-

Bereid je voor op een wereld zonder cookies

Door de cookiewet, GDPR, publieke opinie ten opzichte van privacy, Apple’s Intelligent Tracking Prevention (ITP) en andere browser updates neemt de effectiviteit van tracking cookies steeds verder af. Google roept dat third-party cookies in 2022 niet meer bestaan en wat betreft Apple zijn ze al dood. Meten is weten, dat is een van de voordelen van het internet, zo ook in binnen online marketing. Gaat nu alles stuk? Nee. Gaat veel veranderen? Ja, maar deze verandering gaat geleidelijk. Bovendien opent het ook veel nieuwe deuren, die het mogelijk maken de voordelen van meetbaarheid en targeting op een nog sterkere manier uit te voeren. Privacy & transparantie is daarbij enorm belangrijk om het vertrouwen van je klanten en bezoekers weer terug te winnen.

Impact; de introductie van regelgeving en andere initiatieven

Vóór de cookiewet / GDPR werden tracking pixels van meetsystemen, search engines, social networks, affiliate partijen, display netwerken en andere platforms, zonder toestemming en vaak lukraak geplaatst. Veel van deze platforms plaatsten soms nog allerlei extra cookies, zonder dat de adverteerder het wist, laat staan de consument. 

Toestemming nodig

Sinds de introductie van de cookiewet en GDPR moet er door de consument toestemming hiervoor worden verleend. Ook moet er inzicht worden gegeven in de type cookies / pixels en welke data er wordt verzameld. Daarnaast dient de dataverzameling een duidelijk doel te hebben en worden uitgelegd aan de consument. Alle data verzamelen met als doel er later iets mee te doen, past niet in de geest van deze wet.

Ook op technologisch gebied is er veel gebeurd. Zo heeft Apple op eigen initiatief een aantal Safari browser updates doorgevoerd met daarin de zogenaamde Intelligent Tracking Prevention (ITP) functionaliteit. Simpelweg detecteert deze functie óf websites/domeinen aan cross-domain tracking doen en verwijdert vervolgens automatisch de third-party cookies die deze websites/domeinen plaatsen. In de eerste versie van ITP is dit na zeven dagen, inmiddels is cross-domain tracking volledig geblokkeerd. Daarnaast limiteert het alternatieve cross-domain tracking methoden, bijvoorbeeld first-party cookies met cross-domain tracking functionaliteit. 

Ook Google heeft inmiddels in Chrome een aantal updates geïntroduceerd, waarmee onderscheid tussen first en third-party tracking cookies gemaakt kan worden en zo mogelijk in de toekomst verwijderd kunnen worden. In 2022 zouden third-party cookies wat betreft Google niet meer bestaan.

In de geest van AVG zien we ook dat cookie-consent dialoogvensters (weer) aangepast worden. Door een uitspraak van de EU moet er expliciete toestemming worden verleent, de constructie “browser je verder, dan accepteer je alles” is onwettelijk verklaard. 

Privacy en de techreuzen

In de discussies rondom privacy lijkt het er misschien op dat techreuzen zoals Facebook, Google en Apple proactief het gevecht aangaan tegen privacyschending, maar de motieven zijn zeer divers. Apple haalt bijvoorbeeld (in tegenstelling tot Google) geen inkomsten uit advertising. Apple probeert zich met iOS te positioneren als het veiligste en meest privacy respecterende besturingssysteem en zet zich daarmee af tegen concurrent Google Android. 

Facebook en Google  hebben daarentegen in het publishers landschap de beste kaarten, omdat zij beiden beschikken over nagenoeg alleen ingelogde gebruikers (bv. via Facebook, Instagram, Gmail en Android) en het is daarmee relatief eenvoudig optins van consumenten te verzamelen. Hiermee troeven ze bijna alle lokale en regionale publishers af, want die hebben veel meer moeite om deze opt-ins te verzamelen. 

Tegelijkertijd biedt Google, via haar advertising producten (zoals Google Ad Manager, voorheen Doubleclick) deze publishers wel de mogelijkheid data-intelligentie aan hun bereik toe te voegen, maar dan wel via de Google logins met Google als tussenpersoon. De afhankelijkheid van een Google wordt daarmee ook op dat vlak alleen maar groter.

