De cookie is op, is het einde van de cookiebanner in zicht?

Om maar meteen met de deur in huis te vallen, het antwoord op de titel is: nee. In steeds meer browsers is het niet meer mogelijk om te werken met zogeheten third-party cookies. Safari en Firefox zijn al zo ver en Chrome stopt er naar verwachting in 2024 mee. Deze third-party cookies staan ook wel bekend als marketing- of trackingcookies. Dan blijven er alleen nog strikt functionele cookies over. Daar is geen toestemming voor vereist, dus lijkt het alsof dit ook het einde is van de bijbehorende cookiebanner. Toch is dat niet zo. In deze blog bespreken we twee redenen waarom dat niet zo is.

First-party en third-party, het verschil

Een cookie is een klein tekstbestandje dat op het apparaat van de gebruiker geplaatst wordt. Dit tekstbestandje bevat een klein beetje informatie over de gebruiker waardoor een website de gebruiker kan herkennen. Belangrijke redenen om dit te doen zijn bijvoorbeeld het onthouden van de inhoud van een winkelmandje of onthouden dat iemand al is ingelogd bij het wisselen van een pagina. Deze identificatie-functie is natuurlijk ook ideaal voor organisaties die reclame willen verkopen!

Het verschil tussen first-party en third-party is iets ingewikkelder. Een versimpelde uitleg komt op het volgende neer. Zowel first-party als third-party cookies worden geplaatst bij het bezoeken van een website (na het, waar nodig, verkrijgen van toestemming uiteraard). First-party cookies zijn verbonden aan de website zelf, terwijl third-party cookies verbonden zijn aan een domein van een derde partij. Denk bijvoorbeeld aan cookies van een social-mediabedrijf. De website zelf kan dus enkel first-party cookies uitlezen en alleen het social-mediabedrijf kan de aan haar verbonden third-party cookies uitlezen. Als het social-mediabedrijf deze cookies vervolgens door duizend websites laat installeren op de computer van een gebruiker, dan kan het social-mediabedrijf die gebruiker over al die duizend websites volgen.

Vaak wordt, ten onrechte, de aanname gemaakt dat er voor first-party cookies nooit toestemming gevraagd hoeft te worden, want third-party cookies zijn de tracking-cookies en first-party cookies niet. Dit is een verkeerde aanname, want de wet kent geen onderscheid tussen first- en third-party cookies. Sterker nog, de Telecommunicatiewet (Tw), die ziet op het gebruik van cookies, bevat het begrip ‘cookies’ niet eens. De Tw vereist namelijk toestemming in de zin van de Algemene verordening gegevensbescherming (AVG) bij het “via een elektronisch communicatienetwerk opslaan van of toegang verkrijgen tot informatie in de randapparatuur van een gebruiker”. De Tw geeft enkele uitzonderingen, waardoor bijvoorbeeld geen toestemming nodig is voor technieken die de website laten functioneren (zoals functionele cookies). Het gaat dus om het doel en het gebruik, niet om degene die de technieken gebruikt.

Aangezien er geen onderscheid wordt gemaakt tussen first- en third-party cookies, betekent dit dan ook dat bijvoorbeeld first-party marketingcookies (die dus niet onder de uitzondering vallen), enkel geplaatst mogen worden op basis van toestemming. Wanneer een organisatie bijvoorbeeld een first-party cookie plaatst en data via haar eigen servers naar een derde partij stuurt voor marketingdoeleinden (server-side tracking), dan dient er toestemming verkregen te worden.

Andere vormen van online tracking

Zoals hiervoor al beschreven, ziet de wet niet specifiek op cookies. Neem bijvoorbeeld device fingerprinting of web beacons. Deze vormen van online tracking verkrijgen ook toegang tot informatie in de randapparatuur van een gebruiker. Zo kan onder andere uitgelezen worden welke lettertypes geïnstalleerd zijn op een computer, welke beeldscherminstellingen gebruikt worden en welke videokaart in het apparaat geïnstalleerd is. Dit valt dus onder de definitie van de Tw en moet dus aan dezelfde regels voldoen. Zo zal er dus ook voor deze technieken om toestemming gevraagd moeten worden. Ook hier gaat het dus om het doel en het gebruik, niet om een specifieke techniek.

Wat dat betreft is de term ‘cookiebanner’ wat verwarrend. Vaak wordt de term ‘cookies’ als een verzamelterm gebruikt voor alle vormen van online tracking. Dat is makkelijker en duidelijker voor gebruikers, aangezien het uiteindelijk hetzelfde doel heeft. Daarnaast is de term ‘cookiebanner’ een stuk makkelijker in het dagelijks spraakgebruik dan toestemming-voor-het-via-een-elektronisch-communicatienetwerk-opslaan-van-of-toegang-verkrijgen-tot-informatie-in-uw-randapparatuur-banner! Nu het einde van de third-party cookie in zicht komt en het gebruik van andere manieren van online tracking steeds interessanter wordt, levert het gebruik van ‘cookies’ als verzamelterm wel de nodige verwarring op. Het einde van de cookiebanner is namelijk nog niet in zicht. 


Meer lezen over dit onderwerp? Lees verder:

Terug naar overzicht