Je installeert Google Analytics 4, zet een cookiebanner op je website en gaat ervan uit dat je daarmee klaar bent. Totdat je een e-mail krijgt van je hostingprovider, een opmerking van een klant, of een bericht in een ondernemersforum: GA4 en de AVG zijn lastiger te combineren dan de installatie-instructies doen vermoeden. Dat klopt. GA4 stuurt persoonsgegevens door naar Amerikaanse servers, gebruikt cookies en legt gedrag van individuele bezoekers vast. Dat geldt ook voor een kleine webshop of een blog met honderd lezers per dag. Je kunt het op orde brengen zonder jurist, maar een cookiebanner alleen is niet genoeg. Deze checklist loopt alle stappen af in volgorde van urgentie, zodat je weet wat je nu moet regelen en wat daarna kan.
Hoe je deze checklist gebruikt
Ga de punten van boven naar beneden af. De eerste punten zijn het meest urgent omdat ze direct bepalen of je nu al in overtreding bent. De latere punten zijn net zo belangrijk, maar hebben iets meer tijd nodig om goed in te richten. Print de lijst uit of kopieer hem naar je takenlijst en vink af wat je regelt.
De volledige GA4 en AVG-checklist
Stap 1. Verwijder oude Universal Analytics-snippets
Universal Analytics is al enige tijd offline, maar verrassend veel websites draaien nog een oud UA-fragment naast de GA4-tag. Dat fragment doet niets nuttigs meer, maar het kan dataverwerking triggeren die nergens gedekt is. Controleer je broncode of tagmanager op tags die beginnen met UA- en verwijder ze definitief.
Stap 2. Sluit een verwerkersovereenkomst af met Google
Google treedt op als verwerker van persoonsgegevens namens jou. De AVG verplicht je een verwerkersovereenkomst (Data Processing Amendment, DPA) te hebben. Google biedt deze aan via je GA4-accountinstellingen. Log in op analytics.google.com, ga naar Beheer en controleer of de DPA is geaccepteerd. Heb je ook Google Ads? Controleer ook daar. Zonder deze overeenkomst verwerk je persoonsgegevens zonder juridische basis.
Stap 3. Controleer IP-anonimisering
Google zegt dat IP-anonimisering in GA4 standaard aan staat. In de praktijk betekent dat echter niet dat je configuratie automatisch klopt. Als je via Google Tag Manager werkt, controleer dan in je GA4-configuratietag of er geen instellingen zijn die dit overschrijven. Gebruik ook de DebugView in GA4 om te bevestigen dat er geen volledige IP-adressen worden doorgegeven. Dit klinkt technisch, maar het is een kwestie van tien minuten natrekken.
Stap 4. Zet dataretentie op maximaal 14 maanden
GA4 bewaart gebruikersdata standaard op 14 maanden, maar dit kan per ongeluk op een langere termijn staan als je account ooit anders is geconfigureerd. Ga naar Beheer, dan naar Data-instellingen en vervolgens Gegevensbewaring. Zet dit op 14 maanden of korter. Documenteer daarna welke keuze je hebt gemaakt en waarom. Die documentatie heb je nodig als de AP ooit vragen stelt.
Stap 5. Configureer Consent Mode v2 correct
Consent Mode v2 is de manier waarop je GA4 vertelt wat een bezoeker heeft geaccepteerd of geweigerd. Er zijn twee kernparameters: analytics_storage (voor statistieken) en ad_storage (voor advertenties). Veel websites hebben Consent Mode wel staan, maar controleren nooit of het écht werkt. Test dit met de Google Tag Assistant: accepteer niks in je cookiebanner en kijk of GA4-signalen worden geblokkeerd. Als ze toch doorkomen, is er iets mis met je implementatie.
Stap 6. Controleer je cookiebanner op dark patterns
Een cookiebanner die weigeren moeilijker maakt dan accepteren is een dark pattern. De Autoriteit Persoonsgegevens en andere Europese toezichthouders handhaven hier actief op. Een geldige banner biedt een even prominente weigermogelijkheid als een acceptatieknop. Laad GA4 pas nadat iemand expliciet heeft geaccepteerd, niet daarvoor. Controleer dit ook op mobiel: op kleine schermen verdwijnen weigerbuttons soms achter een scrollgebied.
Stap 7. Schakel advertentie- en remarketingfuncties uit
GA4 heeft functies zoals Google Signals en remarketinglijsten die je bezoekers koppelen aan hun Google-account en ze kunnen retargeten via advertenties. Als je geen expliciete toestemming voor marketingcookies vraagt (en de meeste MKB-websites doen dat niet standaard), moet je deze functies uitzetten. Ga in GA4 naar Beheer, dan naar Google Signals-gegevens en schakel dit uit. Controleer ook of er geen remarketinglijsten worden aangemaakt in de Google Ads-koppeling.
