In 2020 kondigde Google aan het gebruik van third-party cookies in haar Chrome-browser te zullen gaan staken. In de plaats hiervan zullen op termijn nieuwe browserfuncties worden geïntegreerd, gezamenlijk aangeduid als de “Privacy Sandbox”. Het doel hiervan is de privacy van internetgebruikers beter te waarborgen. Het gebruik van third-party cookies leidt er namelijk toe dat internetgebruikers de controle over hun persoonsgegevens kwijtraken met function creep (1) tot gevolg, aldus Google. Deze beslissing heeft het nodige stof doen opwaaien, nu de huidige wijze van online behavioural advertising – die nagenoeg volledig is gebaseerd op het gebruik van third-party cookies – drastisch veranderd zal moeten worden. In dit artikel wordt toegelicht wat de Privacy Sandbox precies inhoudt en welke gevolgen dit heeft voor de traditionele manier van online behavioural advertising.
De online advertentie-industrie is de afgelopen drie decennia uitgegroeid tot een miljardenindustrie. Online behavioural adverstising is vandaag de dag dan ook niet meer weg te denken. Doordat op grote schaal profielen worden opgebouwd van internetgebruikers, is het mogelijk om aan hen gepersonaliseerde online reclameberichten te tonen. Dit bijvoorbeeld in tegenstelling tot contextual advertising, waarbij het type advertenties wordt bepaald door de inhoud van de betreffende website.
Online behavioural advertising vindt in de regel plaats door middel van third-party cookies (2). Elke third-party cookie bevat één of meerdere online identifiers (3) waardoor een bepaalde internetgebruiker onderscheiden kan worden van anderen. De third-party cookie verzamelt daarbij informatie over het surfgedrag, het apparaat en de locatie van de internetgebruiker. Gecombineerd met de overige informatie die ad tech partijen, zoals Data Management Platforms (DMPs) (4), over deze internetgebruiker hebben, kunnen uiterst gedetailleerde profielen worden opgemaakt. Als regel geldt: hoe uitgebreider het profiel van de internetgebruiker, hoe hoger het bod van een specifieke adverteerder zal zijn om aan deze persoon zijn advertentie te tonen. Dit ecosysteem lijkt nu echter in één klap te verdwijnen door de introductie van de Privacy Sandbox door Google.
Google speelt een significante rol in de wereld van online behavioural advertising. Zowel aan de kant van de publishers die advertentieruimte willen verkopen (de supply side) als aan de kant van de adverteerders die hun advertenties willen tonen op het platform van de publisher (de demand side) heeft zij zich diep geworteld door het aanbieden van (veelal) gratis diensten op dit gebied.
Google beheert daarnaast ’s wereld populairste browser (Chrome) en het mobiele besturingssysteem Android. Ook exploiteert Google enkele van de meest populaire onlinediensten ter wereld (Google Search, YouTube, Google Maps). Het overgrote deel van de spelers in de online advertentiewereld zijn dan ook afhankelijk van Google en gedwongen om mee te bewegen met de gevolgen van de Privacy Sandbox.
De Privacy Sandbox is als het ware een project waarbij verschillende voorstellen voor cookie-vrije browserfuncties in Chrome zullen worden getest. De bedoeling is dat internetgebruikers met een Chrome-browser nog steeds gepersonaliseerde online advertenties te zien zullen krijgen. Echter, niet langer door de inzet van third-party cookies, maar door alternatieve methodes, zoals APIs. (5)
Op dit moment wordt het voorstel van “Federated Learning Of Cohorts” op kleine schaal in de Verenigde Staten getest. Kort gezegd, creëert Google hierbij verschillende ‘cohorten’ waarin een internetgebruiker kan worden ondergebracht. Dit is vergelijkbaar met het gebruik van segmenten in het huidige ad tech ecosysteem (6). In Google’s Federated Learning Of Cohorts gebeurt dit echter zonder het gebruik van third-party cookies. Google verzamelt informatie over de internetgebruiker en diens interesses door het surfgedrag via de Chrome-browser te monitoren. Aan de hand hiervan kan door Google bepaald worden in welke ‘cohorten’ de betreffende internetgebruiker thuishoort. Dit is vergelijkbaar met de werkwijze van een DMP in het traditionele systeem. Deze ‘cohorten’ worden vervolgens door middel van een API gedeeld met de spelers in de online advertentiewereld. Deze partijen krijgen dus enkel te zien dat een bepaalde internetgebruiker onder een bepaalde cohort valt. Het is voor hen onmogelijk om te controleren om welke internetgebruiker dit gaat: de online identifiers die door hen worden gebruikt in het kader van de third-party cookies ontbreken in dit scenario. Daarbij lijkt de rol van een DMP – doordat Google deze rol feitelijk inneemt – overbodig te zullen worden.
