Google heeft officieel aangekondigd dat het zijn lang uitgestelde plan om cookies van derden in Chrome af te schaffen, zal schrappen. Cookies van derden blijven bestaan, ondanks jarenlange beloften van het tegendeel.
Dit is groot nieuws: third-party cookies zijn een cruciaal onderdeel van het adverteertechnologie-ecosysteem en een dringend privacyprobleem. Hier is alles wat u moet weten over de beslissing en de gevolgen voor online privacy.
- Wat zijn cookies van derden?
- Wat is er mis met third-party cookies?
- Waarom is Google zo belangrijk voor cookies?
- Waarom heeft Google cookies niet afgeschreven?
- Wat gaat Google doen?
- Wat betekent dit voor de privacy?
- Wat ligt er in het verschiet voor ad tech?
- Slotopmerkingen
Wat zijn cookies van derden?
Zoals je waarschijnlijk wel weet, zijn cookies kleine bestanden die browsers uitwisselen met servers. Ze worden voor allerlei doeleinden gebruikt: het tonen van gerichte reclame, het verifiëren van gebruikers, het onthouden van UI-voorkeuren of de items in uw winkelwagentje, enzovoort.
Cookies van de eerste partij kunnen alleen worden gelezen door het domein dat ze in uw browser heeft geplaatst, terwijl cookies van derden door andere domeinen kunnen worden gelezen. Hierdoor zijn third-party cookies erg nuttig voor gerichte advertenties, omdat een adverteerder meer te weten kan komen over je interesses op basis van je surfgedrag en een advertentie kan tonen waarin je waarschijnlijk geïnteresseerd bent.
Wat is er mis met third-party cookies?
Er is een ernstige en voor de hand liggende keerzijde aan third-party cookies: websites kunnen veel over je te weten komen via je surfgedrag - waaronder intieme informatie die je kan compromitteren, je kan blootstellen aan uitbuitende reclame en je op een aantal andere manieren in de problemen kan brengen.
Om het nog erger te maken, wordt gerichte reclame aangedreven door de uitwisseling van informatie tussen vele actoren. Het gaat er niet om dat een individuele website informatie over jou te weten komt: je persoonlijke informatie wordt vrijgegeven aan een enorm aantal adverteerders die bieden op elke advertentieplaatsing (inclusief de honderd adverteerders die elk bod verliezen!) en wordt doorgegeven aan gegevensmakelaars met twijfelachtige gegevensgovernance.
Om een lang verhaal kort te maken, de realtime biedomgeving achter gerichte reclame is niets minder dan een vuilnisbelt, zoals de ICCL in detail heeft uitgelegd.
En toch zijn third-party cookies, ondanks de privacyproblemen, lang een hoofdbestanddeel geweest van ad tech. Maar de wind is aan het veranderen: het publiek maakt zich steeds meer zorgen over gegevensprivacy en veel wetgevingen over de hele wereld hebben strenge privacywetgeving aangenomen in het kielzog van de GDPR. Het klimaat is niet zo gunstig voor het wijdverspreide gebruik van third-party cookies als in de vroege, wild ongereguleerde dagen van Web 2.0 en de industrie past zich schoorvoetend aan deze veranderingen aan door te neigen naar first-party gegevens.
Waarom is Google zo belangrijk voor cookies?
Google Chrome is de enige grote browser die standaard cookies van derden accepteert en is goed voor maar liefst 65% van de browsermarkt wereldwijd. Google houdt cookies van derden in feite in leven in een browsermarkt die al lang verder is.
De motieven van Google zijn duidelijk: het bedrijf is een ad-tech monopolist (dat is overigens de reden waarom de Amerikaanse DOJ probeert zijn ad-tech stack op te breken). Het bedrijf bezit veel van de belangrijkste diensten die de ad-tech omgeving aandrijven, waaronder Google 360, AdExchange, DoubleClick en Google Analytics.
Zo ziet een gezonde markt er niet uit (bron: US DOJ).
Lange tijd werd de lucratieve advertentietechnologie van Google grotendeels aangedreven door de invasieve tracking van gebruikers die werd toegestaan door cookies van derden. Maar zelfs Google erkende uiteindelijk dat het volgen van gebruikers op verschillende websites op de lange termijn niet houdbaar was. Dus begon het bedrijf te experimenteren met manieren om cookies van derden te vervangen zonder zijn eigen advertentie-technologie-imperium te vernietigen.
