Google Analytics AVG België: is GA4 legaal in 2026?
Steven | TrustYourWebsite · 12 juni 2026 · Laatst bijgewerkt: juni 2026
Google Analytics 4 is de meest gebruikte webanalysetool op Belgische websites. Het is ook één van de vaakst genoemde bronnen van AVG- en ePrivacy-overtredingen in cookiehandhavingszaken in de hele EU. Voor een Belgische ondernemer is de vraag in 2026 niet of GA4 in theorie bruikbaar is, maar of uw concrete opstelling voldoet aan de regels die de Gegevensbeschermingsautoriteit (GBA), in het Frans de Autorité de protection des données (APD), handhaaft.
Deze gids behandelt de actuele juridische situatie in België: de toestemmingsvereiste uit de Belgische ePrivacy-wetgeving, de handhavingspraktijk van de GBA, het EU-US Data Privacy Framework als doorgiftemechanisme dat de doorgiftecontroverse van 2021-2022 oploste en de instellingen waaraan uw GA4-account moet voldoen.
Wilt u weten of uw website GA4 laadt vóór toestemming? Start een gratis TrustYourWebsite-scan.
Het Belgische wettelijke kader voor analytics-cookies
Twee lagen van wetgeving regelen GA4 in België.
De eerste is artikel 10/2 van de wet van 30 juli 2018 (de "Kaderwet"), de Belgische omzetting van artikel 5(3) van de ePrivacy-richtlijn, ingevoegd bij de wet van 21 december 2021 en in werking sinds 10 januari 2022 (voorheen artikel 129 van de wet van 13 juni 2005, inmiddels opgeheven). Het vereist voorafgaande geïnformeerde toestemming voordat een cookie of vergelijkbare technologie op een eindapparaat wordt opgeslagen of ervan wordt uitgelezen, tenzij de cookie strikt noodzakelijk is voor de dienst die de bezoeker uitdrukkelijk heeft gevraagd. De GBA legt deze vereiste uit in lijn met de EDPB-richtsnoeren 05/2020: toestemming moet vrij, specifiek, geïnformeerd en ondubbelzinnig zijn, met een weigeroptie die even prominent is als de accepteerknop.
De tweede is de AVG (in België uitgevoerd door de wet van 30 juli 2018), die een rechtsgrond vereist voor de verwerking van persoonsgegevens. Voor GA4 is de rechtsgrond op de meeste Belgische websites toestemming op basis van artikel 6(1)(a) AVG, omdat analytics geen strikt noodzakelijke functie vervult en niet door gerechtvaardigd belang kan worden gedekt wanneer gegevens naar een derde partij stromen die ze mogelijk voor eigen doeleinden gebruikt.
De combinatie betekent: een cookiebanner is verplicht en GA4 blijft geblokkeerd totdat de gebruiker actief accepteert.
De GBA heeft haar vereisten voor cookietoestemming vastgelegd in haar cookie-checklist. Dat document en de handhaving ervan vormen de operationele norm. Voor een volledig overzicht van wat uw banner moet tonen en doen, zie de cookiebanner-vereisten in België.
Waarom GA4 buiten de analytics-vrijstelling valt
Het Belgische recht kent een beperkte vrijstelling van de toestemmingsvereiste voor analytics-cookies die aan strikte criteria voldoen: geen tracking van individuele bezoekers over sessies heen, geen gegevensdeling met derde partijen en uitsluitend geaggregeerde statistieken.
GA4 faalt op alle drie:
| Vereiste | Realiteit van GA4 | Voldoet? |
|---|---|---|
| Geen sessie-overschrijdende tracking van individuele bezoekers | GA4 kent een persistente Client ID toe die in de _ga-cookie wordt opgeslagen | Nee |
| Geen gegevensdeling met derde partijen | Gegevens worden naar de servers van Google LLC gestuurd | Nee |
| Uitsluitend geaggregeerde gegevens | GA4 verzamelt gebeurtenissen op individueel niveau, gebruikerseigenschappen en apparaatidentificatoren | Nee |
De Client ID is het kernprobleem. Hij blijft bestaan over sessies heen, koppelt meerdere bezoeken vanaf dezelfde browser en bouwt een longitudinaal gedragsprofiel op. Volgens overweging 26 van de AVG is een pseudonieme identificator die redelijkerwijs aan een persoon kan worden gekoppeld een persoonsgegeven. Analyticsscripts die een persistente identificator per apparaat plaatsen, komen niet in aanmerking voor de behandeling als strikt noodzakelijk of voor de analytics-uitzondering.