De Privacy Sandbox is niet onomstreden. Waar voorheen de overige marktpartijen in de ad tech – tot op zekere hoogte – nog in staat waren om op eigen wijze hun ad monetization in te richten, lijkt Google (ook) dit deel van de online behavioural advertising volledig naar zich toe te trekken. Dit alles onder het mom van de privacy van de internetnetgebruiker. De vraag die zich stelt is in hoeverre dit nieuwe Privacy Sandbox initiatief zich verder zal ontwikkelen, specifiek voor wat betreft Europa. Zowel vanuit het oogpunt van privacyrecht (7) als mededingingsrecht. Duidelijk is in ieder geval dat de overige spelers in de online advertentiewereld hun ad monetization werkwijze flink zullen moeten aanpassen op het moment dat het Privacy Sandbox initiatief werkelijkheid wordt.
Of en wanneer één of meerdere Privacy Sandbox voorstellen definitief doorgevoerd zullen worden, is op dit moment nog onduidelijk.
(1) Het fenomeen waarbij persoonsgegevens voor andere doeleinden worden gebruikt dan waarvoor zij oorspronkelijk zijn verzameld.
(2) Dit zijn cookies die door een andere partij dan de websitehouder worden geplaatst op de randapparatuur (e.g. computer, telefoon, tablet) van de internetgebruiker bij het bezoeken van de betreffende website. Hierbij valt te denken aan third-party cookies van partijen als Supply Side Platforms (SSPs), Data Management Platforms (DMPs) en Demand Side Platforms (DSPs) die betrokken zijn bij het verkopen van ad inventory en reageren op bid requests. Enkel de partij die de cookie heeft geplaatst kan de daarin opgeslagen informatie uitlezen.
(3) Bijvoorbeeld een cookie ID, IP-adres, een advertising / mobile ID of een eigen door de “plaatser” van de cookie gegenereerde unique identifier (UID). Door middel van cookie syncing kunnen de verschillende ad tech spelers hun UIDs met elkaar vergelijken om internetgebruikers te herkennen en gepersonaliseerde biedingen te doen.
(4) Een DMP is een platform dat als doel heeft om zo veel mogelijk persoonsgegevens van individuen te verzamelen uit verschillende online en offline bronnen met als doel om zo rijk gevuld mogelijke profielen en segmenten op te stellen en deze informatie te verkopen aan de spelers in het ad tech ecosysteem.
(5) Een API (Application Programming Interface) is een software-interface die het mogelijk maakt dat twee applicaties met elkaar kunnen communiceren. Via de API kan Google de cohorten waarin een bepaalde internetgebruiker wordt ondergebracht delen met de overige ad tech spelers.
(6) Dit kunnen bijvoorbeeld segmenten zijn op het gebied van demografie, locatie of levensstijl (e.g. “man”, “Amsterdam”, “luxe auto’s”).
(7) Het monitoren van surfgedrag van Google Chrome gebruikers om hen in bepaalde cohorten in te delen is aan te merken als een verwerking van persoonsgegevens waarop de Algemene verordening gegevensbescherming (AVG) van toepassing is. Deze verwerking van persoonsgegevens zal hoogstwaarschijnlijk enkel mogen plaatsvinden op basis van de toestemming van de internetgebruikers. Deze toestemming moet specifiek, geïnformeerd, vrij en op ondubbelzinnige wijze zijn gegeven (cf. artikel 4 lid 11 AVG). De vraag is in hoeverre dit mogelijk is in de praktijk en (dus) of toestemming rechtsgeldig kan worden verkregen door Google.
