Online privacy & tracking: deze technieken en veranderingen moet je kennen
Het jaar 2020 was voor analytics-specialisten en online marketeers een jaar waarin veel nieuws te leren viel. Denk maar aan Google Analytics 4, Google Data Studio updates, Server Side Tagging en ITP. Het voelt alsof het hele datalandschap vol in beweging is en grote stappen maakt in de online marketing. In dit artikel bespreek ik de recente veranderingen in ad-tech en wat er op dit moment speelt rond online privacy, tracking en cookies.
Dit is namelijk een groot en belangrijk onderwerp, en zal de komende jaren ook nog een grote rol gaan spelen. Dit onderwerp ontwikkelt zich al een lange tijd dus ik zal eerst terugblikken in dit artikel zodat je hopelijk een goed beeld krijgt van wat er op dit moment speelt. Ook zal ik wat dieper ingaan in de technische processen, zodat je de achterliggende gedachten van deze discussie beter kunt begrijpen.
Het probleem van de adtech-industrie is dat deze voor een groot gedeelte leunt op cookie-technologie
- Online privacy door de jaren heen
- Cookies: hoe zit dat ook alweer?
- Anti-cookiesentiment
- Hoe werkt cookie syncing?
- Een terugblik op de ontwikkelingen
- Hoe ziet de toekomst er uit zonder 3rd party cookies?
- Voorbereiden op een toekomst zonder third party cookies
Online privacy door de jaren heen
Het hele idee van online privacy is niet iets wat recentelijk speelt. Al in 2012 werd de zogenaamde Cookiewet van kracht die vereist dat elke bezoeker in Nederland informatie krijgt over welke cookies er worden geplaatst op de website die bezocht wordt. Voor cookies die geen technisch doeleinde hebben maar gericht zijn op marketing, moet ook nog toestemming worden gevraagd. Tracking cookies kregen hierop later een uitzondering. Dat zorgde voor veel opluchting bij marketeers.
In mei 2018 werd de AVG (Algemene verordening gegevensbescherming) van kracht. Deze wet ging nog een stap verder dan zijn voorganger en beschermt ook de opslag van persoonsgegevens. Dit betekent ook dat surfgedrag en persoonlijke gegevens niet meer zonder toestemming mogen worden verstuurd naar andere partijen dan de website die je op dat moment bezoekt.
Het probleem van de hele adtech-industrie wordt meteen duidelijk, omdat deze voor een heel groot gedeelte leunt op cookie-technologie. Cookies van marketingplatformen zoals Google en Facebook worden namelijk geplaatst op websites, en zijn dus automatisch een derde partij voor bezoekers die een willekeurige site bezoeken. Via deze 3rd party cookies zijn deze platformen in staat om gebruikers te volgen en data te vergaren en koppelen aan hun eigen systemen.
Cookies: hoe zit dat ook alweer?
Hoe werkt dit nu precies? Technisch gezien bestaat er geen verschil tussen 1st party cookies en 3rd party cookies. Cookies kunnen alleen worden ingelezen en behandeld door het domein dat deze heeft aangemaakt. Het is alleen het perspectief van de gebruiker of de cookie 1st of 3rd party is.
First party cookies
First party cookies worden geplaatst door de website (met zichtbare URL) die men op dat moment bezoekt. Vaak zijn dit cookies die een technische inval hebben, bijvoorbeeld om te onthouden dat je bent ingelogd.
Maar ook de cookies van Google Analytics zijn 1st party. Dit komt omdat Google Analytics de data van iedere bezoeker scheidt per domein. Google Analytics kan dus geen bezoekers herkennen op meerdere domeinen, de data van gebruikers wordt in silo’s geplaatst. Dit is ook gebruikelijk voor de meeste andere analytische tools.
3rd party cookies
Deze cookies worden geplaatst door externe partijen en zijn vaak bedoeld om gebruikers en gedrag te monitoren op meerdere websites. Omdat deze cookies worden gebruikt door domeinen die niet zichtbaar zijn voor de bezoeker in de URL-balk, maakt het dat ze 3rd party zijn. Doordat websites scripts plaatsen van externe partijen op hun website, zijn deze scripts in staat cookies te zetten en lezen op deze websites.
