Cookies van derden eindigen, hoe ziet de toekomst van online tracking eruit?

Sinds de komst van het internet in de jaren ’90, hebben cookies een steeds belangrijkere rol gespeeld bij het personaliseren van advertenties. Maar daar lijkt binnenkort een definitief einde aan te komen. Sommige browsers blokkeren derde partij cookies nu al en Google werkt aan een alternatieve technologie voor het tonen van gepersonaliseerde advertenties zonder gebruik te maken van derde partij cookies. Wat betekent dit voor bedrijven in AdTech?

Van contextuele marketing naar online tracking

Het behoeft geen betoog dat de bedoeling van een advertentie is om de lezer of internetgebruiker te overtuigen om iets kopen. Alleen de manier waarop dat vandaag gebeurt, verschilt met die van de jaren ’90. We onderscheiden de aanbieders van advertentieruimte (bv. kranten of websites), de adverteerders (bv. merken) en de consument.

In het algemeen geldt het volgende: hoe relevanter de advertentie voor de consument, hoe groter de kans dat de consument het geadverteerde product zal kopen, hoe meer de advertentie waard is voor de adverteerder en dus hoe hoger de potentiële inkomsten van de aanbieders van advertentieruimte. De vraag is echter: hoe kan een advertentie zo relevant mogelijk worden gemaakt?

Een klassieke manier bestaat uit contextuele marketing. Dat betekent dat de advertentie die wordt getoond zoveel als mogelijk wordt gematcht met de inhoud (bv. krantenartikel of websitepagina) waar die advertentie bij wordt getoond. Het nadeel van contextuele marketing is dat er een aantal assumpties worden gemaakt (met inbegrip van clichés) en het onmogelijk is om de conversie te meten. Dit veranderde echter met de komst van het internet in de jaren ’90 en de cookie.

Door het gebruik van cookies ontstonden er nieuwe mogelijkheden om te achterhalen wat de interesses van de consument zijn en om te meten of de advertentie tot een verkoop heeft geleid (conversie). Hoewel de cookie initieel was bedoeld om gegevens op te slaan, bleek al snel dat de cookie in staat was om consumenten over het internet te volgen. Dat opent verschillende deuren. Zo kunnen niet alleen interesses van de consument worden achterhaald, maar ook bijvoorbeeld locatie en inkomen. Dat zijn gegevens die zeer interessant zijn bij het relevanter maken van advertenties. Daar waar er bij contextuele marketing een beroep werd gedaan op assumpties, kunnen cookies dus perfect de consument profileren.

Er ontstonden AdTech bedrijven die in real-time (en bliksemsnel) advertentieruimte op het scherm van een bepaalde consument met een bepaald profiel verkochten aan de hoogste bieder.

Het einde van derde partij cookies?

Meer en meer browsers blokkeren derde partij cookies by default

Online tracking van consumenten gebeurt met verschillende technologieën, maar één er van is via derde partij cookies (naast device fingerprinting, web beacons, etc.). Dat zijn cookies die door derde partijen, vaak AdTech bedrijven, op websites van aanbieders van advertentieruimte worden geplaatst.

Cookies hebben de laatste jaren echter een negatieve bijklank gekregen. De publiek opinie heeft zich door verschillende privacyschandalen gekeerd tegen cookies. Ook al hadden die schandalen niet altijd iets te maken met cookies (bv. Cambridge Analytica). Velen vinden de cookiebanners, die steeds uitgebreider en complexer worden, ook enorm hinderlijk.

Verschillende browsers hebben daarom reeds besloten om derde partij cookies te blokkeren. Safari, de browser van Apple, deed dit al in 2017 en ook in Firefox kreeg de internetgebruiker de mogelijkheid om derde partij cookies te blokkeren. Ondertussen worden derde partij cookies standaard geblokkeerd (en dient de gebruiker actie te ondernemen als hij toch derde partij cookies zou willen toelaten). Chrome, de browser van Google, zal binnenkort ook derde partij cookies blokkeren.

Een groot deel van de marktspelers heeft zich dus tegen derde partij cookies gekeerd. Het einde van de derde partij cookies is dan ook nabij.

Is online tracking GDPR-compliant?

