Is het einde van tracking cookies nabij?

Al sinds hun ontstaan hebben cookies geen al te beste reputatie. De meeste gebruikers denken bij cookies spontaan aan privacyinbreuken en vervelende reclame op het web. Toch zijn cookies niet per se slecht. De introductie van cookies midden jaren 90 heeft de mogelijkheden van websites enorm uitgebreid. Zo werd de cookietechnologie ontwikkeld om bijvoorbeeld de inhoud van een winkelwagentje in een webshop makkelijker te bewaren. 

Helaas duurde het niet lang voordat adverteerders ook cookies begonnen te gebruiken om consumenten te bespioneren. Nog erger is dat de eerste browsers met cookie-ondersteuning zomaar alle cookies aanvaardden, zonder dat de gebruiker zich daarvan bewust was. Juist omdat het zo’n nieuwe technologie was, hadden de meeste consumenten er zelfs nog nooit van gehoord. Je begrijpt dan ook waarom cookies al gauw in het verdomhoekje terechtkwamen.

Cookies versus cookies

Toch mag je niet alle cookies over één kam scheren. Om de verschillende soorten cookies beter te begrijpen, gaan we iets dieper in op de technische details. Een cookie is een klein tekstbestandje in de cache van jouw browser om data uit te wisselen met een webserver. Vraagt de browser een webpagina op, dan kan de webserver in de headers van de reply instructies meegeven om een of meer cookies te bewaren. De browser beslist vervolgens om die instructies al dan niet op te volgen. 

Surf je nadien naar dezelfde pagina (of naar een andere pagina in hetzelfde domein), dan stuurt jouw browser bij elke request die cookies terug naar de server. Elk cookie bestaat uit een eenvoudig key-value-paar, bijvoorbeeld: authUt=1. Cookies zijn steeds gekoppeld aan een bepaald domein, zoals www.ad.nl. Optioneel zijn ze enkel geldig voor een specifiek pad binnen dat domein, bijvoorbeeld www.ad.nl/nieuws. 

Al die informatie kun je makkelijk opvragen in je browser. In Google Chrome klik je op het icoontje direct links van de url en kies je vervolgens de optie Cookies. Chrome groepeert alle cookies per domein in twee tabbladen: toegelaten en geblokkeerde cookies.

© PXimport

Gedrag

Het precieze gedrag van cookies wordt verder bepaald door een aantal optionele attributen. Die zijn enkel zichtbaar op de client: ze worden niet verstuurd naar de server. Naast de eerder vermelde Domain en Path zijn dat:

- Expires: de tijd en datum waarop de browser het cookie moet verwijderen.

- Max-Age: een alternatief voor Expires. Bepaalt hoeveel tijd (in seconden) na het aanmaken van het cookie het weer verwijderd moet worden.

- Secure: cookies met dit attribuut mogen enkel via een beveiligde https-verbinding verstuurd worden.

- HttpOnly: verbiedt toegang tot cookies voor client-side scriptingtalen (zoals JavaScript).

Cookies zonder Expires- of MaxAge-attribuut noemt men ook wel session cookies. Ze worden verwijderd zodra je je browsersessie afsluit. Session cookies gebruikt men bijvoorbeeld om jouw inloggegevens te bewaren. Zo hoef je niet telkens opnieuw in te loggen als je naar een andere pagina surft. 

Worden de cookies wél voor langere tijd bewaard, dan spreekt men van persistent cookies. Een mogelijke toepassing van persistent cookies is het bewaren van voorkeuren voor een webpagina (zoals taal of locatie) zonder dat je hoeft in te loggen. Tegenwoordig gebruiken veel websites trouwens ook persistent cookies om in te loggen. Je hoeft dan op elk apparaat maar éénmaal in te loggen, wat natuurlijk nog gebruiksvriendelijker is.

Third-party of niet?