Adverteerders zullen privacy voorrang moeten geven

Waarom is er met AVG/GDPR strengere regelgeving geïntroduceerd? Om de privacy van je klanten en gebruikers te waarborgen. Die mogen verwachten dat je zorgvuldig omgaat met de data die zij tot je beschikking stellen. Ze mogen er ook vanuit gaan dat als een consument niet (bewust) data ter beschikking wil stellen, je dit als adverteerder respecteert. Helaas is hier in afgelopen jaren, bewust of onbewust, misbruik van gemaakt. Zie deze ontwikkelingen dan ook niet als een kat-en-muis spel waarmee regelgeving of updates omzeilt kunnen worden, maar probeer de focus te leggen op wat er echt speelt, het vertrouwen dat klanten en gebruikers in je als bedrijf hebben (of juist niet).

In de praktijk is er aan de technische kant bij adverteerders nog weinig veranderd

Ondanks strengere regelgeving en allerlei technische ontwikkelingen ziet de gemiddelde tracking setup er in 2020, vergeleken met 2018, vrijwel nog steeds hetzelfde uit;

  • Door de jaren heen is er op de gemiddelde website een enorm aantal tracking pixels geplaatst, die vaak ook weer andere pixels initiëren, cookies plaatsen en uitlezen. Dit komt niet ten goede aan transparantie, zowel voor bedrijf als gebruiker. Ook heeft dit vaak negatieve gevolgen voor de laadtijd van een website. 
  • Aangezien de code (Javascript tags) voor third-party tracking pixels in veel gevallen ingeladen worden vanaf de domeinen van third-party’s, kan de code altijd aangepast worden (of extra cookies gezet worden) zonder dat daar een update van de “first-party” voor nodig is. Daarom is er weinig zicht en controle op wat third-party tracking pixels allemaal verzamelen.
  • Pixels zijn niet geupdate, waardoor (tijdelijke) workarounds die partijen doorgevoerd hebben om alsnog enigszins betrouwbaar conversies door te meten niet aanwezig zijn.

Het is duidelijk dat er iets moet veranderen. Uiteraard zitten measurement, tracking en advertentie platforms niet stil. Ook de mogelijkheden binnen cloud platforms maken veel mogelijk. Maar de adoptie gaat langzaam. Waar begin je als adverteerder?

Win het vertrouwen terug

Maak de vlucht naar voren en zorg ervoor dat je transparant en helder richting consumenten bent in de data die je verzamelt en leg uit wat het doel hiervan is. Zorg dan ook dat dit op een degelijke manier gebeurt. Als je de toestemming hebt verkregen en je data mag verzamelen, probeer de data in het voordeel van je gebruikers te laten werken en daarmee voor je, als bedrijf. Laat duidelijk weten wat de toegevoegde waarde is voor gebruikers. Geef controle, inzicht en wees zelf ook op de hoogte wat er met de data gedaan wordt door derde partijen. Kortom, probeer het vertrouwen (terug) te winnen van je gebruikers.

Houd daarom ook in toekomstige uitwerkingen rekening met deze eerdere genoemde zaken en beperk je niet alleen tot het technische deel. UX en de manier waarop privacy wordt ingericht is wellicht nog belangrijker. Er zijn allerlei technische workarounds en het is mogelijk van alles te verstoppen in juridische termen maar dit werkt slechts op korte termijn. De regelgeving zal strenger worden nageleefd en je raakt hiermee alleen maar verder op achterstand.

First-party cookies & tracking

Naast dat cookies voor functionele doeleinden worden ingezet (bijvoorbeeld het onthouden van login status en winkelmandjes), kan er een uniek ID in een cookie opgeslagen worden. Dit ‘anonieme’ ID kan voor langere tijd worden bewaard, zodat dezelfde gebruiker (op eenzelfde device) over meerdere bezoeken herkend kan worden.

Dit ‘anonieme’ cookie-ID wordt toegevoegd aan interacties die meetsystemen vastleggen. Denk aan tracking pixels van Google of Adobe Analytics. Dit heeft veel toegevoegde waarde voor het verzamelen van acquisitie, performance en engagement data. Deze data geeft antwoord op vragen als: Waar komen bezoekers vandaan en welke combinatie van kanalen worden gebruikt? Welke interacties heeft een gebruiker met met een website over langere tijd? Wat is de verhouding nieuwe versus bestaande gebruikers? Hoe relateert dit alles zich tot conversie? 

Deze functionaliteit kun je scharen onder “first-party” cookies en “first-party” dataverzameling, aangezien dataverzameling zich beperkt tot het domein van een first-party en de verzamelde data alleen toegankelijk is voor de first-party. Cookies worden op domein niveau opgeslagen (bijvoorbeeld mijnbedrijf.nl) en het is technisch niet zomaar mogelijk voor derde partijen om deze cookies uit te lezen. 