Google's plan voor het vervangen van cookies draaide om een aantal belangrijke punten. Het bedrijf begon te werken aan nieuwe standaarden en ideeën om (vermeende) privacy-vriendelijke gerichte advertenties mogelijk te maken. Deze voorstellen werden samen de Privacy Sandbox genoemd. Google zou niet alleen deze standaarden ontwikkelen, maar ook belanghebbenden aansporen om ze te omarmen door cookies van derden af te schaffen, evenals Universal Analytics - de oudere versie van Google Analytics die was gebaseerd op cookies van derden.
De dingen gingen niet zoals gepland. Het bedrijf kondigde eerst de afschaffing van cookies aan in 2020 met 2022 als deadline en verschoof de deadline later naar 2023, 2024, 2025 en nooit. De afschrijving van cookies werd een soort grap in de techgemeenschap.
Google zal zeker zijn beloften nakomen.
Waarom heeft Google cookies niet afgeschreven?
Google is er nooit toe gekomen om cookies van derden uit te bannen omdat het er niet in slaagde om ze te vervangen. Een eerste voorstel met de naam FLoC (Federated Learning of Cohorts) werd geschrapt nadat het werd teruggefloten door privacyvoorvechters, regelgevers en sommige belanghebbenden. Google probeerde het opnieuw met een voorstel dat Topics heette en hetzelfde lot onderging als FLoC.
We hebben een andere blog over Topics dus we zullen je hier niet vervelen met de details. Om een lang verhaal kort te maken, Topics analyseert de browsegeschiedenis van de gebruiker om hun interesses te achterhalen en deze uit te zenden naar adverteerders. Net als bij FLoC wordt deze analyse rechtstreeks uitgevoerd door de Chrome-browser en zijn de servers van Google er niet bij betrokken.
Niet iedereen was daar blij mee. De ontwikkelaars van andere browsers (met als opmerkelijke uitzondering Microsoft) wilden Topics met geen mogelijkheid aanraken. Ze wezen erop dat browsers gebruikersagenten zijn: ze moeten in het voordeel van de gebruiker werken, niet in het voordeel van de ontwikkelaars.
Topics had ook last van andere problemen. Privacyvoorvechters beweren dat Google misleidende taal heeft gebruikt om Topics als een "privacyfunctie" te bestempelen en zo toestemming te krijgen van Chrome-gebruikers. De Mozilla Foundation onderzocht Topics grondig en wees op de kwetsbaarheid voor aanvallen van heridentificatie. En last but not least, de Britse privacywaakhond en antitrustautoriteit hadden beide moeite met Topics.
Wat gaat Google doen?
Google heeft de Privacy Sandbox niet helemaal afgeschaft, maar is ook niet van plan om cookies van derden snel te verwijderen. Ze vervangen blijft dus op zijn best een doel voor de lange termijn.
Het bedrijf is vaag over zijn volgende stappen. Op de blog van het bedrijf staat dat er wordt gewerkt aan "een nieuwe ervaring in Chrome waarmee mensen een geïnformeerde keuze kunnen maken die van toepassing is op al hun webbrowsing", wat klinkt alsof er strengere beperkingen voor cookies van derden zullen worden geïmplementeerd.
Het is moeilijk te zien hoe deze "nieuwe ervaring" een betekenisvolle verandering voor de privacy kan betekenen. Nogmaals, Chrome is de enige grote browser die cookies standaard accepteert. Safari, Firefox en zelfs Microsoft Edge worden geleverd met privacy-vriendelijke cookie-instellingen. Alleen Chrome is standaard zo ingrijpend.
Maar hé, de gebruiker "kan die keuze op elk moment aanpassen". Alsof het genieten van een zekere mate van controle over je persoonlijke gegevens een genadige concessie van het bedrijf is in plaats van een wettelijke vereiste in de EU en veel landen over de hele wereld.
Wat betekent dit voor de privacy?
Aan de ene kant zijn cookies van derden er nog steeds en dat is balen. Aan de andere kant zijn we blij om te zien dat het voorstel om van een browser een volgmachine te maken de tegenreactie heeft gekregen die het verdiende. Dit verzet kan Google dwingen om met een goed voorstel te komen dat een betere balans vindt tussen privacy en advertentiebehoeften.
Maar is zo'n balans wel mogelijk?
