Cookieless analytics de oplossing?
Het zal jullie niet ontgaan zijn, de hele discussie rondom de cookiewet. Daar zal ik dan ook niet verder op in gaan. Wel wil ik de alternatieven eens bespreken. Er is veel reuring in de webanalytics-markt over cookieloze pakketten die na 1 januari zogenaamd nog wel mogen. Maar is dat wel zo en zijn ze nuttig?
Op dit moment spelen deze nieuwe pakketten heel erg in op het feit dat cookies niet meer zouden mogen als de gebruiker daar geen toestemming voor geeft. Maar een cookie is slechts één manier om iets over iemand op te slaan. Wist je dat er nog minstens 13 anderen manieren zijn om info op te slaan (geleend van de Evercookie):
-
Standard HTTP Cookies
-
Local Shared Objects (Flash Cookies)
-
Silverlight Isolated Storage
-
Storing cookies in RGB values of auto-generated, force-cached
-
PNGs using HTML5 Canvas tag to read pixels (cookies) back out
-
Storing cookies in Web History
-
Storing cookies in HTTP ETags
-
Storing cookies in Web cache
-
window.name caching
-
Internet Explorer userData storage
-
HTML5 Session Storage
-
HTML5 Local Storage
-
HTML5 Global Storage
-
HTML5 Database Storage via SQLite
En dan noem ik alleen nog maar de plekken om iets op te slaan. Fingerprinting en andere technieken laat ik nog buiten beschouwing. Maar niet onbelangrijk om te melden: al deze manieren mogen dus niet!
De intentie van de wetgeving
Het gaat om de bedoeling van de wet. Die staat het uitlezen van informatie op de pc van de gebruiker zonder toestemming niet toe. Als je heel precies naar de wet kijkt, is dit praktisch onmogelijk want je IP-adres is nodig om een verbinding op te zetten, daar wordt je dus al herkend. Vervolgens wordt elke interactie die je met een website (= server) hebt, gelogd in de zogenaamde serverlogs. Vroeger werden deze logs gebruikt om webstatistieken tevoorschijn te toveren (AWStats bijvoorbeeld), tegenwoordig worden ze alleen nog ingezet om fouten te achterhalen en crawlbewegingen van zoekmachines te analyseren.
Maar je wordt dus al op tientallen manier gelogd zonder daar weet van te hebben… laten we deze even vergeten en alleen kijken naar de bedoeling van de wet.
Die gaat over het actief en bewust meten van bezoeker. En dat mag niet. De nieuwe pakketten die nu als paddenstoelen uit de grond schieten zijn dus net zo goed ‘illegaal' bezig, maar de insteek van deze pakketten is anders. Dat maakt ze wellicht wel interessant: ze richten zich meer op de bedoeling dan de exacte stelling van de wet.
'Cookieloze' oplossingen
Matthijs Keij van de Greenhouse Group geeft aan in een artikel op Emerce dat ze een oplossing ontwikkeld hebben die alleen de campagne van een bezoeker tijdens een bezoek opslaat. Zo kun je over al je campagnes zien hoeveel bezoek eruit gekomen is en of ze tijdens datzelfde bezoek ook geconverteerd hebben. Na het bezoek wordt de bezoeker niet meer gevolgd en is zijn privacy gewaarborgd. In de rapportage kun je geen individuen meer achterhalen en kun je redelijk sturen op de campagnedata.
Andere oplossingen die recent opduiken zijn die van Kirra, genoemd op Nu.nl, en die van Adversitement. Daarnaast gonst het van de geruchten over andere partijen die ook druk aan het ontwikkelen zijn.
Het is nog niet duidelijk of deze oplossingen voldoen aan de wet, maar ze volgen wel de bedoeling van de wet, want de persoon wordt niet gevolgd. Maar waar ligt de grens? In Google Analytics kun je officieel (volgens de Terms of Use) ook geen individuen volgen en zie je alleen maar totalen. Als persoon is je privacy dan ook niet in het geding.
