• Hidde de Voogt

This Website Uses Cookies

Een belangrijke verplichting waar websitebeheerders zich aan moeten houden als het gaat om het gebruik van (third party) tracking cookies, is het verkrijgen van toestemming van gebruikers. Terwijl dit toestemmingsvereiste privacy beschermt, is het tegelijkertijd een van de grootste frustraties van internetgebruikers. Dit komt vooral omdat de voorkeuren voor iedere website afzonderlijk moeten worden opgegeven. Daarbij staan vrijwel altijd ook niet-functionele cookies by-default aan. Hier lijkt een eind aan te komen, want na het initiatief van Google[1] komt nu ook Max Schrems met een alternatief voor cookie-banners. In deze blog leg ik uit hoe dit de ervaring van gebruikers zou kunnen veranderen.


Google Sandbox

Google’s plan om third-party cookies geleidelijk te verwijderen uit Chrome maakt deel uit van een bredere strategie om een Privacy Sandbox te creëren. Gebruikers zien op basis van meerdere API’s[2] gepersonaliseerde advertenties, zonder dat er tracking cookies worden gebruikt. Hun privacy blijft daarom beter beschermd. Dit betekent dus niet dat tracking an sich wordt aangepakt, maar specifiek third-party tracking wordt aan banden gelegd. Daarbij zal toestemming nog steeds dienen als de wettelijke basis voor tracking, maar deze zal op een andere manier worden gegeven. (Dus niet langer door middel van vervelende cookie-banners)


Kort gezegd worden internetgebruikers ingedeeld in verschillende cohorten. Op basis daarvan kunnen adverteerders inschatten waarin bepaalde groepen voornamelijk zijn geïnteresseerd. Interesses worden op basis van surfgedrag lokaal in de browser berekend. De benaming die Google hieraan heeft gegeven is Federated Learning of Cohorts (FLoC) en wordt op dit moment onder een klein aantal gebruikers getest. Ondanks verbeterde privacybescherming bestaat er ook kritiek op de Privacy Sandbox en sommige marktautoriteiten en burgerrechtenbewegingen zijn bang dat Google te veel macht naar zich toe zal trekken. Op de website Am I FloCed? kunnen gebruikers kijken of ze bij de groep horen waarop het nieuwe systeem momenteel wordt getest.


Advanced Data Protection Control

Een tweede alternatief voor cookie-banners is bedacht door de Europese gegevensbeschermingsorganisatie Noyb (o.l.v. Max Schrems) in samenwerking met Sustainable Computing Lab. Advanced Data Protection Control (ADPC) dient als een geautomatiseerd middel waarmee gebruikers toestemming kunnen geven of weigeren, reeds gegeven toestemming kunnen intrekken en/of bezwaar kunnen maken tegen verwerking van persoonsgegevens. Het systeem biedt een alternatief voor de bestaande niet-geautomatiseerde toestemming (cookie-banners) en heeft tot doel de bescherming van de privacy van gebruikers te vergemakkelijken. Gebruikers krijgen bijvoorbeeld (eindelijk) een duidelijke JA/NEE optie.

Het is namelijk zo dat, volgens artikel 21 lid 5 AVG en de ePrivacy-verordening, voorkeuren voor gegevensverwerking automatisch op de achtergrond moeten worden doorgegeven in de vorm van een signaal vanuit de browser naar de desbetreffende website. Op dit moment bestaat dat signaal nog niet, in ieder geval niet automatisch. Daar lijkt nu een einde aan te komen. Door middel van een plug-in kan ADPC worden geïmplementeerd in een browser. Vervolgens kan de gebruiker zijn of haar voorkeuren eenmalig instellen, waarna de plug-in deze voorkeuren op een geautomatiseerde manier doorstuurt naar de bezochte websites. Voor Firefox bestaat de plug-in al en ook voor Chrome is er een in de maak. Advanced in de benaming ADPC verwijst trouwens naar het feit dat het systeem meer biedt dan alleen een opt-out mogelijkheid, zoals in Amerika de gewoonte is. Om in Europa aan regelgeving te voldoen is er volgens Noyb meer nodig, zoals bijvoorbeeld een opt-in mogelijkheid voor specifieke websites. Deze opt-in mogelijkheid zou bijvoorbeeld ook op een bepaalde groep websites kunnen worden toegepast door middel van een whitelist. Bijvoorbeeld wanneer gebruikers kwaliteitsjournalistiek willen ondersteunen door in die specifieke gevallen toe te staan dat hun gegevens voor advertenties worden gebruikt.


Het einde van cookie-banners betekent dus niet het einde van tracking. Hoewel beide systemen die ik in deze blog behandelde voordelen opleveren op het gebied van privacybescherming, zullen internetgebruikers voornamelijk merken dat het surfen op internet vergemakkelijkt wordt en minder vaak onderbroken door vervelende cookie-banners. Ook voorkomen we hiermee dat men cookie-banners snel wegklikt door alle cookies te accepteren. Mijn verwachting is dat de meeste mensen eenmalig zullen aangeven alleen functionele cookies te willen toestaan, waardoor de gemiddelde gebruiker veel beter wordt beschermd dan voorheen. De toekomst zal vervolgens uitwijzen wat het effect gaat zijn op online ad tech.


[1] https://www.cookiebot.com/.

[2] API is een afkorting voor Application Programming Interface. In feite is het een manier om verschillende applicaties met elkaar te laten communiceren. Voor een korte uitleg zie dit filmpje.