Als dit script weer op een andere website wordt ingeladen, kan dezelfde cookie worden ingelezen. Het systeem herkent dat het om dezelfde gebruiker gaat die deze twee websites bezoekt. Deze scripts of pixels spelen dus een cruciale rol en zijn in feite de echte kracht van het gebruik van 3rd party-data.
Bestaan er ook 2nd party cookies? Jazeker. Denk dan bijvoorbeeld als een website cookies plaatst van haar zusterbedrijf. Maar in de praktijk wordt deze term nauwelijks gebruikt.
Anti-cookiesentiment
Waarom zijn er zulke grote bezwaren tegen het gebruik van 3rd party cookies? Stel je voor: je staat in een offline winkel van keten X. Je loopt rond en bekijkt de schappen. Ondertussen registreert een camera iedere beweging die je doet in de winkel en slaat die op. Een paar dagen later bezoek je een winkel van keten Y. Het systeem gebruikt data van winkel X en herkent jou als potentiële koper. Snel worden prijzen van producten veranderd zodra je in de buurt komt. En ook worden nog even snel de producten waarin jij interesse toonde op een prominente plek geplaatst. Hetzelfde verhaal speelt zich ook af als je een uur later winkel Z bezoekt. Het is allemaal fictief, maar hopelijk snap je het punt.
Op dit moment zijn adverteerders en publishers nog heel erg afhankelijk van cookie-technologie. En consumenten hebben vaak geen idee hoe vaak data gedeeld wordt tussen partijen. Er zijn scenario’s waarbij consumenten wellicht voordeel hebben bij een gezonde en winstgevende verhouding tussen adverteerder en uitgever. Denk hierbij aan websites die je dagelijks bezoekt en die een hoge kwaliteit aan content hebben. Bijvoorbeeld een nieuwswebsite over je hobby of een goede recensiewebsite over series en films die je vaak checkt. Je zou kunnen stellen dat de kwaliteit van deze sites mede mogelijk wordt gemaakt door een winstgevend advertentiemodel dat de uitgever hanteert.
Maar aan de andere kant hebben we ook altijd eens een hotelkamer willen boeken die plots duurder is geworden en waarbij er ‘écht nog maar 1 kamer beschikbaar is in jouw vakantieweek’. Wat is het voordeel van de consument hier?
Hoe werkt cookie syncing?
Om een voorbeeld te geven van hoe data wordt gedeeld tussen partijen, zal ik uitleggen hoe cookie syncing werkt (soms ook ‘piggybacking’ genoemd).
Browsers laten niet toe dat trackers elkaars cookies kunnen uitlezen, dit kan alleen per domein. Een tracker van een DSP (demand side platform, een systeem waarmee online advertising-campagnes worden beheerd en ingekocht) kan dus standaard niet de cookie uitlezen van een SSP (supply side platform, waarop online uitgevers beschikbare advertentieruimtes aanbieden en verkopen) waarmee men samenwerkt.
Maar door user ID’s te synchroniseren zijn trackers toch in staat om gebruikersdata uit te wisselen. Dit speelt een grote rol in het verrijken van data tussen platforms en het remarketen van bezoekers. First party data van DMP’s (data management platforms) kan met cookie syncing toch worden gedeeld met 3rd party DSP’s. DSP’s en SSP’s gebruiken deze techniek veel, vooral voor een betere retargeting.
DSP’s, DMP’s en SSP’s synchroniseren gemeenschappelijke user ID’s met elkaar zodra er een cookie wordt ingeladen. Dit gebeurt realtime. Periodiek wordt er dan vervolgens user data uitgewisseld tussen deze systemen. Dit gebeurt buiten de browser om en server-to-server. Door de gemeenschappelijk user ID’s zijn de systemen in staat om persoonlijke en interesse-data met elkaar te delen. Omdat een DSP de ad space en user ID kan herkennen die de SSP aanbiedt, kan er een succesvolle remarketing-uiting worden aangeboden (dit gebeurt via een Ad Exchange). Allemaal dus vanwege de gemeenschappelijk user ID gegenereerd door cookie syncing. Daardoor is remarketing tussen externe adtech-platforms toch mogelijk.
