Wetten en regels rond product analytics: wat mag wel en wat moet je regelen?
- Robin S
- 8 jul
- 4 minuten om te lezen
Als je een app of website hebt, wil je weten wat gebruikers doen. Waar haken ze af? Welke knoppen klikken ze? Wat werkt wel en wat niet? Product analytics helpt je daar enorm bij. Maar je mag niet zomaar alles meten. In Nederland (en de EU) gelden strenge privacyregels — en die raken direct aan hoe je tracking en analytics inzet. In deze blog leggen we uit:
Welke regels er gelden rondom cookies, toestemming en tracking
Wat het verschil is tussen functionele, analytische en trackingcookies
Hoe je omgaat met ingelogde gebruikers
En waarom het verstandig is om altijd juridisch advies in te winnen
Wat zijn de regels in Nederland?
In Nederland gelden de Algemene Verordening Gegevensbescherming (AVG) en de Telecommunicatiewet. Samen bepalen zij of, wanneer en hoe je gebruikers mag volgen. En ja, ook als je alleen “wat statistieken” verzamelt voor je productteam.
Je moet altijd letten op:
Welke data verzamel je? (anoniem of persoonsgebonden)
Waar wordt die data opgeslagen? (EU of daarbuiten)
Wie kan erbij? (alleen jij of ook externe partijen)
Heb je toestemming?
Jij als klant bent uiteindelijke verantwoordelijk, partijen als Mixpanel en Amplitude worden gezien als 'data processor' en jij bent de 'data controller'.
Cookies: functioneel, analytisch, tracking – wat is het verschil?
Veel tracking gebeurt via cookies. De wet maakt onderscheid tussen drie soorten:
Functionele cookies
Deze zijn nodig om je site goed te laten werken. Denk aan het onthouden van je taalinstellingen of of iemand is ingelogd. Hiervoor hoef je geen toestemming te vragen.
Analytische cookies
Deze meten hoe mensen je site gebruiken, zoals welke pagina’s populair zijn of hoe lang iemand blijft. Je mag ze zonder toestemming gebruiken, mits de impact op privacy klein is. Dat betekent o.a.:
geen IP-adressen opslaan
geen gebruikersprofielen maken
data niet delen met derde partijen.
Een tool zoals GA4 vereist bijvoorbeeld wel gewoon opt-in vanwege third party cookies, maar tegenwoordig zijn er ook privacy vriendelijke alternatieven.
Trackingcookies
Deze volgen het gedrag van individuele gebruikers over meerdere pagina’s of websites. Ze worden vaak gebruikt voor retargeting of gepersonaliseerde advertenties. Hiervoor is altijd expliciete toestemming nodig. Dit regel je via een duidelijke opt-in (bijvoorbeeld een cookiebanner).
Opt-in vs. opt-out: wat is verplicht?
Voor cookies en tracking geldt in Nederland meestal een opt-in:
Je mag pas meten als iemand daar actief toestemming voor geeft.
Stilzwijgend akkoord of “doorgaan met browsen” is niet voldoende.
Gebruikers moeten hun keuze kunnen aanpassen of intrekken.
Opt-out mag alleen bij puur functionele zaken of volledig geanonimiseerde statistieken. Dit is in de praktijk iets wat wij regelmatig fout zien gaan.
Hoe regel je toestemming?
Via een cookiebanner of toestemming bij account. Tegenwoordig gebruiker partijen hier steeds voor een Consent Management System voor.
Je kunt gebruikers toestemming laten geven via:
een duidelijke cookiebanner bij het eerste bezoek
een vinkje in je instellingen (“Ik sta anonieme analyse toe”)
een specifieke keuze bij het aanmaken van een account
Zorg dat je:
duidelijk uitlegt wat de tool doet
vertelt welke gegevens je deelt
laat zien wat het oplevert voor de gebruiker
niets stuurt totdat de gebruiker akkoord is
Hoe zit dat bij ingelogde gebruikers?
Ingelogde gebruikers leveren vaak meer waardevolle data. Maar juist dan moet je extra zorgvuldig zijn:
Wat mag je?
Als iemand toestemming heeft gegeven bij het aanmaken van een account, mag je bepaalde dingen meten, mits je dit duidelijk hebt uitgelegd (doel, bewaartermijn, rechten).
Sommige acties (zoals een aankoop) mag je vastleggen voor de uitvoering van de overeenkomst, zelfs zonder toestemming. Dit valt onder de ‘wettelijke grondslag’ van de AVG.
Wat moet je regelen?
Geef gebruikers de optie om tracking uit te zetten, ook als ze ingelogd zijn.
Leg duidelijk uit wat je meet, waarom, en wat het oplevert voor hen.
Laat zien dat je hun belang voorop stelt, niet alleen jouw datahonger.
Maar wij willen juist zoveel mogelijk leren. Hoe combineren we dat met privacy?
Dat is de balans: je wil slimme keuzes maken op basis van data, zonder het vertrouwen van je gebruikers te verliezen. Gelukkig kan dat.
Praktische tips:
Werk met server side tracking als je meer controle wil over wat je deelt.
Gebruik first-party data en bewaar alles zo veel mogelijk binnen je eigen systemen.
Kies tools die privacy serieus nemen.
En wees open en eerlijk naar je gebruikers.
Mensen zijn best bereid iets te delen, als ze snappen wat het hen oplevert en erop kunnen vertrouwen dat je er netjes mee omgaat.
Kan ik persoonsgegevens naar sturen als ik ze hash?
Hashing (zoals SHA256) wordt soms gebruikt om persoonsgegevens “veiliger” te maken voordat je ze naar externe tools zoals Mixpanel stuurt.
Maar let op:
Hashing ≠ anonimiseren
Gehashte data is nog steeds herleidbaar tot een individu als je dezelfde input opnieuw hash — vooral als je bijvoorbeeld e-mailadressen gebruikt. De AVG ziet dat als pseudonimisering, niet als anonimiseren. |
Dus ook als je een gehashte user ID of e-mail stuurt, heb je nog steeds toestemming nodig.
Conclusie: meten = weten, maar wel met beleid
Product analytics is onmisbaar als je je digitale product wil verbeteren. Maar je kunt niet alles zomaar meten. De wet is er niet om je tegen te werken, maar om het vertrouwen van je gebruikers te beschermen. Dat is ook jóuw belang.
👉 Zorg dus dat je:
weet welke data je verzamelt
gebruikers duidelijke keuzes geeft
transparant bent over wat je doet
en tools kiest die helpen, niet schaden
En: laat je adviseren. Elk product is anders, en het is slim om met een jurist te overleggen over jouw specifieke situatie.
Heb je vragen over hoe je dit praktisch aanpakt? Of zoek je hulp bij de implementatie van een tool? Bij Verity PX helpen we je graag. Stuur ons gerust een bericht via de chat of per mail.