We zagen reeds dat een cookie steeds aan een specifiek domein gekoppeld is. Een cookie van ad.nl op jouw pc kan dus enkel uitgelezen worden door de webserver van ad.nl. Maar dat betekent niet dat de website van AD geen cookies van andere domeinen op jouw pc kan plaatsen! Een html-pagina kan immers perfect inhoud laden die op een extern domein gehost is. In het geval van ad.nl is dat bijvoorbeeld inhoud van dpgmedia.net. De cookies van dpgmedia.net kunnen echter enkel uitgelezen worden door de webserver van dat domein. (We negeren hier even het feit dat AD een uitgave is van DPG Media en beide domeinen wellicht op dezelfde server gehost worden.) 

Cookies van hetzelfde domein als de webpagina noemt men first-party cookies en cookies van een ander domein third-party cookies. Dat onderscheid vind je ook terug in de cookie-instellingen van je browser. Zo kun je ervoor kiezen om enkel first-party cookies te aanvaarden en geen third-party cookies. De standaardinstellingen verschillen per browser. 

Onthoud voorlopig dat first-party cookies meestal cruciaal zijn voor een correcte werking van websites en third-party cookies meestal niet.

© PXimport

Tracking cookies

Uiteraard kunnen first-party cookies jouw surfgedrag op een website volgen. Maar omdat ze enkel toegankelijk zijn voor die specifieke website, vallen de privacyimplicaties nog mee. Met third-party cookies is het veel erger gesteld. Die stellen namelijk een volledig surfprofiel van jou op, over verschillende domeinen heen. 

Dat werkt als volgt: stel dat je website A bezoekt, die code van domein B laadt. De webserver van B stelt nu een cookie in, waarmee jij geïdentificeerd kunt worden. Bezoek je nadien website C en bevat die ook code van domein B, dan verstuurt jouw browser het zonet aangemaakte cookie naar domein B. Zo weet de beheerder van domein B dat je zowel website A als website C bezocht hebt. Die informatie wordt bewaard in een database op de server van domein B. Het cookie zelf hoeft enkel een unieke identificatienummer te bevatten. 

Tracking cookies zijn erg populair om gerichte advertenties te tonen. Je hebt ongetwijfeld meegemaakt dat je informatie opzoekt over een bepaald product (bijvoorbeeld een smartphone) en nadien op werkelijk élke website reclame te zien krijgt voor dat product.

Wettelijke beperkingen

Binnenkort zou dat weleens gedaan kunnen zijn. De laatste jaren waren er verschillende evoluties die het einde van third-party cookies in gang gezet hebben. Om te beginnen zijn er natuurlijk de wettelijke bepalingen omtrent het verzamelen en verwerken van persoonlijke data. De ePrivacy Directive van de EU uit 2002 (van kracht vanaf 2003) stelde reeds dat gebruikers expliciet toestemming moeten verlenen tot het gebruik van cookies. 

Maar let op: een directive van de EU legt slechts een doel vast dat de individuele EU-leden nog in lokale wetgeving moeten omzetten. De ePrivacy Directive had dus niet zo’n grote invloed op het gebruik van cookies. De meeste websites maakten zich er makkelijk vanaf door ergens onderaan elke webpagina te vermelden dat ze cookies gebruikten. Dat is echt grondig veranderd met de GDPR (lokaal in Nederland de AVG genoemd) uit 2016, die in 2018 in werking is getreden. 

In tegenstelling tot een directive, is een regulation wel degelijk wettelijk bindend in de gehele EU. Vanaf dat moment moest een gebruiker expliciet toegang geven aan elke website om al dan niet cookies te gebruiken. Vandaar de vervelende – maar vanuit privacyoogpunt absoluut noodzakelijke – banners met cookie-instellingen wanneer je een website voor het eerst bezoekt.

Een website die voldoet aan de GDPR/AVG moet jou altijd de optie geven om tracking cookies uit te schakelen. Een zogenaamde cookiewall, waarbij je enkel toegang tot een website krijgt wanneer je alle cookies aanvaardt, is in strijd met de GDPR/AVG.