Stap 8. Verwijder of anonimiseer User-ID en herleidbare custom dimensions
Gebruik je User-ID tracking om ingelogde gebruikers te volgen? Of heb je custom dimensions aangemaakt met e-mailadressen, namen of andere klantgegevens? Dan verwerk je direct herleidbare persoonsgegevens in GA4, en dat mag alleen met een expliciete grondslag. Voor de meeste websites is het makkelijker om deze gegevens te anonimiseren of helemaal niet mee te sturen. Kijk in je GA4-implementatie welke waarden je meestuurt naar het user_id-veld en naar custom parameters.
Stap 9. Werk je privacyverklaring bij
Je privacyverklaring moet GA4 expliciet benoemen. Beschrijf daarin welke gegevens worden verzameld, waarvoor je GA4 gebruikt (bijvoorbeeld websitestatistieken verbeteren), hoe lang je ze bewaart (de 14 maanden die je in stap 4 hebt ingesteld), en dat gegevens worden doorgegeven naar de VS. Vermeld ook de juridische grondslag voor die doorgifte: dat zijn de Standard Contractual Clauses (SCCs) die Google gebruikt. Je hoeft geen juristerijargon te gebruiken: schrijf gewoon in klare taal wat je doet en waarom.
Stap 10. Voeg GA4 toe aan je verwerkingsregister
Artikel 30 van de AVG verplicht de meeste organisaties een register van verwerkingsactiviteiten bij te houden. GA4 hoort daarin thuis als aparte verwerking. Noteer het verwerkingsdoel, de categorieën betrokkenen (websitebezoekers), de bewaartermijn, de verwerker (Google Ireland Limited) en de doorgifte naar een derde land (VS, op basis van SCCs). Dit hoeft geen ingewikkeld document te zijn. Een spreadsheet of een eenvoudige tabel volstaat.
Stap 11. Overweeg een DPIA bij hoog-risico toepassingen
Een Data Protection Impact Assessment (DPIA) is verplicht als de verwerking een hoog risico inhoudt. Voor de gemiddelde bedrijfswebsite met alleen GA4 is dat risico beperkt. Maar combineer je GA4 met andere datasets, zoals klantprofielen of aankopen? Of bereikt je website gevoelige doelgroepen, zoals kinderen, mensen met gezondheidsproblemen of bezoekers van een politieke partij? Dan is een DPIA verstandig en soms verplicht. Twijfel je? De AP heeft een tool op hun website waarmee je kunt inschatten of een DPIA nodig is.
Stap 12. Plan een halfjaarlijkse controle in
Google past GA4 regelmatig aan. Standaardwaarden veranderen, nieuwe functies worden ingeschakeld, en koppelingen met andere Google-diensten worden uitgebreid. Wat vandaag correct geconfigureerd is, kan over zes maanden alweer anders liggen. Zet een herhaalafspraak in je agenda voor december en voor juni. Doorloop dan de belangrijkste punten uit deze checklist opnieuw: IP-anonimisering, consent mode, dataretentie en de advertentiefuncties. Het kost je elke keer hooguit een half uur.
Wat als je niet alles tegelijk kunt regelen?
Begin dan bij stap 2, 5 en 6. De verwerkersovereenkomst, een werkende Consent Mode en een eerlijke cookiebanner zijn de drie punten waarop de Autoriteit Persoonsgegevens het meest actief handhaaft. Los die drie eerst op. De rest kun je in de weken daarna aanpakken, maar stel het niet te lang uit. Een webshop die Google Analytics 4 draait zonder verwerkersovereenkomst of met een kapotte consent-implementatie loopt een reëel handhavingsrisico, ook als het een kleine onderneming is.
Een cookiebanner is het begin, niet het eindpunt. Om GA4 AVG-conform te gebruiken moet je ook een verwerkersovereenkomst met Google afsluiten, IP-anonimisering activeren, de gegevensoverdracht naar de VS documenteren en je privacyverklaring bijwerken. Werk de punten uit de checklist van boven naar beneden af en leg je keuzes schriftelijk vast. Heb je je privacyverklaring nog niet aangepast of weet je niet hoe je de doorgifte naar de VS daarin correct omschrijft? Gebruik dan de gratis privacyverklaring generator op deze site om een conforme tekst op te stellen.
Klaar om jouw privacy policy te maken?
Gebruik onze gratis generator en heb in 3 minuten een juridisch correcte privacy policy op maat.
Start de generator - gratis