Matomo is een kosteloos beschikbare analyse-software voor websites. Met Matomo kunnen veel statistieken, die ook Google Analytics biedt, worden gemaakt. Met de juiste configuratie kan Matomo zonder toestemming en zonder problemen met de privacy gebruikt worden.
Inleiding
Matomo is een populaire oplossing om het gedrag van gebruikers op websites na te gaan. In tegenstelling tot Google Analytics kan Matomo zonder problemen met de bescherming van persoonsgegevens en zonder toestemming worden gebruikt.
Toch kunnen met Matomo vaak meer dan voldoende statistieken over het gedrag van bezoekers aan websites worden gemaakt. Vooral kan met Matomo worden vastgesteld dat
- Hoeveel gebruikers hebben de website op een bepaalde dag bezocht
- Welke pagina (onderpagina) van de website hoe vaak werd opgeroepen?
- Van welke apparaten uit werden de oproepen gedaan en
- Van waar ongeveer (geografische locatie) de oproepen werden geuit.
Meer moet de meeste beheerders van websites niet weten. Alles wat daarbovenuit gaat, is meestal alleen nuttig als voldoende middelen en kennis beschikbaar zijn om de stromen van bezoekers te kunnen evalueren. Vooral bij kleinere en middelgrote bedrijven zijn deze middelen echter juist niet aanwezig.
Matomo is technisch en juridisch aanzien beter te beheersen dan Google Analytics.
Mijn bewering na onderzoek van beide tools.
Matomo heeft vanwege de juridische vragen rondom Google Analytics een duidelijk geringere inrichtingskosten dan het Google-tool. Omdat geen cookie-popup de bezoeker stoort, kan er ook van een hogere omzettingssnelheid of lagere afsprrate worden uitgegaan. Dit verhoogt dus ook de omvang van de analysegegevens, wat op zijn beurt weer leidt tot betrouwbare statistieken.
Om Matomo DSGVO-conform en zonder toestemming te kunnen draaien, zijn een paar aspecten in overweging te nemen. Voordat ik inga op de configuratie van Matomo, zullen er voorbeelden worden getoond van evaluaties die Matomo ondersteunt.
Bezoekersstatistieken met Matomo
De screenshot toont de huidige bezoekers op een website en hun acties. Een actie is bijvoorbeeld het oproepen van een onderpagina. Verder worden kenmerken getoond over de bezoekers, zoals de gebruikte browser, het besturingssysteem of het type scherm.
De volgende screenshot toont een grafiek van de laatste bezoeken, die door de pure testmodus zeer magertjes uitvalt.
Uit alle bezoeken worden aggregatiestatistieken berekend zoals bijvoorbeeld de gemiddelde verblijfsduur of het aantal acties per bezoek. Een actie is bijvoorbeeld het klikken op een link.
Analysefuncties van Matomo zijn voor de meeste websites voldoende.
Mijn bewering op basis van kennis van Matomo en veel websites.
De weg van bezoekers naar de website, op de website en hoe de website is verlaten wordt aanschouwelijk weergegeven.
De overgangen laten zien hoe bezoekers op de website zijn gekomen, welke pagina's ze daar hebben bezocht en hoe ze de website weer verlaten hebben. De screenshot ziet er ook hier erg mager uit omdat de testgegevens minimaal waren. Normaal gesproken zouden op de linkerkant en rechterkant ook interne pagina's staan en een grafiek tonen.
Configuratie van Matomo
De configuratie van het analysehulpmiddel is dankzij de grafische webinterface eenvoudig mogelijk. Enkele instellingen moeten aangepast worden om zo veel mogelijk in overeenstemming te zijn met de wetgeving op het gebied van gegevensbescherming. Het schaadt niet om alle instellingen even na te kijken. Daarvoor is slechts een paar minuten tijd nodig.