De handhavingspraktijk van de GBA
De Gegevensbeschermingsautoriteit (GBA) is de Belgische toezichthouder. Zij handhaaft sinds 2020 actief de cookieregels en publiceerde een cookie-checklist met haar bannervereisten.
In beslissing 85/2022 van 25 mei 2022 legde de Geschillenkamer van de GBA Roularta Media Group een boete van €50.000 op voor cookies die vóór toestemming werden geplaatst en voor vooraf aangevinkte vakjes voor toestemming voor cookies van derde partijen. Die beslissing maakte de verwachting van de GBA duidelijk: cookies mogen niet laden vóór de actieve en geïnformeerde acceptatie van de bezoeker.
De GBA heeft geen beslissing genomen die GA4 als zodanig viseert, zoals de Oostenrijkse DSB (december 2021) of de Franse CNIL (februari 2022) wel deden. Die beslissingen richtten zich op de doorgifte van persoonsgegevens naar Amerikaanse servers onder het kader van vóór het DPF. De doorgiftekwestie werd opgelost toen de Commissie in juli 2023 het EU-US Data Privacy Framework aannam (zie hieronder). De cookiehandhaving van de GBA blijft gericht op de toestemmingsvraag, die geldt ongeacht het doorgiftemechanisme.
Belgische KMO's vallen niet buiten dit handhavingsbereik. De GBA ontvangt klachten en handelt ernaar. Een klacht van een bezoeker, een concurrent of een privacy-ngo kan een formeel onderzoek in gang zetten. De Inspectiedienst van de GBA voert ook proactieve audits uit op de cookieconformiteit van websites. Voor de criteria die de GBA op banners toepast en haar recente sancties, zie de GBA-regels en boetes voor cookiebanners.
De doorgiftekwestie: wat veranderde in 2023
Vóór 10 juli 2023 vormden doorgiften van persoonsgegevens van EU-websites naar de Amerikaanse servers van Google LLC het belangrijkste juridische obstakel. Na het Schrems II-arrest (HvJ-EU C-311/18, juli 2020) werd het adequaatheidsbesluit Privacy Shield ongeldig verklaard. Standaardcontractbepalingen alleen volstonden niet voor doorgiften naar Amerikaanse entiteiten die onder surveillancewetgeving vallen, bij gebrek aan aanvullende technische maatregelen die GA4 in zijn standaardconfiguratie niet bood.
Drie nationale toezichthouders oordeelden op die gronden tegen Google Analytics:
- De Oostenrijkse Datenschutzbehörde (december 2021)
- De Franse CNIL (februari 2022)
- De Italiaanse Garante (juni 2022, besluit 9782890)
Op 10 juli 2023 nam de Commissie Uitvoeringsbesluit (EU) 2023/1795 aan, een adequaatheidsbesluit op grond van artikel 45 AVG dat het EU-US Data Privacy Framework vestigt. Gecertificeerde Amerikaanse importeurs kunnen persoonsgegevens ontvangen zonder aanvullende waarborgen. Google LLC certificeerde zich op 10 juli 2023. Het doorgiftebezwaar dat aan de beslissingen van 2021-2022 ten grondslag lag, is daarmee weggenomen.
Anno 2026 blijft het DPF van kracht. De EDPB merkte in haar Opinie 5/2023 over het DPF-adequaatheidsbesluit op dat zij het adequaatheidsbesluit verwelkomt en tegelijk bepaalde aandachtspunten voor monitoring benoemt. Schrems II blijft de historische context, geen actieve blokkade voor DPF-gecertificeerde doorgiften.
Wat dit betekent voor een Belgische website in 2026: de doorgifte naar de Amerikaanse servers van Google is gedekt door het DPF. De toestemmingsvereiste voor analytics-cookies blijft volledig van kracht en is het operationele nalevingspunt.