Third-party cookies & tracking

Voor derde partijen (onder andere advertentie en dataverzamelings netwerken) is zo’n tracking cookie uiteraard ook enorm interessant. Met name als het anonieme cookie-ID voor eenzelfde gebruiker ook consistent blijft over verschillende domeinen. Zo kunnen gebruikers uit hun eigen platform gelinkt worden aan gebruikers (en daarmee gedrag) op externe domeinen. Bijvoorbeeld om conversies aan campagne clicks toe te kennen (denk aan Google Ads of affiliates). Echter opent het ook de deur om gebruikers terug te vinden op websites buiten het platform (retargeting) en om gedrag van gebruikers in kaart te brengen over verschillende domeinen. Denk aan de welbekende grote spelers (maar een nog groter aantal in de “schaduw”) die deze data gebruiken en combineren met eigen data om interesses en gedrag in kaart te brengen en te verkopen. Kortom, “cross-domain”, third-party tracking. 

De afgelopen jaren het (cross-domain) verzamelen van data door third-party’s zo uit de hand gelopen, waardoor er juist regelgeving en initiatieven als Apple’s ITP zijn ontstaan. Gebruikersdata wordt verspreid over een heel scala aan systemen en partijen, zonder dat de gebruiker én bedrijf exact op de hoogte is dat het überhaupt verzameld wordt, waar het naartoe gaat en waar het voor gebruikt wordt.

Bereid je voor op de overgang naar een nieuw tijdperk

Google benadrukt dat de ontwikkelingen met name betrekking hebben op third-party cookies. Apple laat weten dat ITP gericht is op het inperken van cross-domain tracking (al zijn er ook nadelige effecten op first-party cookies). Probeer deze ontwikkelingen echter in perspectief te zien. Gebruik het om first-party data verzameling efficiënter en transparanter in te richten. Dit zodat je de data die je mag gebruiken zo efficiënt mogelijk kan zetten en ongewenste verzameling zo veel mogelijk kan beperken.

Targeting & addressability

Third-party cookies worden met name gebruikt om gebruikers terug te vinden in andere platformen, gedrag te verzamelen en te targeten. Inmiddels worden alternatieve methoden uitgebreid of ontwikkeld die – met na toestemming consument – een goed alternatief zijn voor third-party cookies.

Alternatieve identifiers om gebruikers terug te vinden in externe platforms

Naast dat eigen processen en data enigszins op orde moet zijn, valt of staat het terugvinden van gebruikers en klanten in andere netwerken met de mogelijkheden die deze externe platforms aanbieden. In de grotere advertentie netwerken verschijnen langzamerhand meer ingangen om gebruikers en events vanuit je first-party data bronnen te matchen aan gebruikers binnen deze platforms, buiten third-party cookies om. 

Zowel Google (External User-ID) als Facebook (Advanced Matching) hebben onlangs functionaliteit gelanceerd waarmee (eenmalig of vaker) een extern ID, zoals een klant, lead of gebruikers-ID meegegeven kan worden. Het platform knoopt dit externe-ID aan een gebruiker.

Vervolgens is het mogelijk om later (server-side) events en audiences naar het platform te sturen op basis van dit alternatieve ID. 

Een aantal voordelen van matching op basis van alternatieve ID’s:
  • Je verhoogt de match rate ten opzichte van bijvoorbeeld bestaande Customer Match doelgroepen (Google Ads) / Custom Audiences (Facebook). 
  • Naast bestaande herkenningspunten als bijvoorbeeld een e-mail adres kunnen er ook gebruikers teruggevonden worden op ID’s uit je eigen systeem. Het bereik wordt hiermee dus groter.
  • Je bent in controle welke data er naar de (externe) platforms gaat en moeten de alternatieve ID’s versleuteld worden.
  • De functionaliteit voor het doorvoeren van opt-outs en doorvoeren van consent is sterk verbeterd. In plaats van enkel consent op device niveau verbetert dit ook de effectiviteit van opt-outs op gebruikers niveau.

Ook zijn er kansen voor publishers om de handen (buiten de grote netwerken) ineen te slaan voor een soortgelijk systeem. Net als Facebook en Google zijn gebruikers op deze platforms vaak ingelogd en zou er een match plaats kunnen vinden tussen dit systeem en first-party data. Zaak is wel dat privacy en voorkeur van de gebruikers gerespecteerd wordt, zowel aan de adverteerder als publisher kant.

