Cookies: feit en fictie

Cookies: feit en fictie

 

De ene cookie is de andere niet. Daarom is het niet logisch om alle cookies over één kam te scheren, zoals in de cookiewet gebeurt. Voor (online) marketeers is het belangrijk wél te begrijpen hoe cookies werken, aangezien zij afwegingen moeten maken en verantwoorden.
Wat is feit en wat is fictie? De volgende stellingen zijn de afgelopen tijd veel gehoord. Maar zijn ze ook waar?

Social media buttons maken het mogelijk je over het hele internet te volgen

Feit. Sociale platformen als GooglePlus- of Facebookbuttons registreren welke sites je bezoekt (mits op die websites socialmediabuttons staan). Zelfs als je niet bent ingelogd binnen je social media account of geen account hebt, wordt je surfgedrag anoniem op bezoekersniveau (via een random ID) opgeslagen. Dit gebeurt ook zonder dat je op de buttons klikt, alleen het bezoeken van de site is al voldoende. Als je wel bent ingelogd en je klikt op de buttons, kan een opgebouwd surfprofiel worden gekoppeld aan je socialmediaprofiel.
Statistieken van verschillende websites zijn aan elkaar te koppelen

Fictie. Webstatistieken gebruiken vaak zowel first- als thirdpartycookies, maar de anonieme (wederom via een random ID) gedragsgegevens worden per implementatie bij gehouden. De dataset van bijvoorbeeld Google Analytics is uitsluitend gekoppeld aan je eigen domein. Het is daarom voor Google niet mogelijk om een bezoeker op website B te herkennen als dezelfde bezoeker op website A. Het kunnen anonimiseren zoals dat in Analytics mogelijk is, wil niet zeggen dat er anders (zonder anonimiseren) allerlei persoonlijke informatie wordt opgeslagen. Google Analytics registreert de eerste set nummers van een IP-adres om te weten uit welke regio een bezoeker komt. Vergelijk het met het netnummer van een telefoonnummer; het is bekend om welke regio het gaat, maar niet wie de exacte ‘persoon’ is. Het anonimiseren sluit alleen dat onderdeel uit. Andere data is sowieso anoniem en geaggregeerd.

Firstpartycookies maken minder inbreuk op privacy dan thirdpartycookies.
Feit (in de meeste gevallen). Firstpartycookies worden geplaatst door het domein dat de bezoeker bezoekt. De geplaatste cookies kunnen uitsluitend door datzelfde domein worden uitgelezen en niet door anderen. Eventueel verzamelde informatie is dan ook niet toegankelijk voor derden. Dit is met thirdpartycookies vaak wel het geval, hoewel niet altijd. Het nadeel van thirdpartycookies is dat je nooit zeker weet wat er met de informatie gebeurt, omdat dat onzichtbaar voor je is. Dat thirdpartycookies niet per definitie schadelijk zijn, kun je concluderen uit het feit dat Omniture gebruikmaakt van zowel first- als thirdpartycookies. Dit betekent niet dat Omniture deze informatie dus ook deelt met derden. De vraag welke informatie verzameld wordt, wie daartoe toegang heeft en wat er met de informatie gebeurt, is vanuit privacy-oogpunt veel belangrijker dan het onderscheid ertussen. Aangezien firstpartycookies per definitie niet kunnen worden uitgelezen door derden heeft de Europese Commissie firstpartycookies toch aangemerkt als minder privacygevoelig.
Cookies kunnen persoonlijke informatie bevatten

Fictie. Dit hangt uiteraard wel af van de definitie van ‘persoonlijk’. Zo is een IP-adres in sommige landen bestempeld als ‘persoonlijk’, in andere landen niet. Gegevens die een bezoeker invult in een aanmeldformulier, of om bijvoorbeeld een berekening of vergelijking te maken, kunnen worden opgeslagen in een cookie. Wanneer dit volgens de wet persoonlijke gegevens betreft, vallen deze onder de Wet Bescherming Persoonsgegevens (WBP). Door de bezoeker ingevulde informatie wordt echter zelden tot nooit in thirdpartycookies opgeslagen. Bovendien kan informatie opgeslagen in een cookie in principe alleen worden uitgelezen door de eigenaar van het cookie. Facebook heeft bijvoorbeeld geen toegang tot informatie die is opgeslagen in een website optimalisatie cookie op jouw website, net zo min als een retargetingpartij toegang heeft tot de informatie opgeslagen in een cookie van een affiliatenetwerk. Data wordt dus niet via cookies gedeeld, maar helemaal los van cookies. Het delen van persoonlijke gegevens heeft daarom niets met cookies te maken aangezien het onder de WBP valt.

Meetpixels geven geen gevoelige informatie door

Fictie. De discussie de laatste tijd gaat vooral over het plaatsen van cookies. Hoewel een meetpixel geen cookie is, maakt deze het wel mogelijk een cookie te wijzigen of uit te lezen. Meetpixels kunnen veel informatie verzamelen en deze ook delen met allerlei derden. Hier is weinig zicht op, maar het gebeurt zeker. De enige manier om dit af te vangen, is duidelijke afspraken maken met leveranciers. Daarnaast maakt het uit wat voor meetscript er gebruikt wordt. Een image tag bevat minder functionaliteit en kan minder informatie verzamelen dan bijvoorbeeld een javascript of een iframe tag. Deze laatste twee kunnen allerlei transactie-informatie verzamelen en doorgeven of zelfs additionele scripts inladen.

Zoals je ziet valt er heel wat te nuanceren wanneer er in de media wordt gesuggereerd dat ‘cookies kleine tekstbestandjes zijn die je over het hele internet kunnen volgen’. Wat de cookiewet beoogt aan banden te leggen is vooral het ongebreideld verzamelen en delen van persoonlijke voorkeuren en interesses. In plaats van te kijken naar de methodiek, is het interessanter om ook te kijken waarvoor deze informatie met name wordt verzameld. Dat onderscheid neem je idealiter ook mee in de methode waarop je de bezoeker toestemming vraagt, zoals gedaan is op ICTrecht.nl. Zie voor een uitgebreide uiteenzetting van dit onderscheid ook het volgende artikel dat volgende week verschijnt, over de grootverbruikers en verzamelaars van informatie via cookies.

Image: ssoosay – Surian Soosay

Bookmark the permalink. Post a comment or leave a trackback: Trackback URL.

Post a Comment

Your email is never published nor shared. Required fields are marked *

*
*

You may use these HTML tags and attributes <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>