De banner: wat hij moet doen
Drie structurele vereisten volgen uit de cookie-checklist van de GBA en haar consistente handhavingspraktijk.
Blokkeer GA4 totdat de gebruiker accepteert
De meest voorkomende fout is GA4 dat in de head van de pagina initialiseert voordat de banner is verschenen. De gtag.js- of Google Tag Manager-snippet vuurt bij het laden van de pagina en stuurt de eerste hit naar Google voordat de bezoeker de cookiemelding heeft gezien. Dat eerste verzoek is al een overtreding van artikel 10/2 van de Kaderwet.
De oplossing is een consentmanagementlaag die de GA4-tag vasthoudt tot de bevestigende klik van de bezoeker. Google Tag Manager ondersteunt dit via de Consent Initialization-trigger. Cookiebot, Complianz, OneTrust en vergelijkbare tools blokkeren het script op HTML-niveau.
Weigeren op hetzelfde niveau als accepteren
De GBA verwacht één klik om te weigeren en één klik om te accepteren. Een grote groene "Alles accepteren"-knop naast een grijze tekstlink "Voorkeuren beheren" voldoet niet aan die norm. De beslissing 85/2022 van de GBA en de bredere handhavingspraktijk van Europese toezichthouders maken die vereiste duidelijk.
Granulaire toestemming voor analytics en marketing afzonderlijk
Een bezoeker moet analytics kunnen accepteren zonder advertentiecookies te accepteren en omgekeerd. Eén "Alles accepteren" die elke categorie bundelt, is geen specifieke toestemming in de zin van artikel 4(11) AVG, zoals de EDPB-richtsnoeren over toestemming bevestigen.
GA4-instellingen die een conforme Belgische installatie vereist
Ervan uitgaande dat de banner correct is, moet het GA4-account zelf worden geconfigureerd. Snelle referentie:
| Instelling | Menupad in GA4 | Standaard | Aanbevolen | Waarom dit telt in België |
|---|---|---|---|---|
| Data Processing Amendment geaccepteerd | Beheer > Accountgegevens > Accountinstellingen | Niet geaccepteerd | Geaccepteerd, datum vastgelegd | Artikel 28 AVG vereist een schriftelijke verwerkersovereenkomst. Zonder dit beschouwt de GBA de verwerking als zonder rechtsgrond, ongeacht andere correcties |
| Gegevensbewaring | Beheer > Gegevensinstellingen > Gegevensbewaring | 14 maanden | 2 maanden (of het operationeel onderbouwde minimum) | Gegevensminimalisatie op grond van artikel 5(1)(e) AVG. 14 maanden zonder gedocumenteerde onderbouwing is een bevinding in GBA-audits |
| Doorgiftemechanisme | Beheer > Gegevensinstellingen > Gegevensverzameling | EU-US DPF | EU-US DPF bevestigd en gedocumenteerd in uw verwerkingsregister | De DPF-certificering is de verplichting van Google. Uw verplichting is de grondslag te documenteren in uw verwerkingsregister |
| Google Signals | Beheer > Gegevensinstellingen > Google Signals | Uit (nieuwere accounts) | Uit, tenzij de banner expliciete advertentietoestemming vastlegt | Cross-device tracking zonder granulaire advertentietoestemming is een reikwijdteafwijking die de GBA als overtreding zou behandelen |
| Advertentiefuncties | Beheer > Property-instellingen | Aan (oudere accounts) | Uit, tenzij expliciete advertentietoestemming is verkregen | Hetzelfde probleem als Google Signals |
Opmerking over gegevensbewaring: de GA4-bewaarinstelling regelt alleen analyticsgegevens. Zij staat los van de Belgische fiscale bewaarplichten uit het Wetboek van de inkomstenbelastingen / Code des impôts sur les revenus, die de bewaring van boekhoudkundige stukken vereisen. Analyticsgegevens zijn geen fiscale stukken. De twee bewaarplichten werken onafhankelijk van elkaar.