Locale installatie
Matomo zou in lokale bedrijfsvoering moeten worden gebruikt. Dat betekent dat de installatiedossiers van Matomo gedownload en vervolgens op een eigen server geïnstalleerd worden. De installatie is vooral voor WordPress heel eenvoudig, omdat er een plugin beschikbaar is. Deze bedrijfsvoering wordt ook wel On-Premise genoemd en is kostenloos.
Wie je wilt de Cloud-oplossing gebruiken, moet je nog wat andere dingen in acht nemen. Vooral is een DPA met de leverancier van Matomo af te sluiten. De Cloud-oplossing kostte momenteel 29 euro per maand. Het geld is beter in een enkele lokale installatie geïnvesteerd, die bovendien rechtelijk gemakkelijker te beheersen is.
Anonimiseren van IP-adressen
Uit privacyoverwegingen zou de IP-adres niet volledig in het protocol moeten worden opgenomen, omdat ze persoonsgegevens vertegenwoordigen. De mate van pseudonymisering of anonimisering is flexibel te kiezen. Een verkorting van de IPv4-netwerkadres met twee bytes geeft een hoog niveau van privacy op.
De gebruik van de geanonimiseerde IP-adres ook voor het opmaken van de bezoeken is eveneens aan te bevelen (instelling op „Yes“ zetten, in het schermbeeld is nog de omgekeerde selectie te zien)!
Wanneer twee of meer bytes van de IP-adres van de gebruiker gemaskeerd worden, dan wordt de Geolokatie niet erg nauwkeurig. Toch zou de bepaling van de locatie van de gebruiker nog steeds nauwkeurig genoeg moeten zijn voor de meeste toepassingsgevallen. Voor velen is het gewoon onbelangrijk of de bezoeker in Hessen of Noordrijn-Westfalen woont.
De activering van de optie "Gebruiker ID met pseudoniem uitwisselen" resulteert in dat interne identificatoren voor bezoekers worden vervangen door een hash-waarde. Omdat hash-waarden meervoudig kunnen zijn, neemt dit het niveau van privacybeleid toe. In wezen gaat het om het voorkomen van persoonsherkenbaarheid met behulp van de bezoeker ID door middel van extra protokoleringen. Google Analytics faalt hierin, omdat de Client Id als tegenhanger van Matomo Gebruiker ID altijd volledig wordt geregistreerd en een persoonsherkenbaarheid dus mogelijk is.
Koekverliezer Bedrijf
Rechtelijk het veiligst is de gebruik van Matomo zonder cookies. Het nadeel is dat herhaaldelijke bezoekers niet betrouwbaar als zodanig herkend worden. Dubbele tellingen zijn in het ergste geval het gevolg. Deze consequentie is naar mijn ervaring voor de meeste KMO's irrelevant. Uiteindelijk gaat het vooral om antwoorden op volgende vragen:
- Hoeveel bezoekers had de website?
- Welke bijdrages zijn het meest geliefd en welke hebben nog potentieel?
- Wat is de trend?
Precies deze vragen kunnen ook met de daarbij gegeven onzekerheid goed worden beantwoord.
Cookies kunnen in de admin-omgeving van Matomo uitgeschakeld worden.
De E-Commerce instelling dient voor het volgen van winkelwagens of productweergaven en is voornamelijk relevant voor online winkels. Het volgen van zoekopdrachten richt interne zoekacties op de website, dus niet globale zoekmachines. Voor dit laatste zijn andere middelen beschikbaar op niveau van bekende zoekmachines.
Sessie cookies
Het volgende gold tot voor 01.02.2021: Mogelijk kan de gebruikmaking van Matomo met sessiecookies verantwoord worden geacht. Dergelijke cookies bestaan slechts zolang een gebruiker zijn browser weer sluit. Volgens § 15 Abs. 3 TMG zou dit mogelijk als "bedrijfsgerichte vormgeving van telemedia" kunnen worden opgevat, wat tegen een toestemming in zou spreken. Maar dan zou er wel een afmeldmogelijkheid moeten worden geboden. Deze zou technisch voor de meeste mensen slechts door middel van het niet meer laden van Matomo te realiseren.