Niet alleen heeft de publieke opinie zich gekeerd tegen derde partij cookies, ook dient regelgeving zoals de EU general data protection regulation (GDPR of AVG – Algemene Verordening Gegevensbescherming) en de e-privacy richtlijn, te worden nageleefd. Verschillende toezichthoudende autoriteiten hebben reeds boetes opgelegd aan bedrijven die deze regelgeving hebben geschonden. Het is immers een uitdaging om de verwerking van persoonsgegevens in het kader van online tracking volledig te verzoenen met belangrijke principes uit de GDPR, zoals transparantie en de verantwoordingsplicht.

Daarnaast moet er op basis van de GDPR ook een rechtsgrondslag zijn voor het verwerking van persoonsgegevens. Door de strenge vereisten die de GDPR aan de grondslag ‘toestemming’ stelt, is het maar de vraag of toestemming een geschikte grondslag kan vormen. In dit verband kan ook verwezen worden naar het ontwerpbesluit van de Belgische Gegevensbeschermingsautoriteit in de zaak tegen Interactive Advertising Bureau Europe (zie verder).

Een andere mogelijkheid naast de grondslag ‘toestemming’ is de grondslag ‘legitiem belang’, maar deze grondslag vereist dat er een belangenafweging wordt uitgevoerd. Het is niet ondenkbaar dat uit deze belangenafweging blijkt dat de belangen van de consument zwaarder doorwegen dan die van het AdTech bedrijf. In dat geval kan ook het legitiem belang niet dienden als rechtsgrondslag. Uit onderzoek bleek ook dat een meerderheid van de Amerikanen vindt dat er aan online tracking meer nadelen zijn verbonden dan voordelen.

De zaak tegen IAB Europe: toestemming ongeldig?

Dat de grondslag ‘toestemming’ niet geschikt is, blijkt uit de zaak tegen IAB Europe.

Verschillende belangenorganisaties en individuen diende een klacht in tegen IAB Europe’s Transparency & Consent Framework (TCF). Het TCF wordt gebruikt op vele website en apps en werd door IAB Europe ontwikkeld om het Open Real-Time Bidding-protocol (OpenRTB-protocol) GDPR-compliant te maken. In het kader van dit protocol, worden (gevoelige) persoonsgegevens van internetgebruikers gedeeld met honderden adverteerders en wordt de advertentieruimte voor die specifieke internetgebruiker in een fractie van een seconde geveild.

Gezien de grensoverschrijdende aard van deze zaak, treedt de Gegevensbeschermingsautoriteit op als leidende autoriteit en uit de publieke verklaringen van de betrokken partijen blijkt dat de Gegevensbeschermingsautoriteit in een ontwerpbesluit de praktijken van IAB Europe in strijd zou achten met de GDPR. Het ontwerpbesluit is voorlopig echter niet publiek. De andere Europese toezichthoudende autoriteiten kunnen nu reageren op het ontwerpbesluit en als er opmerkingen komen, zijn er twee mogelijkheden. Ofwel houdt de Gegevensbeschermingsautoriteit rekening met de opmerkingen, ofwel wordt de zaak geëscaleerd naar de European Data Protection Board (EDPB).

Wordt vervolgd.

Wat zegt de European Data Protection Board (EDPB) over online tracking?

In haar recente verklaring van 18 november 2021 over de Digital Services Package and Data Strategy, riep de EDPB op om pervasieve vormen van online tracking te verbieden: “The EDPB also considers that online targeted advertising should be regulated more strictly in the DSA in favour of less intrusive forms of advertising that do not require any tracking of user interaction with content and urges the co-legislature to consider a phase-out leading to a prohibition of targeted advertising on the basis of pervasive tracking while the profiling of children should overall be prohibited.”

Wat komt er dan in de plaats van derde partij cookies?

