Google Analytics en AVG: wat moet je regelen?

Direct antwoord

Google Analytics 4 mag in Nederland worden gebruikt mits je toestemming vraagt voor tracking-cookies en de tool privacyvriendelijk instelt. Per 15 juni 2026 splitst Google de consent-controles voor Analytics en Ads. MKB-webshops moeten Consent Mode V2 hebben, een verwerkersovereenkomst met Google sluiten en de tool in hun cookiebeleid noemen.

Google Analytics 4 (GA4) is sinds 2023 onder voorwaarden weer rechtmatig in de EU te gebruiken, maar in 2026 verandert het regime opnieuw. Dit artikel maakt onderdeel uit van de complete gids voor het opstellen van een privacyverklaring.

Wat verandert er in 2026 voor Google Analytics-gebruikers?

Per 15 juni 2026 splitst Google de consent-controles voor Google Analytics 4 en Google Ads. Vanaf die datum geldt de parameter ad_storage als de enige bepalende factor voor advertentie-data binnen gekoppelde accounts; Google Signals verliest zijn rol als dataverzamelaar voor advertenties. Tegelijk blijft Consent Mode V2 verplicht voor elke organisatie die GA4 gebruikt op bezoekers uit de Europese Economische Ruimte.

Consent Mode V2 introduceerde in maart 2024 twee aanvullende toestemmingssignalen — ad_user_data en ad_personalization — naast de bestaande analytics_storage en ad_storage. Voor Nederlandse webshops betekent dit concreet: zonder geldige cookie-consent met deze vier signalen mag GA4 geen persoonsgegevens via cookies verwerken voor advertentiekoppelingen.

Daarnaast loopt op de achtergrond de invoering van de ePrivacy Verordening, die naar verwachting eind 2026 in werking treedt en strengere eisen stelt aan tracking-toestemming, ook voor server-side analytics.

Wat is de achtergrond?

De juridische status van Google Analytics in de EU was jarenlang onduidelijk. In januari 2022 oordeelde de Oostenrijkse toezichthouder dat GA-implementaties in strijd waren met de AVG, vooral vanwege gegevensoverdracht naar de Verenigde Staten zonder adequate waarborgen na het Schrems II-arrest van het Hof van Justitie van de EU.

Deze situatie veranderde toen de Europese Commissie op 10 juli 2023 het EU-US Data Privacy Framework aannam, dat doorgifte naar gecertificeerde Amerikaanse partijen weer rechtmatig maakt. Google is sindsdien gecertificeerd onder dit kader, waardoor GA4 in de EU — mits correct ingesteld — weer kan worden gebruikt.

De Autoriteit Persoonsgegevens (AP) heeft in 2024 en 2025 een handleiding voor privacyvriendelijke configuratie van Google Analytics gepubliceerd. Deze handleiding bevat aanbevelingen rondom IP-anonimisering, gegevensbewaartermijnen en het uitschakelen van advertentiefuncties die niet nodig zijn voor analytics.

Wie wordt geraakt?

De wijzigingen raken iedere Nederlandse organisatie die Google Analytics 4 gebruikt op een website met EU-bezoekers. In de praktijk betekent dat:

  • Webshops en e-commerceplatforms die GA4 gebruiken voor conversiemetingen en remarketing.
  • MKB-zakelijke websites met formulieren, blog-tracking of demo-aanvragen.
  • Mediauitgevers en blogs die op advertentie-inkomsten draaien (Google Ads, AdSense).
  • SaaS-platforms met productanalytics waarvan een Google-account wordt gebruikt.

Wie geen Google Analytics gebruikt maar wel andere trackers (Plausible, Fathom, Matomo, Microsoft Clarity), valt onder dezelfde AVG-eisen voor toestemming en transparantie maar niet onder de specifieke Google-changes van juni 2026.

Wat moet je nu doen? Checklist met deadlines

Voer de volgende acties uit vóór 15 juni 2026 om compliant te blijven:

  1. Implementeer Consent Mode V2 (deadline: zo snel mogelijk). Stel je cookieconsent-tool zo in dat alle vier de signalen (ad_storage, analytics_storage, ad_user_data, ad_personalization) worden doorgegeven aan Google Tag Manager. Veelgebruikte tools zoals Cookiebot, Cookie Information en CookieFirst hebben hier kant-en-klare integraties voor.
  2. Sluit een verwerkersovereenkomst met Google. De Google Ads Data Processing Terms (te accepteren in de Admin van GA4 onder Account-instellingen) gelden als verwerkersovereenkomst voor doeleinden van artikel 28 AVG. Bewaar een PDF-kopie voor je administratie.
  3. Zet IP-anonimisering aan. In GA4 staat dit standaard aan, maar controleer dit in Admin > Data Settings > Data Collection. Als IP-anonimisering uitstaat, schakel hem direct in.
  4. Beperk de bewaartermijn voor gebruikersdata. Standaard staat GA4 op 2 maanden of 14 maanden; kies bewust en vermeld de gekozen termijn in je privacyverklaring.
  5. Vermeld GA4 in je cookiebeleid en privacyverklaring. Geef aan welke gegevens worden verzameld (paginabezoeken, apparaattype, geanonimiseerd IP, eventuele e-commerce-events), op welke rechtsgrond (toestemming op basis van artikel 6 lid 1a AVG en artikel 11.7a Telecommunicatiewet) en welke ontvanger (Google Ireland Ltd. + transfer naar Google LLC onder DPF).
  6. Test je consent-implementatie. Gebruik de DebugView in GA4 of een tool als Tag Assistant om te controleren dat zonder consent geen events worden gestuurd, en met consent alle vier de signalen correct worden doorgegeven.
  7. Plan een review na 15 juni 2026. Na de splitsing van consent-controles wijzigt de data-flow. Verifieer dat advertentie-koppelingen (Google Ads, YouTube) nog correct werken én dat je dataset niet onbedoeld is uitgebreid.