First-party data activatie in kanalen en campagnes

Naast de optie om te matchen op alternatieve identifiers, is het ook mogelijk om campagnes te activeren en bij te sturen op first-party data. Als je dan data mag verzamelen, is het ook zaak om het ook zo efficiënt mogelijk in te zetten en daarmee een win-win situatie te creëren.

Waar het voorheen vaak ging om een pixel op de thank-you page, zijn er binnen de platforms ook mogelijkheden om zonder pixels event en audience data te verzenden. Zo heeft Facebook de server-side API gelanceerd en is het eenvoudiger om via de Google Campaign Manager API data naar o.a. Google (Search) Ads, Google Campaign en Google DV360 te sturen.

Combinaties en samenvoegen van data kan al aan de kant van de first-party gebeuren, zonder dat platforms alle ruwe data nodig hebben om zelf combinaties te maken (en er dus ook niet ongewenst gebruik gemaakt kan worden van de ruwe data). De context van de data die je verstuurd is in dit geval dan minder of niet herleidbaar voor de derde partij.

Het versturen van data vanuit je eigenlijk first-party omgeving naar campagne platforms, schept onder andere de volgende mogelijkheden;

  • Toevoegen van offline conversies, deze mee te nemen in biedstrategieën en Research Online, Purchase Offline (ROPO) effecten inzichtelijk te maken.
  • Sturen op marge (Facebook, Google Ads, Google DV360) door deze mee te sturen in transactie events (server-side).
  • Sturen op (predicted) Customer Lifetime Value (CLV), verwachte transactiewaarde of verwacht lidmaatschapsduur.
  • Segmentaties op basis van online gedrag, gecombineerd met offline / CRM data bronnen. Deze audiences kunnen direct ingezet worden of er kunnen look-a-like audiences worden gemaakt. 
  • Segmentaties op basis van predictions (conversies / voorkeurscategorieen of producten / user intent).

De benodigde informatie voor bovengenoemde mogelijkheden is niet beschikbaar in de browser (client-side) of is het absoluut niet verstandig om deze data daar beschikbaar te maken. Ook zijn er vaak combinaties nodig tussen verschillende first-party databronnen om bijvoorbeeld gegevens zoals marge te berekenen. Dit gaat vaak hand in hand met Customer Data Platforms (CDPs) en cloud oplossingen. 

Anderzijds kun je door het combineren van databronnen en het doen van analyse, doelgroepen beter in kaart brengen. Hierdoor kan je slimmer en effectiever in kan kopen bij publishers en advertentienetwerken. Afgezien van look-a-like / vergelijkbare doelgroepen is hier dus helemaal geen exacte match tussen gebruikers nodig.

Veranderingen in dataverzameling & measurement

Server-side tag management. Zie het als een tag management oplossing (à la Google Tag Manager / Tealium IQ), maar binnen een afgesloten omgeving. Zo worden tracking pixels / interactie data niet meer aan de voorkant (client-side), maar aan de achterkant (server-side) doorgestuurd naar andere systemen. Zo’n server-side systeem is actief onder je eigen domein en in eigen beheer, als het ware een ‘event hub’.

Dit heeft de volgende voordelen;

  • Slechts één datastroom vanaf de browser (client-side) naar het tag management systeem.
  • Datakwaliteit kan beter gewaarborgd worden op deze enkele datastroom en geautomatiseerde checks en alerts kunnen ingesteld worden. 
  • Externe partijen kunnen niet zonder tussenkomst extra data verzamelen, aangezien er geen externe code van third-party’s meer ingeladen wordt.
  • Exact duidelijk welke data er naar welk systeem wordt gestuurd. 
  • Privacy settings van gebruikers kunnen beter ingeregeld worden, aangezien er geen third-party scripts meer draaien die alsnog bepaalde data verzamelen.
  • Het is een stuk efficiënter; de enorme hoop pixels die nu vaak nog afgevuurd worden in de browser kunnen verwijderd worden.
  • Identifiers / data kan versleuteld worden.

Inmiddels zijn er een aantal partijen die deze functionaliteit aanbieden (bijvoorbeeld Tealium of Segment), maar de verwachting is dat er meer partijen volgen. Ook cloud platforms (AWS, Google Cloud en Microsoft Azure) bieden een hoop mogelijkheden, al is hier veel meer technische kennis voor nodig.

