We kennen allemaal dat ene klusje dat we maar blijven uitstellen. Je hebt er geen tijd voor, of het is een lastige taak, of je hebt er gewoon geen zin in. Voor Google is dat ene klusje het stoppen met third party cookies. Het bedrijf kondigde het al lange tijd geleden aan, maar voorlopig duurt het zeker nog tot 2024. Elke keer als Google iets meldt over dit onderwerp, hoor je mensen opgelucht zuchten: ‘Eindelijk, dan kunnen die stomme cookiebanners weg.’ Maar let op: grote kans dat die banners nog wel even blijven.
Tekst: Ruben van der Geest
Verschil first- en third party cookies
Een cookie is een klein tekstbestand dat op het apparaat van een gebruiker geplaatst wordt. Het kan bij een volgend bezoek uitgelezen worden om zo vast te stellen wie die gebruiker is. Alleen degene die het cookie plaatst, kan ’m ook uitlezen. Handig als je bijvoorbeeld wilt weten of een gebruiker is ingelogd, anders zou die gebruiker op elke pagina opnieuw moeten inloggen. Dit systeem klonk als muziek in de oren van adverteerders. Ze konden immers een profiel opstellen van een gebruiker door op zoveel mogelijk websites cookies te plaatsen. Hoe dit precies werkt? Met het inladen van content van andere domeinen (denk bijvoorbeeld aan een YouTube-video of socialmediapost) kunnen die domeinen ook cookies plaatsen. Dus als deze aanbieders dit op genoeg websites doen, dan kunnen ze het gebruik over al die websites volgen. Deze cookies worden niet geplaatst via het domein dat de gebruiker bezoekt (de first party) en zijn dus third party cookies. De second party is de gebruiker.
Er bestaat in de online wereld de overtuiging dat je alleen voor third party cookies toestemming hoeft te vragen, want: ‘third party cookies zijn de tracking cookies en first party cookies niet’. Dit foute denkbeeld is heel makkelijk te ontkrachten, want de wet maakt helemaal geen onderscheid tussen first- en third party. De wet kijkt alleen naar waar een cookie voor wordt gebruikt. Is het puur functioneel, of nodig om de inlogstatus te onthouden? Dan is er geen toestemming nodig. Wordt de informatie (ook) gebruikt voor bijvoorbeeld marketingdoeleinden? Dan is wel toestemming nodig. Waar komt dit gerucht dan vandaan? De uitleg is te vinden in de geschiedenis. Historisch gezien werden first party cookies gewoon niet gebruikt voor doeleinden waar toestemming voor gevraagd moest worden. Tegenwoordig is dat wel anders, maar het gerucht blijft hardnekkig de ronde doen.
Een voorbeeld van het gebruik van first party cookies voor online tracking is server-side tracking. Server-side tracking werkt als volgt: een organisatie plaatst via de eigen website een cookie. Dit cookie verzamelt gegevens en stuurt die naar een server van de organisatie. Vervolgens worden deze gegevens doorgestuurd naar een adverteerder. De data worden dus niet rechtstreeks door de adverteerder verzameld (via een third party cookie), maar door de organisatie die ze vervolgens doorstuurt naar die adverteerder. De gegevens gaan weliswaar via een tussenstation, maar komen gewoon van het apparaat van de gebruiker. Dezelfde regels zijn dan van toepassing, waardoor toestemming vereist blijft. Bij het gebruik van een dergelijke oplossing moet je als organisatie om toestemming vragen en dat kun je het beste doen via een cookiebanner.
Web beacons en device fingerprinting
Er zijn ook organisaties die denken geen cookiebanner nodig te hebben, omdat op hun website helemaal geen (tracking) cookies worden geplaatst. Ze gebruiken bijvoorbeeld web beacons of device fingerprinting om unieke gebruikers te identificeren. Helaas is er voor hen slecht nieuws: ook hiervoor is toestemming vereist.
Hierboven is uitgelegd dat de wet geen onderscheid maakt tussen first- en third party cookies. Daarnaast maakt de wet ook geen onderscheid tussen technieken of systemen. De wet gaat dan ook niet specifiek over cookies, maar over alle technieken en systemen die gegevens opslaan op –, of toegang verkrijgen tot informatie op randapparatuur van gebruikers. Het gebruik van web beacons of device fingerprinting dient aan dezelfde wettelijke eisen te voldoen als het gebruik van cookies. Voor deze technieken moet je om toestemming vragen. Dus ook wat dit betreft blijft de cookiebanner nog wel even.
Alternatieven
Google is druk bezig met het ontwikkelen van alternatieven voor third party cookies. Zo was er eerst FLoC, toen Fledge en nu lijken ze hun pijlen te richten op Topics API. Een van de problemen waar de onderneming tegenaan loopt is het verkrijgen van toestemming. Google krijgt het idee – dat een gebruiker in zijn browser toestemming geeft voor het tracken – niet in lijn met de privacywetgeving. De nieuwere ideeën leggen daarom de verantwoordelijkheid voor het op een goede manier toestemming krijgen weer bij de website. De website-eigenaar zal toestemming moeten vragen aan de gebruiker om bijvoorbeeld de Topics API te mogen gebruiken.
Laat die banner staan
De term cookiebanner is verwarrend. Vaak wordt het woord cookies als een verzamelterm gebruikt voor alle vormen van online tracking, maar zoals je hierboven gelezen hebt, zijn cookies niet het enige waar je toestemming voor moet vragen. Eigenlijk is een term als privacybanner veel beter!
Voorlopig blijft toestemming vragen nog wel een onontkoombaar feit. Probeer er gewoon het beste van te maken. Die banner is een uithangbord voor je website, zorg er dus voor dat-ie de gebruiker niet ergert en dat-ie voldoet aan de wet!
Ruben van der Geest is juridisch adviseur bij ICTRecht.
Er is op dit moment 0 keer gereageerd op:
Laat de cookiebanner nog maar even staan
Je kunt niet meer reageren op dit artikel.