Door de werking van cookie syncing is het voor de bezoeker praktisch onmogelijk om na te gaan welke partijen er allemaal van zijn data gebruik gaan maken.
Een voorbeeld van cookie syncing
Om te laten zien op welke schaal cookie syncing wordt ingezet, laat ik je hieronder een voorbeeld zien van nieuwswebsite NU.nl. Trackers die gebruikmaken van cookie syncing zijn typisch te zien aan de HTTP status code 302. Op het moment dat ik de voorpagina open, zijn dit er zo’n 45.
Om er eentje uit te lichten zie je hieronder dat er een tracker wordt ingeladen van contextweb.com (1, zie afbeelding hieronder). Vervolgens zorgt een 302-redirect ervoor dat partner pubmatic.com ook wordt ingeladen (2). Vervolgens plaatst deze partner een cookie met als inhoud een ID (3). We kunnen ervan uitgaan dat de ID’s die hier verstuurd worden, worden gebruikt voor cookie syncing. Beide cookies van deze 3rd parties worden nu gevuld met een gemeenschappelijk user ID.
Een terugblik op de ontwikkelingen
De afgelopen jaren zijn zogenaamde walled gardens (Google, Apple, Amazon en Facebook) flink bezig geweest om technologie te ontwikkelen die voor een verbetering zal zorgen van de privacy van de eindgebruiker. Dit zal uiteindelijk leiden tot de dood van 3rd party cookies en een verandering van adtech-ecosystemen. Hieronder volgen de belangrijkste ontwikkelingen.
Apple ITP
Apple heeft het voortouw genomen als het gaat om het blokkeren van cookies en presenteert zich als de voorvechter van het privacyvriendelijke internet. Intelligent Tracking Prevention (ITP) is de zogenaamde feature van Safari die zorgt voor een optimale privacy-omgeving voor de gebruiker. In feite komt het erop neer dat Safari alle 3rd party cookies blokkeert, maar ook andere opslagmethoden die ervoor zouden kunnen zorgen dat user data wordt verstuurd tussen verschillende websites en/of platformen.
De eerste versie van ITP werd opgeleverd half 2017 en heeft sindsdien meerdere updates gehad. Elke nieuwe versie heeft strengere regels.
ITP hanteert machine learning om te beoordelen welke trackers zich schuldig maken het tracken van gebruikers. Dit komt er in feite op neer dat standaard 3rd party cookies worden geblokkeerd. Maar ook 1st party cookies die client-side worden geplaatst worden behandeld. De laatstgenoemde krijgen nu een levensduur van 7 dagen. Als 1st party cookies worden voorzien van ‘linkdecoratie’, dan is de levensduur zelfs maar 24 uur. Linkdecoratie is een techniek die onder andere Facebook gebruikt om 1st party cookies zich te laten gedragen als 3rd party door userID’s in URL’s te plaatsen, en deze vervolgens op te slaan in de cookie. Dit is een vergelijkbare techniek die cookie syncing hanteert.
iOS 14
In 2020 kondigde Apple haar iOS 14-update aan. Deze update zal naar verwachting een grote impact hebben op het tracken van app traffic. Gebruikers moeten bij de update van iOS 14 per app toestemming geven aan de app-ontwikkelaar om haar/zijn data te gebruiken, of te laten gebruiken door derde partijen. Dit kan grote gevolgen hebben voor bijvoorbeeld de app van Facebook. Als gebruikers ervoor kiezen Facebook geen toestemming te geven, zal de Facebook-tracking niet meer werken. Dit is weer een klap in het gezicht van Facebook, want deze partij werd ook al hard getroffen door de ITP-updates.
Begin 2020 kondigde Google aan over 2 jaar volledig af te stappen van het gebruik van 3rd party tracking cookies. Dit kan officieel worden gezien als het antwoord op Apple’s ITP. Omdat Google’s inkomstenmodel voor een groot deel afhankelijk is van online advertenties en dus ook 3rd party tracking, is deze verandering voor Google natuurlijk een stuk moeilijker dan voor Apple. Laatstgenoemde heeft namelijk geen groot advertentienetwerk. Dat Google ook overgaat op cookieless tracking is dus meer noodzaak. Maar ik denk wel dat Google een goede oplossing gaat vinden die wellicht ook beter werkt dan de nu toch wel botte methode die Apple hanteert.