Ook is deze functionaliteit vaak goed te combineren met het principe van Customer Data Platforms (CDP), zodat ook data uit andere bronnen toegevoegd kunnen worden aan de online datastromen, en daarmee zo veel mogelijk uit je first party data kan halen.

First-party cookies plaatsen in eigen beheer 

Het feit dat third-party tracking pixels, first-party cookies kunnen plaatsen zonder dat je hier als bedrijf geheel van op de hoogte bent, geeft aan dat bedrijven en organisaties niet compleet in controle zijn. First-party cookies kunnen in dit geval misbruikt worden voor cross-domain tracking. Dit is ook de reden dat ITP ook de duur van deze cookies verkort. Dit is onder andere het geval voor Google Analytics, ondanks dat Google Analytics niet per se cross-domain tracking functionaliteit (tussen third-party’s) heeft. Het gebruiken van data met betrekking tot advertentiemogelijkheden kan uitgeschakeld worden en het systeem kan puur voor analytische doeleinden gebruikt worden.

Dit kan voorkomen worden door cookies op een andere manier te plaatsen (vanuit je eigen webserver), zodat dat jij als bedrijf in controle bent en deze niet aangemaakt worden door third-party tracking pixels. Op deze manier ben je nog wel in staat om bezoekers over meerdere sessies te herkennen.

Er zijn ook een aantal oplossingen op de markt die de first-party cookie duur kunnen verlengen als Apple’s ITP deze verkort. Met een zogenaamde “first-party cookie rewrite” kan een first-party cookie verlengd worden, zodat gebruikers over langere tijd (anoniem) gemeten kunnen worden. Het uitgangspunt van deze methodiek is dat jij als first-party bewust bepaalde cookies verlengt, en niet dat derde partijen dit voor je doen. Deze constructie gaat niet in tegen regelgeving zoals AVG, zolang o.a. de cookie duur benoemd in het privacy statement. Echter is het wel zo dat gebruikers wellicht juist voor Apple Safari kiezen omwille van deze functionaliteit. Dus ook al is het niet in strijd met regelgeving, wees transparant en geef de mogelijkheid voor een opt-out.

Dit is hét moment om te veranderen

Zie de huidige noodzaak om aanpassingen door te voeren als een grote kans om klaar te zijn voor de toekomst. Nu er zaken op de schop moeten (zoals bijvoorbeeld de cookie consent dialogen en daarbij ook de inrichting van tracking) is er momentum om verder vooruit te kijken. Denk aan vragen als; Hoe waarborg ik de privacy van mijn gebruikers? Hoe win ik het vertrouwen van mijn klanten en gebruikers terug? Hoe verzamel en zet ik mijn first-party data zo optimaal mogelijk in om uiteindelijk win-win situatie te creëren? 

Logischerwijs blijft het niet bij de huidige regelgeving. De beweging naar meer privacy en controle voor consumenten is onomkeerbaar. Nu acteren voorkomt dat je achter de feiten aan blijft lopen, een voorsprong creëert qua kennis, (echte) opt-ins verzameld, en een technische infrastructuur neerzet die klaar is voor de toekomst.

Over de auteur: Krisjan Oldekamp is marketing technology lead bij Merkle Nederland.

Deel dit bericht

3 Reacties

Blockchainkiller

Ik vind het altijd heel apart om te lezen over google (en facebook) die roepen dat de privacy van de gebruikers op #1 staat en dat cookies uitsterven…. Als men begrijpt wat ik bedoel.

Waarschijnlijk zit er een alternatief voor cookies in de pipeline; uiteraard uit HUN eigen keuken….

Ed Kost - CookieInfo

Het werken met first-party cookies zal bijdragen aan de mogelijkheid om privacy beter te organiseren. Hou er rekening mee dat ook deze cookies pas geladen mogen worden nadat de bezoeker zijn toestemming heeft gegeven. Op een transparante manier “consent” verkrijgen blijft de basis. En dat zal zeker bijdragen aan het vertrouwen van je website bezoeker. Helaas zie ik dat veel “cookie consent” oplossingen echter niet goed geconfigureerd zijn of correct functioneren. Cookies worden al geladen voordat er toestemming is gegeven, wat dan weer afbreuk doet aan je inspanningen om de privacy van je website bezoeker te respecteren.

Nico

Meesterlijk verhaal Kris. Verdient een pijpje Grolsch…

Plaats een reactie

Uw e-mailadres wordt niet op de site getoond