De Hoge Raad stelde in het Planet49-uitspraak echter vast dat de bepaling in het Telemediengesetz conform is aan de ePrivacy-Richtlijn. Daarmee zou voor technisch niet noodzakelijke cookies een toestemming vereist zijn.
Sinds 01.12.2021 geldt het TTDSG. Sinds mei 2024 wordt het TTDSG nu TDDG genoemd (anders is niets veranderd). De relevante paragraaf is de § 25 TTDSG. Volgens deze regel zijn cookies voor analytische doeleinden niet vrij van toestemming. Ook de Art. 29 Datenschutzgruppe merkte dit in hun Opinion 04/2012 over de ePrivacy-verordening, die in Duitsland is ingevoerd, expliciet aan.
Ik adviseer de gebruik van Matomo zonder cookies. De kwaliteit van de gegevens is goed genoeg en alle twijfels zijn verdwenen.
Wat is met Device Fingerprinting?
Fingerprinting betekent dat de digitale vingerafdruk van het apparaat van de gebruiker wordt getrokken, om de gebruiker ook zonder cookies weer te herkennen kunnen.
Een vingerafdruk bestaat uit de beeldschermresolutie, de ingestelde taal, het besturingssysteem, de browser en diens specifieke versie plus een aantal randgegevens. Deze gegevens zijn op dit moment niet in het eindapparaat van de gebruiker opgeslagen, maar worden via de aanvraag van attributen bepaald die meestal met de hardware verbonden zijn. De beeldschermresolutie is echter in een configuratie opgeslagen die weer niet voor de browser toegankelijk is. De browser kan deze informatie alleen door de aanvraag van de actuele gegevens te bepalen en heeft dus geen toegang tot persistente opslag. In een eerder artikel heb ik onderzocht, welke informatie in het eindapparaat van een gebruiker is opgeslagen.
Bepaalde systeemgegevens waaruit de digitale vingerafdruk van een gebruiker kan worden afgeleid, zijn niet al opgeslagen in het eindapparaat van de gebruiker, maar kunnen worden bepaald uit de huidige systeemconfiguratie.
Mijn bevindingen over vingerafdrukgegevens.
Hoe wordt de beeldschermresolutie bepaald?
In Matomo wordt de beeldschermresolutie opgeslagen in het parameter res.
Met behulp van dit voorbeeld van een beeldschermresolutie (breedte en hoogte in pixels, evenals diepte) wordt getoond dat deze vingerafdrukkeninformatie niet al op het eindapparaat van de gebruiker is opgeslagen, zoals bedoeld in § 25 TTDSG of art. 5 lid 3 ePrivacy-Richtlijn.
De schermgegevens kunnen rechtstreeks in de browser worden bepaald via JavaScript op de bezochte website. Hiervoor is het screen-object (of beter gezegd: window.screen) beschikbaar. Het biedt alle genoemde schermattributen aan via het window-object. De vraag naar de schermen zelf vindt plaats via systeemgerelateerde functies op besturingssysteemniveau. Het besturingssysteem vraagt hiervoor de huidige staat van de actieve monitor af, waarin de browser wordt weergegeven (zoals het er bij meerdere schermen uitziet, heb ik niet onderzocht, waarschijnlijk is daar de primaire monitor relevant). De monitor ontvangt van het besturingssysteem, wanneer deze wordt gestart, de opdracht om een bepaalde resolutie te gebruiken, die door configuratie ooit vastgelegd werd of overeenkomstig met het systeemstandaard is. De resolutie die daadwerkelijk door de monitor wordt weergegeven kan ook afwijken van wat in het besturingssysteem is vastgelegd, wanneer bijvoorbeeld de gewenste resolutie door de monitor niet wordt ondersteund. In het besturingssysteem is dus een gewenste resolutie geconfigureerd, terwijl in de monitor de sinds het aanzetten opgedragen resolutie (of de volgende beste) wordt weergegeven. Zo ver als ik weet, slaat de monitor deze resolutie alleen op in het vluchtige geheugen en niet in een vast geheugen.