Voor diepere uitwerking van het cookiebeleid zelf, zie het cluster Cookiebeleid maken: de regels in 2026. Voor de bredere AVG-eisen voor webshops, zie Privacyverklaring voor webshops: stap-voor-stap.

Bronnen en officiële publicaties

  • Algemene verordening gegevensbescherming (AVG): EUR-Lex — Verordening (EU) 2016/679.
  • EU-US Data Privacy Framework: adequaatheidsbesluit van 10 juli 2023, raadpleegbaar via de Europese Commissie en het officiele DPF-register.
  • AP-handleiding privacyvriendelijk instellen Google Analytics: gepubliceerd op autoriteitpersoonsgegevens.nl, met technische richtlijnen.
  • Google Consent Mode V2 documentatie: support.google.com/analytics, met implementatie-instructies en consent-parameter-overzicht.
  • Telecommunicatiewet artikel 11.7a: wetten.overheid.nl, voor de Nederlandse cookieregels.

Houd er rekening mee dat dit een actualiteitsartikel is: zodra Google nieuwe wijzigingen aankondigt of de ePrivacy Verordening daadwerkelijk in werking treedt, vraagt deze pagina om een update.

Let op: Dit artikel geeft algemene informatie over Google Analytics en AVG-naleving en is geen juridisch advies. Voor jouw specifieke situatie laat je het document reviewen door een aangesloten jurist via lawsy.nl.

Veelgestelde vragen

Antwoorden op de meest gestelde vragen over google analytics en avg: wat moet je regelen?.

Mag ik Google Analytics gebruiken zonder cookiebanner?

Nee. GA4 plaatst tracking-cookies en valt onder artikel 11.7a Telecommunicatiewet, dat voorafgaande toestemming eist. Een impliciete toestemming via "door verder te bladeren accepteer je" is niet geldig. Een cookiewall die alleen "alles accepteren" toestaat zonder weigeroptie is sinds 2021 verboden volgens de AP.

Wanneer gaat de splitsing van consent-controles in?

Op 15 juni 2026. Vanaf dat moment regelt de parameter ad_storage alleen nog Google Ads-data binnen gekoppelde accounts en verliest Google Signals zijn dataverzamelingsrol voor advertenties. Voor analytics-data blijft analytics_storage de bepalende toestemming.

Heb ik een verwerkersovereenkomst met Google nodig?

Ja. Google biedt een standaard verwerkersovereenkomst aan via de "Google Ads Data Processing Terms" (te accepteren in de GA4-Admin onder Account-instellingen). Deze terms voldoen aan artikel 28 AVG. Bewaar een PDF-kopie of schermafbeelding van de geaccepteerde versie voor je AVG-administratie.

Welke rechtsgrond gebruik ik voor Google Analytics in mijn privacyverklaring?

Toestemming (artikel 6 lid 1a AVG) in combinatie met artikel 11.7a Telecommunicatiewet. Voor analytics-cookies geldt geen uitzondering voor strikt noodzakelijke cookies, omdat GA4 dient voor analyse en optimalisatie en niet voor het functioneren van de site zelf.

Wat is een privacyvriendelijker alternatief voor Google Analytics?

Tools als Plausible, Fathom, Matomo (zelf-gehost) en Simple Analytics werken zonder persoonsgegevens of met geaggregeerde data, waardoor cookietoestemming kan vervallen als de tool geen persoonsgegevens verwerkt. Voor MKB-webshops met conversiekoppelingen naar Google Ads blijft GA4 doorgaans praktischer; voor puur publieksinzicht is een privacy-first alternatief eenvoudiger te onderhouden.

Wat als bezoekers geen toestemming geven — mag ik dan nog meten?

Met Consent Mode V2 in "basic mode" worden geen cookies geplaatst en geen events gestuurd. In "advanced mode" stuurt Google geanonimiseerde, geaggregeerde signalen die geen persoonsgegevens bevatten. Beide modi zijn AVG-conform; je toont in je rapportage dan een "modeled" deel van het verkeer.

Is Google Analytics na de ePrivacy Verordening nog toegestaan?

De ePrivacy Verordening (verwacht eind 2026) versterkt de toestemmingseis maar verbiedt GA4 niet automatisch. Wel komt server-side tracking nadrukkelijker onder consent te vallen. Volg actualiteit van de AP en pas je cookiebanner en privacyverklaring aan zodra de definitieve tekst is gepubliceerd.

Bronnen

Terug naar Privacyverklaring maken