Vermelding in de privacyverklaring
Uw privacyverklaring moet de GA4-verwerking vermelden. Een conforme clausule voor een Belgische website:
Wij gebruiken Google Analytics 4, een analysedienst van Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, Verenigde Staten. Google LLC is gecertificeerd onder het EU-US Data Privacy Framework, vastgesteld bij Uitvoeringsbesluit (EU) 2023/1795 van de Commissie van 10 juli 2023. De rechtsgrond voor de verwerking is uw toestemming op grond van artikel 6(1)(a) AVG, gegeven via de cookiebanner. Analyticsgegevens gekoppeld aan de Client ID worden [2/14] maanden bewaard. U kunt uw toestemming op elk moment intrekken via de cookievoorkeurenlink onderaan elke pagina.
De cookiebeslissingen van de GBA rekenen privacyverklaringen er consequent op af dat zij derde verwerkers noemen zonder het doorgiftemechanisme of de bewaartermijn te identificeren.
Consent Mode v2: wat het wel en niet oplost
Googles Consent Mode v2 (gelanceerd in 2024) past het gedrag van GA4 aan op basis van de toestemmingsstatus die uw banner doorgeeft.
Bij verleende toestemming: volledige tracking, Client ID geplaatst, gedragsgebeurtenissen verzonden.
Bij geweigerde toestemming: GA4 stuurt minimale cookieloze pings, geen Client ID en het IP-adres wordt niet aan een persistente identificator gekoppeld. Conversiemodellering vult de gaten in Google Ads-rapporten op.
Consent Mode v2 beperkt het gegevensverlies wanneer bezoekers cookies weigeren. Het neemt de wettelijke verplichting om die toestemming te verkrijgen niet weg. De minimale pings die in geweigerde modus worden verstuurd, bereiken nog steeds de servers van Google en worden door de GBA en EDPB-gealigneerde toezichthouders behandeld als verwerkingen die een rechtsgrond vereisen. Consent Mode levert die grondslag niet uit zichzelf.
De praktische conclusie: Consent Mode is een datakwaliteitstool voor ná de toestemmingsbeslissing. De banner, en de correcte werking ervan, blijven verplicht.
Cookieloze alternatieven die zonder banner werken
Verschillende analysetools plaatsen geen persistente identificatoren en verzamelen geen persoonsgegevens in de zin van de AVG. Zij komen doorgaans in aanmerking voor de Belgische analytics-vrijstelling, waardoor de toestemmingsvereiste volledig vervalt.
| Tool | Prijs | Hosting | Cookies | Banner nodig |
|---|---|---|---|---|
| Plausible Analytics | vanaf €9/maand | Duitsland (EU) | Geen | Nee |
| Fathom Analytics | vanaf USD 14/maand | EU + VS-opties | Geen | Nee |
| Simple Analytics | vanaf €9/maand | Nederland (EU) | Geen | Nee |
| Matomo Cloud | vanaf €19/maand | Duitsland (EU) | Configureerbaar | Configureerbaar |
| Matomo zelf gehost | Serverkosten | Uw servers | Configureerbaar | Configureerbaar |
Toets de configuratie aan de richtsnoeren van de GBA voordat u uw banner verwijdert. De standaardinstellingen van deze tools zijn doorgaans veilig. Het inschakelen van optionele functies zoals cross-site tracking of fingerprinting in Matomo kan de analyse veranderen.
De afweging is reëel. Cookieloze tools geven volledige data zonder toestemmingsgaten, maar u verliest individuele gebruikersreizen over sessies heen, demografische segmenten en de diepe integratie met Google Ads. Voor de meeste Belgische KMO's zonder groot advertentiebudget is dat geen significant verlies.
Veelvoorkomende fouten in scans van Belgische sites
Deze patronen duiken op in GBA-beslissingen en in geautomatiseerde scans van Belgische bedrijfswebsites.
GA4 in de head van de pagina, banner in de footer. Het script initialiseert voordat de banner verschijnt. De meest voorkomende overtreding.
Consent Mode behandeld als nalevingsoplossing. Sommige implementaties configureren Consent Mode en verwijderen de banner, in de veronderstelling dat Consent Mode het toestemmingsprobleem oplost. Dat doet het niet.
Het Data Processing Amendment nooit geaccepteerd. Het GA4-account werd jaren geleden opgezet. Niemand accepteerde de verwerkersclausule. Artikel 28 AVG wordt geschonden.