Hoe wordt de IP-adres bepaald?
Een ander voorbeeld moet illustreren dat bepaalde gegevens niet volgens de genoemde wetgeving al in het eindapparaat van de gebruiker zijn opgeslagen, maar eerder vluchtige gegevens vertegenwoordigen die naast de eindinrichting van de gebruiker worden gehouden of dynamisch (bijvoorbeeld afhankelijk van de configuratie) worden bepaald.
De IP-adres is een netwerkadres. Elke deelnemer aan een netwerk zoals het internet heeft een adres nodig om bereikbaar te zijn voor anderen. Een eindapparaat krijgt zijn adres van een verantwoordelijke netwerkservers toegekend. Via DHCP (Dynamic Host Configuration Protocol) kunnen adressen dynamisch worden toegewezen, in tegenstelling tot statische adressen die voortdurend bestaan.
De netwerkadres wordt tijdens het gebruik toegekend. Het kan theoretisch elke keer veranderen, vooral als je klant bent bij een van de bekende telecommunicatieproviders die goedkope toegang bieden. De adres is niet beïnvloedbaar door de browser, hij kan alleen de huidige adres aan het apparaat opsporen. Het kan zijn dat in het apparaat een kopie van de IP-adres wordt opgeslagen. De echte IP-adres komt echter niet uit de informatie die eventueel is opgeslagen in het apparaat, maar via de provider. De mogelijke opslag in het apparaat is alleen bedoeld om de werkzaamheid te vereenvoudigen en de toegang te optimaliseren. Als er een Fritz!Box aanwezig is, zorgt hij voor de communicatie met de provider. De Fritz!Box staat, zo ver ik weet en kan ik voor mijn hardware beweren, buiten mijn apparaat. Dit is al alleen maar logisch omdat meerdere apparaten gezamenlijk een netwerktoegangspunt als de Fritz!Box kunnen gebruiken.
Hoe wordt de soort van het scherm bepaald?
Dit voorbeeld demonstreert dat de gegevens over het scherm en de invoerapparaten niet opgeslagen zijn in het eindproduct of daarop gespeeld hoeven te worden. Of een scherm een Touch Screen is, dus bedienbaar met de vingers of een speciale stift, wordt bepaald door het schermmodel. Deze eigenschap van het scherm kan duidelijk niet worden vastgelegd door een configuratie op die manier te wijzigen.
De kenmerken van een computermuisknop als invoerapparaat volgen uit de mogelijkheden van de muisknop zelf en niet uit een bepaalde configuratie. Het kan hooguit zijn dat bij meerdere instelopties er één vastgelegd wordt en door opslag in het eindapparaat wordt beheerd. Deze beheersing dient dan maar om de gebruiker comfort te bieden. De gebruiker moet immers dezelfde configuratie krijgen, wanneer de computer weer wordt aangezet.
Informatie die slechts tijdelijk in het eindapparaat van de gebruiker wordt opgeslagen, geldt niet als informatie die al in het eindapparaat van de gebruiker is opgeslagen.
Mijn conclusie.
Belangrijk is ook dat de browser de genoemde gegevens over scherm, muis of IP-adres niet zelf kan beheren. Anders ziet het er bij cookies uit, die alleen door de browser worden beheerd en die zonder deze beheerder helemaal niet bestonden. De opslag van cookies is in zichzelf noodzakelijk als men cookies wil gebruiken. De opslag van de schermresolutie daarentegen is niet noodzakelijk en vindt misschien alleen plaats om de gebruiker comfort te bieden bij het herstarten van het eindapparaat. Bovendien volgt zich uit een opgeslagen wensschermresolutie niet noodzakelijkerwijs de werkelijke resolutie. De browser heeft ook geen toegang tot een opgeslagen configuratie om de huidige schermresolutie te bepalen (indien een JavaScript-logica dit vraagt), maar vraagt naar het actuele staat van het scherm.
