14 dagen gehandeld moet worden ter voorkoming van afsluiting van het AdSense/AdX account.

Google's PII policy

Juist om bovenstaand zoveel mogelijk te voorkomen, kent Google een policy omtrent persoonlijk identificeerbare informatie (PII). Het is, gezien de vele instanties die weer gebruik maken van Google diensten, voor Google onmogelijk alles te monitoren. Een policy is in het leven geroepen, om enig kwaad te voorkomen bij het verzamelen van data bij inzet van:

Samenvatting PII policy

De samenvatting is dat Google geen (e-mail)adressen, telefoonnummers, geo/gps data of persoonsnamen wenst te ontvangen. Het is de taak aan een ontwikkelaar, om te voorkomen dat deze data wordt doorgegeven aan Google.

Het doorspelen van PII kan echter bewust (voor eenvoudige marketing achteraf) of onbewust plaats vinden, bijvoorbeeld:

  • Bij het inloggen, zoals gebeurde bij Albert Heijn;
  • Bij een inschrijfformulier voor nieuwsbrieven, waarbij het emailadres boven water (GET) in plaats van onder water (POST) wordt verstuurd;
  • Een toepassing voor het opvragen van een nieuw wachtwoord, waarbij de software het emailadres gebruikt om een unieke url te genereren om naar de gebruiker te kunnen sturen;
  • Binnen een CRM of intranet omgeving, waarbij gebruiker-details opgevraagd kunnen worden en hierbij een persoonsgegeven in de url gebruikt wordt, om een per gebruiker unieke url te kunnen hanteren.

Wanneer daarbij Hotjar of Google Analytics gebruikt wordt, zullen deze data nietsvermoedend terecht komen in de rapportages van (third party) service providers. 

CRM / applicatieomgeving

In een afgeschermde omgeving voor gebruikers, huist juist meer data. Afhankelijk van de toepassing, kan het wenselijk zijn om het klikgedrag van specifieke gebruikers in te zien via Google Analytics. Soms is het wenselijk CRM data samen te voegen met de Google Analytics data. 

Bij de inzet van user-id's om data samen te kunnen voegen, geeft Google een toelichting om te voldoen aan hun policy.

Pagina-titels

Daar waar Hotjar vooral muisgebruik zal bijhouden, verwerkt Google Analytics ook pagina-titels. Wanneer de software url's binnen een website of applicatie uniek maakt, bestaat toch de mogelijkheid dat PII wordt doorgegeven aan Google Analytics. Bijvoorbeeld wanneer een geanonimiseerde url toch persoonlijke informatie gebruikt als titel.

Wanneer er geen sprake is van maatwerk dan wel aanpasbare software, kan in de vorm van JavaScript gezocht worden naar maatregelen. Google geeft hiervoor praktische tips.

Wat wij kunnen leren

Google ontvangt veel data, maar met Google ook andere partijen. Denk aan Hotjar achtige service providers, externe (youtube) video's, addthis of sharethis of social media koppelingen. Opgeroepen webpagina's komen in de logs van deze toepassingen terecht. Google weet op basis van hun data als geen ander dat hierbij erg eenvoudig fouten kunnen worden gemaakt, waarbij persoonsgegevens bij hen terecht kan komen.

Het spreekt voor zich dat Google over deze data niet graag verantwoording af wil leggen, waaruit hun PII policy ongetwijfeld is ontstaan. De inzet van bovengenoemde (JavaScript ) third party widgets binnen een online omgeving, heeft als risico dat ze in staat zijn de gehele content uit te lezen van een door de gebruiker bezochte webpagina. Voor Google geldt dat zij de paginatitel uitlezen bij gebruik van bijvoorbeeld Google Analytics.

Google's PII policy vormt binnen de AVG wetgeving dan ook automatisch een best practice, of eigenlijk een "privacy by design" principe waar bij stil gestaan dient te worden bij de bouw van online oplossingen.

PII data in jouw Analytics omgeving?

  • Hoe na te gaan of er PII data terecht is gekomen in de Google Analytics rapportages, staat elders toegelicht;
  • Toch PII data terecht gekomen in Google Analytics rapportages? Dan lees je hier hoe je hier mee om kunt gaan.