Browsers

Ook browsers dragen hun steentje bij in de strijd tegen tracking cookies. Safari was er in 2017 vroeg bij met Intelligent Tracking Protection-functie. Het doel van ITP is om alle vormen van tracking over verschillende domeinen heen te blokkeren. De regels voor cookies werden gaandeweg strenger bij elke update van ITP, omdat de adverteerders steeds nieuwe technieken toepasten om ITP te omzeilen. 

Vanaf ITP versie 2.3, uitgebracht in maart 2020, is het definitief gedaan met tracking cookies. Safari blokkeert nu standaard alle third-party cookies. Firefox biedt met Enhanced Tracking Protection een gelijkaardige functionaliteit aan. ETP werkt op basis van een blacklist van bekende domeinen die gebruikers proberen te tracken. Vanaf versie 69 (september 2019) is ETP standaard geactiveerd. Via Settings / Privacy & Security kun je het gedrag van ETP nog verder instellen. Wil je álle third-party cookies blokkeren en niet enkel die van bekende tracking domeinen, selecteer dan de Strict-optie voor ETP. Mogelijk werken sommige functies op bepaalde websites daarna niet meer. Is dat het geval, dan kun je ETP uitschakelen voor specifieke websites via het schild-icoontje links van de adresbalk. 

Ook Microsoft Edge beschikt vanaf versie 80 (januari 2020) over vergelijkbare functionaliteit met Microsoft Tracking Prevention.

© PXimport

Chrome

Google Chrome is de enige browser die momenteel standaard geen third-party of tracking cookies blokkeert. Ergens is dat wel begrijpelijk, want Google is een grote speler in zowel de browsermarkt als de advertentiemarkt. Google moet dus erg goed opletten dat het beide doelgroepen tevreden houdt. Treedt Google streng op tegen third-party cookies, dan verkrijgt het een enorm concurrentieel voordeel tegenover andere advertentiebedrijven. 

Google kan jouw surfgedrag immers perfect volgen vanuit zijn browser als je bent ingelogd met jouw Google-account: daarvoor zijn geen third-party cookies nodig. De kans is dan reëel dat het een aanklacht wegens monopoliemisbruik aan zijn broek krijgt. Maar treedt Google te laks op tegen third-party cookies, dan stappen vele gebruikers misschien over op andere browsers zoals Firefox of Edge. 

Dat betekent niet dat Google niet bezig is met de problematiek van tracking cookies. Onder de naam The Privacy Sandbox groepeert het een hele reeks projecten om alternatieven voor third-party cookies te ontwikkelen. De bedoeling is om die alternatieven via nieuwe webstandaarden voor alle browsers beschikbaar te stellen. Third-party cookies worden dan wellicht pas in de loop van 2023 geblokkeerd in Chrome.

Geen cookies

Je moet je wel beseffen dat third-party cookies op zich geen vereiste zijn om een persoonlijk surfprofiel van jou op te stellen. Cookies hebben het alleen technisch erg eenvoudig gemaakt voor derde partijen (meestal advertentiebedrijven) om gebruikers te volgen op verschillende websites. Gebruik je een website waarbij je moet inloggen om de volledige functionaliteit te kunnen benutten? Dan mag je ervan uitgaan dat dat bedrijf persoonlijke data over jou verzamelt, vooral als die website gratis is. 

Het meest voor de hand liggende voorbeeld is natuurlijk Google. Je logt in met jouw Google-account, want het is best handig om jouw browsergeschiedenis te synchroniseren tussen verschillende apparaten. Vervolgens zoek je op Google naar bepaalde onderwerpen, waardoor Google weet wat jouw interesses zijn. Je moet dan ook niet opschrikken wanneer je nadien gepersonaliseerde advertenties ziet in jouw Gmail-box! (Via je Google-account kun je dergelijke gepersonaliseerde advertenties trouwens uitschakelen.) 

Een nieuwswebsite kan, weliswaar op kleinere schaal, iets vergelijkbaars doen. Door te volgen welke artikelen je leest, kunnen bepaalde advertenties wel of niet getoond worden.