Cookies zijn niet-vluchtige (vaste) geheugen, terwijl fingerprint-gegevens vluchtige gegevens (gewoontegedrag) zijn.
Comparatie van cookies met vingerafdrukgegevens.
Wat gebeurt er met geïnstalleerde plugins?
Vanwege een hint van Markus Baersch heb ik de Matomo- bronbestanden van versie 4.8.0 onderzocht. Daar worden de door de browser ondersteunde Mime-typen opgevraagd. Hiervoor wordt de variabele navigator.mimeTypes gelezen, die een lijst met Mime-typen terugbrengt. Via het attribuut enabledPlugin kan vervolgens worden gecontroleerd of er voor een plugin een plugin beschikbaar is. Deze plugin-verzoek is niet vrijwillig! Vraag na installatie van Matomo, of de tracking aanvraag op uw website parameters bevat zoals pdf, qt, realp, java of gears.
De Tracking Request roept de bestand matomo.php op. U kunt deze request vinden door F12 in Firefox te drukken, dan het menu Netwerkanalyse te selecteren, dan de website op te roepen en vervolgens naar de Matomo-request te zoeken.
Ik noem de vingerafdrukinformatie Gewoontedata. Zij zijn wel vluchtig, kunnen zich dus potentiëel op elk moment veranderen, doen dit echter gewoonlijk niet. Zoals is het geval met technologieën en ook met cookies vergelijkbare technologieën, zijn ze geschikt om gebruikers te volgen. Het belangrijkste is de duur van de verwerking of opslagduur van de vingerafdrukinformatie.
De Artikel 29 werkgroep ziet de virtuele vingerafdruk als toegang tot het eindapparaat (Stellingname 09/2014). Maar ik denk dat de werkgroep, die voorganger is van de Europese Commissie voor gegevensbescherming en in Artikel 94 DSGVO wordt genoemd, eerder een omvattende vingerafdruk bedoelt. Daarbij horen ook geïnstalleerde lettertypen, dus gegevens die niet rechtstreeks via het lezen van JavaScript-variabelen verkregen kunnen worden. Bovendien is voor de Artikel 29 groep in het bijzonder de expliciete toegang tot de IP-adres kritisch, die in Matomo in de voorgestelde variant niet bestaat. Daarnaast zijn enkele gegevens die voor een vingerafdruk gebruikt worden (kunnen), direct aanwezig zonder dat ze expliciet opgeroepen hoeven te worden. Daarbij horen bijvoorbeeld de User Agent, die zonder tussenkomst van Matomo wordt overgedragen.
Dit betekent dat Device Fingerprinting volgens mijn inschatting niet valt onder de ePrivacy-verordening of § 15 lid 3 TMG in een richtlijnenconforme interpretatie (zie het arrest van de Hoge Raad over Planet49) en ook niet onder § 25 TTDSG (sinds december 2021). Of Fingerprinting valt onder § 15 lid 3 TMG in zijn oorspronkelijke vorm, hangt af van de aard en duur van gebruik van de Fingerprint-gegevens.
Matomo is zonder toestemming en zonder mogelijkheid tot bezwaar bruikbaar.
Mijn conclusie na onderzoek van de configuratieopties van Matomo.
Matomo gebruikt een digitale vingerafdruk om gebruikers ook zonder cookies te kunnen herkennen. Mijn test liet zien dat een gebruiker die op vrijdag als terugkerend werd erkend, op maandag als nieuwe gebruiker werd gewaardeerd. Dat is datarechtelijk goed, want een korte herkenningstijdspanne kan als gerechtvaardigd belang worden beschouwd. In elk geval zie ik het zo en vermoed dat er in dit geval geen toestemming of bezwaarmogelijkheid wordt aangeboden. Dit geldt voor de lokale gebruikersanalyse zonder cookies.