Aangezien het tijdperk van de derde partij cookies bijna ten einde is, stelt zich de vraag wat AdTech bedrijven in de plaats zullen doen om ervoor te zorgen dat advertenties relevant zullen blijven. Maar alvorens deze vraag te beantwoorden, stelt zich ook de vraag welke waarde derde partij cookies nu eigenlijk vertegenwoordigen. Maakt het gebruik van derde partij cookies een advertentie daadwerkelijk ook effectiever? Uit onderzoek is gebleken dat dit niet zonder meer kan worden vastgesteld. Er zou vooral een verhoogde effectiviteit zijn bij internetgebruikers die al een hoge aankoopkans hadden. Hoewel het onderzoek stelt dat er verder onderzoek nodig is, blijkt dat cookies nuttig kunnen zijn, maar hun waarde ook niet mag worden overschat. Bovendien is het delen van gegevens uit derde partij cookies niet bijzonder accuraat. Dan rest nog de vraag: wat zijn de alternatieven als de derde partij cookie verdwijnt?

1. First party data

Het eerste alternatief is om in te zetten op eigen gegevens (first party data). Dat betekent dat aanbieders van advertentieruimte (bv. organisaties zoals uitgevers) zelf gegevens over hun gebruikers verzamelen en deze gegevens vervolgens delen met adverteerders om een relevante advertentie te kunnen tonen. Dit vereist wel dat beide partijen afspraken maken en een systeem van (technische) samenwerking opzetten. Kleinere organisaties zullen hierdoor waarschijnlijk uit de boot vallen.

Een evolutie naar first party data is wel gunstig onder de GDPR, maar waakzaamheid blijft nodig (bv. bij het verrijken van de eigen dataset). Transparantie en het verkrijgen van toestemming is bij first party data minder complex. Bovendien zet het organisaties ook aan om echt na te denken over de gegevens die ze eigenlijk nodig hebben. Dus minder gegevens, maar wel relevantere gegevens en accuratere gegevens.

2. Google’s FLoC-systeem

Het tweede alternatief is Google’s FLoC-systeem. Dat staat voor Federated Learning of Cohorts en is een model waarbij internetgebruikers door Google worden opgedeeld in cohorten op basis van hun interesses. Dat wordt afgeleid uit de websites die ze recent bezochten. Deze informatie wordt gedeeld met adverteerders, zonder dat zij deze versleutelde informatie kunnen terugleiden tot een individu. Aangezien de berekening lokaal in de browser gebeurt, is dit volgens Google een privacyvriendelijk alternatief voor online tracking.

Toch werd het systeem al bekritiseerd. Er zou veel teveel macht bij Google worden geconcentreerd, terwijl AdTech bedrijven aan macht verliezen. Bovendien zouden adverteerders door middel van device fingerprinting (test hier hoe device fingerprinting werkt) de identiteit van de internetgebruiker toch terug kunnen achterhalen. FLoC wordt momenteel nog niet getest in de EU (gebruikers van Google Chrome kunnen online controleren ze onderdeel zijn van de test).

3. Een centrale unieke ID

Het derde alternatief is een systeem waarbij een unieke, versleutelde ID door een centrale organisatie wordt toegewezen aan een internetgebruiker (bv. op basis van het e-mailadres). Dat maakt het mogelijk voor adverteerders om de internetgebruiker te identificeren wanneer hij op verschillende websites met zijn e-mailadres zou inloggen. Het derde alternatief lijkt het meest op hoe derde partij cookies werken, en kent dus ook dezelfde zwaktes. Wel zullen de gegevens in elk geval accurater zijn dan in het geval van derde partij cookies.

Er worden momenteel testen gedaan met een dergelijk systeem. Een opt-out per adverteerder zou daarbij mogelijk zijn.

Wat te onthouden?

• Derde partij cookies worden al door sommige browsers geblokkeerd en zullen op termijn verdwijnen.
• Online tracking zoals het vandaag gebeurt, zal waarschijnlijk veranderen door de zaak tegen IAB Europe.
• De industrie zoekt naar alternatieven. Er zijn verschillende alternatieven mogelijk, maar elk alternatief heeft zijn voor- en nadelen.
• Een focus op first party data maakt GDPR-compliance eenvoudiger, maar zal kleinere partijen uit de boot doen vallen.
• Google FLoC berekent het advertentieprofiel lokaal in de browser, maar concentreert veel macht bij Google.
• Een centrale unieke ID verschilt het minst van derde partij cookies en kent dus ook dezelfde nadelen.

Heeft u een specifieke vraag of wenst u ondersteuning? Wij helpen u graag. Neemt u in dat geval contact op met een Timelex-advocaat.