© PXimport

Alternatieven

Het naderende einde van third-party cookies dwingt advertentiebedrijven om alternatieve strategieën te bedenken. Het is moeilijk te voorspellen welke richting dat zal uitgaan, want er zijn verschillende mogelijkheden. We bespreken hier de twee meest voor de hand liggende opties. Om te beginnen is het perfect mogelijk om advertenties te tonen op websites zonder persoonlijke data te verzamelen. Dat betekent niet dat je zomaar lukraak advertenties toont op eender welke website. Net zoals je op onze site eerder reclame ziet voor netwerkapparatuur dan voor biologisch voedsel, zie je op bijvoorbeeld een website over klussen dan advertenties voor gereedschap en niet voor kleding. 

Omdat de context van de advertentie de inhoud ervan bepaalt, noemt men dat contextuele reclame. Die houdt het midden tussen ongerichte reclame en gepersonaliseerde reclame op basis van tracking cookies.

Van mensen naar groepen

Bij contextuele reclame verschuift de focus dus terug van individuele gebruikers naar groepen gebruikers met bepaalde interesses. Dat biedt verschillende voordelen. Omdat er zogenaamd geen persoonlijke gegevens meer verzameld worden, is er ook geen risico meer op inbreuken op de privacywetgeving. 

Het einde van gepersonaliseerde reclame is wat ons betreft alleen maar goed nieuws voor de consument. Niet alleen is het gedaan met het verzamelen van jouw persoonlijke data, gepersonaliseerde reclame is vaak ook gewoon erg storend. Het is niet omdat we eens vijf minuten zoeken naar beamers voor een thuisbioscoop, dat we de komende week op elke website reclame voor dergelijke producten willen zien! 

Bezoeken we websites over volledig andere onderwerpen, zoals auto’s of cocktails, dan is dat gewoon erg opdringerig. Contextuele reclame in lijn van de inhoud van die websites is in dat geval veel minder storend.

Toch nog tracken?

Niet iedereen is overtuigd dat contextuele reclame een vooruitgang is. Ook na het verdwijnen van third-party cookies blijft er een vraag bestaan naar het tracken van individuele gebruikers. Daarvoor kunnen meerdere technologieën ingezet worden. De meest spraakmakende is Federated Learning of Cohorts of kortweg FLoC. De bedoeling van FLoC is om nog steeds advertenties te tonen op basis van surfgedrag, maar dan zonder de mogelijkheid om individuele gebruikers te identificeren. Dat werkt als volgt:

- de browser analyseert jouw surfgeschiedenis om een bepaalde gebruikersgroep of cohort aan jou toe te kennen. Die analyse gebeurt volledig lokaal: de precieze browsergeschiedenis wordt met niemand gedeeld.

- vervolgens stuurt de browser de viercijferige cohort-ID in de http-headers van elke request mee.

- de webserver gebruikt die ID om een advertentie uit een specifieke categorie te tonen.

Het is erg belangrijk dat elk cohort voldoende gebruikers bevat (minstens enkele duizenden), anders is het nog steeds mogelijk om individuele gebruikers te identificeren. Het aantal cohorten is dus eerder beperkt. 

In maart 2021 heeft Google FLoC in Chrome geactiveerd voor een beperkt aantal gebruikers. Dat gebeurde volledig buiten hun weten én initieel was er zelfs geen makkelijke manier om FLoC uit te schakelen. Intussen is dat wel het geval: onder Privacy and security / Privacy Sandbox kun je alle Privacy Sandbox-proeven eenvoudig uitschakelen. 

Op het moment van schrijven was dat enkel FLoC, maar er komen er binnenkort zeker nog meer bij. Interessant om weten, is ook dat er momenteel ongeveer 33.000 verschillende cohorten gedefinieerd zijn én dat jouw cohort-ID elke week opnieuw berekend wordt op basis van je surfgedrag van de laatste week.

© PXimport

Weinig fans

Ook al beweert Google dat FLoC de privacy van de gebruikers respecteert, toch heeft het weinig enthousiasme kunnen opwekken bij andere ontwikkelaars. Op dit moment lijkt geen enkele andere browser mee te willen gaan in het FLoC-avontuur: zowel Brave, Edge als Firefox blokkeren FLoC. Daarvoor hebben ze elk hun eigen redenen. De rode draad is echter dat FLoC jouw privacy helemaal niet beter beschermt dan tracking cookies. 