Het vingering met Matomo kan dus zonder mogelijkheid tot bezwaar volgens § 15 lid 3 TMG (in zijn oorspronkelijke betekenis, niet in de zin van het arrest van het Bundesgerichtshof conform aan de ePrivacy-richtlijn) worden gebruikt. De rechtsgrondslag hiervoor zou dan – bij geen expliciete toegang tot het apparaat – het gerechtvaardigde belang zijn volgens Artikel 6 lid 1 f GDPR.
Wie je wilt voorkomen dat Browser Feature Detection geactiveerd is, moet je ervoor zorgen dat deze functie uitgeschakeld is. Dit kan worden bereikt met behulp van een JavaScript-opdracht. In de Matomo-configuratie zou dit ook rechtstreeks (zonder programmeren) moeten kunnen worden ingesteld. De parameter heet op Engels "Disable Browser Feature Detection" en zou in het Nederlands ook beschikbaar moeten zijn. Of de configuratie correct is, kun je controleren door in de browser de ontwikkelingsconsole te openen met F12 in Firefox. Daarna moet je een website bezoeken die Matomo heeft geïntegreerd. In de sectie "Netwerkanalyse" in de ontwikkelingsconsole moet je de gegevens zoeken die samenhangen met Matomo. Bij deze adressen moet je de parameters controleren die worden overgedragen. In deze parameters moeten geen informatie verschijnen over geïnstalleerde browser-plugins en ook niet de grootte van het browservenster (de beeldschermresolutie is wel in orde, zie hierboven).
Oudere gegevens wissen
Om veiligheid redenen zouden historische gegevens niet te lang bewaard moeten worden. Een instelling voor het automatisch wissen van oude bestandsgegevens biedt Matomo direct aan.
De hoeveelheid dagen waarop gegevens vervallen moet zo gekozen zijn dat deze groter is dan de maximale rapportenperiode. Als de rapportagedata anoniem zijn, is ook een langere levensduur onproblematisch.
Bestaan er al oude gegevens uit eerdere sessies waarin de Matomo-instellingen geen anonimatisering hebben geregeld, kunnen deze naderhand nog wel worden anonimatisering.
Conclusie
Matomo is kosteloos beschikbaar en biedt vele analysefuncties die voor de meeste websites voldoende zijn. Een lokale installatie is gemakkelijk mogelijk. Rechtelijke bepalingen zoals bij Google Analytics hoeven niet in acht te worden genomen. Een DPA is bij een lokale installatie overbodig. In plaats daarvan moet op de juiste configuratie gelet worden, om privacyproblemen helemaal niet te laten ontstaan.
Matomo is geschikt voor bijna elke website als Google Analytics vervanger. Dit geldt vooral voor diegenen die Google Analytics gewoon alleen maar gebruiken omdat iedereen het doet of omdat een bureau dit heeft opgelegd.
Wie je wilt Google Analytics of een ander tool van een derde partij gebruiken, moet je de juridische en technische aspecten goed begrijpen. Dat kan echter regelmatig worden betwijfeld, waardoor problemen met de bescherming van persoonsgegevens voorspelbaar zijn.
Ook interessant
- Google Analytics verwerkt alle analysegegevens altijd in de VS
- Google Analytics als ingang voor hackers
- Google Analytics zonder cookies gebruiken (maar toch met toestemming)
- Google Tag Manager: juridische voorwaarden
- Untagmanager als Tag Manager Ersatz
- Juridische voorwaarden van Google-diensten
My name is Klaus Meffert. I have a doctorate in computer science and have been working professionally and practically with information technology for over 30 years. I also work as an expert in IT & data protection. I achieve my results by looking at technology and law. This seems absolutely essential to me when it comes to digital data protection. My company, IT Logic GmbH, also offers consulting and development of optimized and secure AI solutions.