Qua browsertechniek heeft Google ook niet stil gezeten. In 2020 kwamen er twee belangrijke ontwikkelingen op de markt.
Server Side Tracking
Google Tag Manager lanceerde in 2020 haar Server Side Tracking in bèta. Hierdoor zal de komende tijd de populariteit van dit fenomeen gaan groeien. Server Side Tracking heeft met name impact op de veiligheid en snelheid van de datastromen tussen website en gebruiker. Er zijn technieken die ervoor zorgen dat de regels van ITP kunnen worden omzeild. Maar dit is niet de primaire functie.
De belangrijkste functies zijn het laten inladen van alle scripts en pixels op de eigen webserver in plaats van alles extern in te laden. Dit heeft als voordeel dat de websitebeheerder een grotere controle heeft van wat er op zijn website wordt ingeladen. Externe scripts, plugins etc. hebben een kleinere invloed. Dit komt ten goede van de snelheid van de website en de privacy van de gebruiker.
SameSite attribute
Om cross-site request forgery (CSRF) te bestrijden, introduceerde Chrome haar SameSite attribute voor cookies. CSRF is een techniek om misbruik te maken van het inladen van cookies. Cookies worden standaard verzonden bij elk http-verzoek, ook al komt dit verzoek van een externe URL. Cookies kunnen niet worden gewijzigd of bewerkt door een externe partij, maar de browser hecht bij elk verzoek (zelfs het laden van een afbeelding) wel de desbetreffende cookies aan het verzoek. Hierdoor kunnen hackers nepacties uitvoeren bij gebruikers die bijvoorbeeld legitiem zijn ingelogd in een website, maar door de hacker onbewust een actie laten uitvoeren. Dit is mogelijk omdat de hacker via een fake link of afbeelding de cookie kunnen inladen van de gebruiker.
SameSite attribute kan worden toegepast op cookies die worden gebruikt door websites en garanderen dat het request dat de cookie aanroept alleen intern mag worden uitgevoerd. Dat wil zeggen door het domein in de adresbalk, en niet via externe URL’s, images of dergelijke die de gebruiker op dat moment gebruikt.
Deze functie heeft dus niet zozeer impact op tracking van de gebruiker, maar maakt het internet wel weer een stukje veiliger.
Firefox
Enhanced Tracking Protection (ETP) van Firefox gebruikt een iets andere aanpak dan Apple’s Safari. Bij een standaard installatie van Firefox worden socialmedia-trackers en cross-site-trackingcookies standaard geblokkeerd. Dit wil in het algemeen zeggen 3rd party cookies van onder andere Linkedin, Facebook en Instagram met als doel gebruikers te volgen over meerdere websites. Zogenaamde ‘volginhoud’ wordt wel toegestaan. Hieronder worden cookies verstaan met als doel gebruikerservaring verbeteren en analytische functies uit te voeren (bijvoorbeeld Google Analytics).
De gebruiker kan altijd zelf nog deze settings aanpassen. ETP is anders dan ITP in de zin dan ETP niet alle trackers standaard blokkeert maar dit doet op basis van zwarte lijsten. Iets minder streng dus en meer flexibel.
Andere browsers
Hoe zit het met andere browsers? Chrome beschikt nog niet over een tracking- prevention-feature. Brave staat bekend om de meest privacyvriendelijke browser. Standaard worden alle externe scripts, first party cookies en third party cookies geblokkeerd, dus ook Google Analytics. Microsoft Edge beschikt over een soortgelijke functie als die van Firefox. De gebruiker kan kiezen tussen verschillende privacyniveaus. Standaard worden first party cookies niet geblokkeerd.
GDPR
De General Data Protection Regulation (ook bekend als AVG) die sinds 2018 geldt heeft ook grote impact gehad op hoe publishers en adverteerders met hun data en tracking omgaan. Nog lang niet iedereen houdt zich 100% aan de regels, maar we zien wel een trend in dat steeds meer partijen zich aan de wet willen houden.