Om te beginnen wordt jouw cohort-ID gedeeld met werkelijk elke website die je bezoekt. Dat zelfs erger dan de huidige situatie, waarbij websites een tracker van een specifieke aanbieder bevatten. Geen enkele aanbieder heeft een volledig overzicht van jouw surfgedrag, want daarvoor zou elke website die je bezoekt diezelfde tracker moeten bevatten. Maar dankzij FLoC kom je als het ware met een korte samenvatting van jouw surfgedrag van de laatste week op elke website terecht. 

Nu denk je misschien dat dat niet zo erg is, want een FLoC-ID is niet zomaar terug te brengen tot één specifieke persoon. Dat klopt, althans … totdat je met een persoonlijke account inlogt! Dan weet die website namelijk exáct wie je bent. Dankzij de FLoC-ID krijgt men persoonlijke informatie over jou in handen die men voorheen veel moeilijker zou kunnen bemachtigen.

Gevoelige data

Je hoeft niet ver te zoeken om scenario’s te vinden waarin de FLoC-data tegen jou gebruikt wordt. Surf je een hele week naar websites over depressie en solliciteer je nadien via de website van een uitzendbureau? Dan kun je maar beter hopen dat het uitzendbureau niet kijkt naar de FLoC-ID van de geregistreerde gebruikers! 

Natuurlijk is Google zich bewust van dat risico. Googles oplossing is om een bepaalde set van zogenaamde gevoelige categorieën niet toe te laten binnen FLoC. Blijkt uit de analyse van jouw surfgeschiedenis dat je in zo’n gevoelig cohort terechtkomt, dan wordt die informatie niet gedeeld. Maar wat verstaat Google nu precies onder gevoelige data? Via www.tiny.cc/adbeleid vind je een behoorlijke lange lijst met onderwerpen die geweerd worden uit gepersonaliseerde reclame. Het gaat om bijvoorbeeld jouw medische en financiële situatie, seksuele geaardheid, politieke overtuiging, geloof enzovoort. 

Daarbij negeert Google het feit dat iedereen zijn eigen idee heeft van welke data al dan niet gevoelig is. Ben je op zoek naar informatie over baby’s? Dat is geen geheim als je gepland zwanger bent, maar een 15-jarige tienermoeder in spe loopt daarmee misschien liever niet te koop! Kortom, het is nogal paternalistisch dat Google beslist op welke manier jouw privacy beschermd mag worden. 

Het is duidelijk dat Google het kwaad niet bij de wortel durft aan te pakken. Er bestaat gewoon geen goede methode om gepersonaliseerde advertenties te tonen aan gebruikers én tegelijkertijd hun privacy te respecteren. FLoC is niet meer dan een technisch lapmiddel om het huidige systeem in stand te houden, zonder dat systeem zélf in twijfel te trekken. 

Maar wat had je anders verwacht van een bedrijf dat geld verdient door persoonlijke gebruikersdata te verkopen?

© PXimport

Goed opletten

Tracking cookies hebben terecht een kwalijke reputatie opgebouwd. Voor de niet-geïnformeerde gebruiker klinkt het natuurlijk mooi dat Google die cookies in 2023 zal uitschakelen. Maar vergis je niet: Google is druk bezig nieuwe technologieën te ontwikkelen om gepersonaliseerde advertenties te blijven tonen! Die zullen weliswaar binnen de privacywetgeving opereren, maar inbreuken op jouw privacy blijven nog steeds mogelijk. 

Het is verontrustend dat Googles FLoC een korte samenvatting van jouw surfgeschiedenis deelt met letterlijk élke website die je bezoekt. Ook zonder tracking cookies kijk je dus best jouw browserinstellingen goed na. Vooral in Chrome mag je de standaardinstellingen niet zomaar vertrouwen: Brave, Edge en Firefox doen het wat dat betreft veel beter.