Het publiek heeft keer op keer laten zien dat het niet van tracking houdt. Toen Apple in 2020 gebruikerscontrole over tracking door derden invoerde, koos maar liefst 96% van de gebruikers in de VS ervoor om geen tracking toe te staan - een aantal dat de ergste vrees van adverteerders overtrof. Zou het publiek beter reageren als bedrijven beloofden om gebruikers iets minder te volgen, zoals Google deed met Topics?
Dit is geen theoretische vraag. Elk jaar versterken privacywetten over de hele wereld in toenemende mate het principe van gebruikerscontrole over hun persoonlijke gegevens en vereisen vaak toestemming voor het volgen van gebruikers. Daarom is commerciële surveillance grotendeels gebaseerd op chantage en misleiding van gebruikers.
We zien deze twee strategieën voortdurend: Google koos misleiding voor Topics terwijl Meta koos voor [take-it-or-leave-it afpersing] voor Facebook en Instagram. Het zijn ook niet alleen de grote vissen: veel online nieuwsoutlets presenteren lezers met cookiemuren en talloze apps weigeren te werken tenzij je ze toestemming geeft om toegang te krijgen tot gegevens op je apparaat die ze eigenlijk niet nodig hebben, behalve voor geld verdienen.
Maar deze praktijken worden steeds kritischer bekeken door regelgevende instanties en worden meedogenloos aangevochten door voorvechters van privacy. Deze voorstanders hebben wat juridische munitie aan hun kant, aangezien de GDPR een hoge standaard stelt voor geldige toestemming - net als wetgeving die is geïnspireerd door de verordening. Gebruikers misleiden of chanteren is niet alleen lullig, maar wordt ook steeds riskanter in het huidige regelgevingslandschap.
Wat ligt er in het verschiet voor ad tech?
Dit is een tijd van onzekerheid. Ontwikkelingen in de regelgeving zullen de komende tijd een grote impact hebben op de adtech-omgeving, maar het is moeilijk om nu al te zeggen hoe. Regelgevers kunnen invasieve praktijken legitimeren die zich momenteel in een juridisch grijs gebied bevinden of de genadeslag toedienen aan commerciële surveillance - in ieder geval in de belangrijkste Europese markt.
De langlopende pay-or-ok saga van Meta is het laatste gevecht van commerciële surveillance in Europa. We hebben al een blog geschreven over pay-or-ok, dus hier is de afleiding: het Hof van Justitie moet duidelijk maken in hoeverre en onder welke voorwaarden bedrijven gebruikers kunnen vragen om te betalen met hun gegevens. Het antwoord op deze vragen zal enorme gevolgen hebben voor de advertentietechnologie als geheel en zou wel eens kunnen leiden tot het om zeep helpen van cookiemuren en andere praktijken met gedwongen toestemming.
Ook Europa zal een belangrijke rol spelen: de langverwachte ePrivacy-verordening is in de maak en moet uiteindelijk de ePrivacy-richtlijn vervangen die momenteel de cookies in de EU regelt. Het uiteindelijke ontwerp kan vasthouden aan de strikte aanpak van de richtlijn en strikte toestemming afdwingen, of enige ruimte bieden voor (vermeende) privacybehoudende benaderingen van reclame. De verordening kan ook een voorbeeld nemen aan de CCPA en strikt de hand houden aan Global Privacy Controls of andere do-not-track signalen van browsers.
Last but not least is er ADPPA, de laatste poging van beide partijen in de VS om een federale privacywet op te stellen. ADPPA zou een enorme impact hebben op de hele ad tech omgeving omdat het Google/Meta duopolie onder de Amerikaanse wetgeving valt. Het huidige ontwerp is op zijn zachtst gezegd onduidelijk als het gaat om reclame. Hopelijk worden nieuwe ontwerpen duidelijker geformuleerd en geven ze ons een glimp van wat ons te wachten staat als ADPPA wet wordt.
Slotopmerkingen
Met al deze ontwikkelingen op het gebied van regelgeving in het verschiet, zullen we misschien snel een privacy-vriendelijk internet zien. Maar waarom zouden we wachten?
Wij geloven in een onafhankelijk internet dat vriendelijk is voor zijn bezoekers. Daarom hebben we Simple Analytics gebouwd om je te voorzien van alle verkeersinzichten met behoud van gebruikersprivacy.
Geen cookiebanner. 100% GDPR-compliant en gebruiksvriendelijk. Probeer het gerust uit.