De standaardbewaring van 14 maanden nooit aangepast. De accountstandaard werd nooit herzien. De GBA verwacht dat een verwerkingsverantwoordelijke de bewaartermijn actief heeft overwogen.
Google Signals aan gebleven op een ouder account. Advertentiefuncties en cross-device tracking actief zonder bijbehorende advertentietoestemming in de banner.
De privacyverklaring noemt Google maar niet het DPF. Het doorgiftemechanisme ontbreekt of verwijst naar het inmiddels ongeldige Privacy Shield.
Checklist voor Belgische website-eigenaren
- De cookiebanner blokkeert GA4 voordat de bezoeker op Accepteren klikt
- Weigeren kan in één klik, op hetzelfde visuele niveau als Accepteren
- Analytics-toestemming staat in de banner los van advertentietoestemming
- De opslag van toestemming is gedocumenteerd met een vervaltermijn (doorgaans 6 tot 12 maanden)
- Een intrekkingslink staat in de permanente footer van elke pagina
- Het GA4 Data Processing Amendment is geaccepteerd, datum vastgelegd
- De gegevensbewaring staat op het operationeel onderbouwde minimum (standaard 2 maanden)
- Het EU-US DPF is in de privacyverklaring benoemd als doorgiftemechanisme
- Google Signals staat uit, tenzij advertentietoestemming expliciet is
- Advertentie- en personalisatiefuncties staan uit, tenzij toestemming is gegeven
- De privacyverklaring noemt Google LLC, het DPF, de grondslag van artikel 6(1)(a) en de bewaartermijn
- Elk kwartaal een controle of de scripts die na toestemming laden overeenkomen met het cookiebeleid
Start een gratis TrustYourWebsite-scan om te controleren of GA4 op uw site al laadt voordat een bezoeker toestemming geeft.
Bronnen
- Verordening (EU) 2016/679 (AVG) (eur-lex.europa.eu)
- Richtlijn 2002/58/EG (ePrivacy-richtlijn), geconsolideerde versie (eur-lex.europa.eu)
- Wet van 30 juli 2018 (Kaderwet), art. 10/2 (ejustice.just.fgov.be)
- Uitvoeringsbesluit (EU) 2023/1795 van de Commissie (EU-US DPF) (eur-lex.europa.eu)
- HvJ-EU, Schrems II (C-311/18), 16 juli 2020 (curia.europa.eu)
- EDPB verwelkomt verbeteringen onder het EU-US DPF (edpb.europa.eu)
- EDPB-richtsnoeren 05/2020 over toestemming (edpb.europa.eu)
- GBA cookie-checklist (gegevensbeschermingsautoriteit.be)
- GBA Beslissing 85/2022 van 25 mei 2022 (gegevensbeschermingsautoriteit.be)
Dit is een technische analyse, geen juridisch advies. Raadpleeg een advocaat voor specifiek juridisch advies.
Check je website nu
Scan je website op AVG & Privacy-problemen en 30+ andere checks.
Gratis scan startenWebsite-handleidingen
AI-website en GBA-klacht: wie betaalt in België?
Uw bouwer gebruikte Cursor of Lovable. Werkt de cookiebanner niet? De GBA spreekt u aan, niet OpenAI. Wat verandert er op 9 december 2026?
AVG website-audit: stap-voor-stap voor Belgische ondernemers
Doe in twee uur een volledige AVG-audit van uw Belgische website. GBA-aanpak, TCF-ruling 2022, Belgische bewaartermijnen. Stap voor stap.
AVG-checklist voor Belgische KMO (2026): 35 punten
35 controlepunten voor AVG-naleving op uw Belgische website. GBA-handhaving, wet 30 juli 2018, KBO-nummer en cookiebanner. Bijgewerkt mei 2026.
Cookiebanner België: GBA boetes en regels voor uw website
Wat de GBA vereist voor uw cookiebanner. Dark patterns, Alles weigeren knop, GBA-boetes. De Mediahuis-zaak uitgelegd. Gratis check voor uw website.
Cookiebanner vereisten België: GBA-regels 2026
Wat uw cookiebanner moet bevatten onder art. 10/2 Kaderwet en de GBA-regels. Gelijke knoppen, drietalige tekst, geen dark patterns en een checklist.