Strikt genomen mag er geen 3rd party tracking plaatsvinden zonder toestemming van de bezoeker. Analytische cookies zoals die van Google Analytics mogen wel standaard worden ingeladen. Op het eerste gezicht lijkt deze wet dus een domper te zijn als je veel gebruikmaakt van remarketing en andere cross-domain marketing. Maar als je een slimme cookiebar inzet, kan dit verlies van tracking nog best weleens meevallen. Het ligt er dus maar net aan hoe je je cookiebar ontwerpt en positioneert. Dit alles natuurlijk binnen de toegestane wetgeving en met een juiste gebruiksvriendelijkheid. Wij hebben cases gezien waarbij 95% van de bezoekers akkoord gaat met alle vormen van tracking, en dit alles binnen het bereik van de wet.
Hoe ziet de toekomst er uit zonder 3rd party cookies?
Contextual targeting
Contextual targeting maakt een comeback in het adtech-landschap. Deze vorm van targeting maakt geen gebruik van persoonlijke data, maar van de context en content van de website/app waar de bezoeker zich op dat moment bevindt. Leest de bezoeker een blogartikel over zijn favoriete basketbal team? Dan kan contextual targeting ervoor zorgen dat er een advertentie wordt vertoond van basketbalschoenen. De targeting van de ads zal waarschijnlijk iets minder goed zijn, maar qua privacy is het een betere methode.
Contextual targeting maakt een comeback.
Google Privacy Sandbox
Google heeft aangekondigd dat het afscheid gaat nemen van 3rd party cookies in 2022. Google Privacy Sandbox is het project dat deze verandering mogelijk moet gaan maken. Het is nog in volle ontwikkeling en er zijn nog veel dingen niet duidelijk over dit systeem. Wat wel duidelijk is, is dat het idee van Sandbox niet meer is om gebruikers individueel te volgen, maar om benchmarks te gebruiken en om gebruikers te plaatsen in bepaalde groepen.
Google heeft ook al gezegd dat het gebruik van work-arounds zoals fingerprinting en linkdecoraties niet meer zal ondersteunen. Dit is dus een aanwijzing dat Google serieus bezig is met de ontwikkeling van Privacy Sandbox.
Het is wel aannemelijk dat er nog een vorm mogelijk is van uitwisseling tussen derde partijen. Maar dit zal op anonieme basis zijn zodat gebruikers niet meer individueel te herkennen zijn.
Turtledove: interesses van gebruikers opslaan in Chrome
Turtledove is een concreet onderdeel van de Privacy Sandbox en richt zich specifiek op retargeting zonder cookies. Je zou het niet op eerste gezicht denken maar Turtledove is een afkorting voor Two Uncorrelated Requests Then Locally-Executed Decision On Victory. Turtledove is een techniek waarbij de interesses van Chrome-gebruikers worden opgeslagen in de browser zelf, en niet meer in cookies. Deze interest groups worden door Chrome zelf beheerd en bevatten uitsluitend anonieme data van de gebruiker. Adverteerders kunnen deze interest groups vervolgens targeten en zo dus op basis van deze anieme data campagnes aanbieden. Het hele ad-veilingsysteem gebeurt nu feitelijk in Chrome zelf.
Het grote voordeel voor de gebruiker is dat hun interessedata niet meer in 3rd party cookies wordt opgeslagen, maar direct in de browser zelf. De data die ad exchanges nu te verwerken krijgen zijn nu puur gebaseerd op interessegedrag van de Chrome-gebruiker, en bevat geen persoonlijke data meer. Het nadeel is dat er een vertraging zit in het retargetingproces. Adverteerders zullen iets langer moeten wachten totdat ze hun campagne kunnen tonen.
Voorbereiden op een toekomst zonder third party cookies
In mijn volgende artikel zal ik beschrijven hoe we ons het beste kunnen wapenen in een toekomst zonder 3rd party cookies. Welke stappen kunnen we nu al nemen om later niet in de problemen te komen? Ook zal ik met meer praktische tips en adviezen komen die alle vlakken van online marketing zullen gaan raken. Denk dus ook aan CRO-processen, personalisatie, en het gebruik van een CDP of DMP.
Heb je vragen of opmerkingen? Laat het weten via de reacties hieronder.