Zelf veroorzaakt
Een mooie uitspraak (niet letterlijk) die ik onlangs van Bart Schutz hoorde op Online Tuesday: “Wij hebben dit als marketeers zelf allemaal veroorzaakt. Als we het allemaal wat netter gedaan hadden was het nooit een probleem geworden. En nu is de zogenaamde bakker op de hoek die eenvoudig wil kunnen zien hoeveel mensen er in zijn webwinkeltje staan hier de dupe van”. Daar slaat hij de spijker op de kop, deels. Een ander deel van het probleem is in mijn ogen de overheid die veel te rigoureus ingrijpt en in één klap de verdienmodellen van een groep bedrijven kapot maakt.
Alleen al dat laatste argument en het verslechteren van de concurrentiepositie van Nederlandse websites t.o.v. buitenlandse websites doet mij vermoeden dat het een en ander wel teruggedraaid zal worden. Maar zeker weten doen we (ik) dat ook niet. De grootste privacyschade (en de veroorzakers van dit probleem) zit wat mij betreft in de tools die je over een groep sites heen kunnen volgen: sociale knoppen, multi-domain analytics, veelgebruikte scripts die door meerdere sites gebruikt worden (jQuery), banners, enz.
En nu
De meest recente stappen zijn dat de OPTA 121 overheidsinstanties gesommeerd heeft aan de wet te voldoen. In navolging daarvan heeft de NPO besloten iedereen die cookies weigert ook te weigeren op de site. Dit zijn interessante zaken die weer geleid hebben tot kamervragen over de houdbaarheid van deze wet.
We kunnen er dus wel een beetje vanuit gaan dat hier enige nuancering op zal volgen, zodat de wet niet onze concurrentiepositie verslechtert en niet meer bepaalde businessmodellen bij voorbaat verwerpt, maar meer gericht is op wat we allemaal willen: meer controle over onze privacy zonder veel verlies van inzage op de eigen sites/campagnes. Hier zijn prima manieren voor te bedenken die aan ieders wensen tegemoetkomen.
Kan ik dan op dit moment al adviseren om over te stappen naar een ander pakket? Nee, zonder verdere uitleg van de wet kan ik hier weinig zinnigs over zeggen als webanalist. Persoonlijk wacht ik liever op de eerste proefprocessen komend jaar of een aanpassing van de wet. Helaas voor de top-100 websites in Nederland zullen daar de eerste klappen vallen. Die zou ik dan ook adviseren om het eerst rigoureus aan te pakken en later eventuele zaken weer terug te draaien.
Ik snap nog steeds niet waarom de ‘cookie’ de grote boosdoener is.
Je moet toestemming geven als scripts van derden een ‘cookie’ plaatsen, maar dat de gegevens daadwerkelijk gestuurd worden in een request hoef je geen toestemming voor te vragen.
Een cookie zelf is onschuldig en is ook vervangbaar door een alternatief.
Als bezoeker wil je weten dat je gegevens niet bij derden komt, en dat gebeurt met de request naar de externe server.
Als het naar een andere partij gestuurd wordt, kan die partij misbruik maken van gegevens, en de site eigenaar moet die partij maar vertrouwen wat er met de gegevens gebeurt en veilig staan, en niet voor advertentie doeleinden gebruikt wordt.
Verder is het niet de schuld van de statistieken programma’s, maar van de advertentieprogramma’s.
Gepersonaliseerde adds waren de grote boosdoener, en heeft de ‘cookie’ oorlog veroorzaakt.
Als je een statistieken programma van een ander bedrijf gebruikt (zoals Google Analytics), vindt ik ook dat je toestemming moet vragen, maar als je zelf de bezoeker bijhoudt (en eventueel er ook een cookie voor gebruikt), dan moet dat kunnen. (Zolang de gegevens niet voor andere sites/advertenties worden gebruikt)
Interessant blogje weer André!
Toch een vraag:
Voor zover ik de wet begrijp gaat deze er van uit dat een unieke computer een persoonsgegeven is. Dus zodra je 1 computer kunt herkennen, heb je 1 persoon herkend.
Daarbij maakt het inderdaad niet uit of je die ene computer herkent door een IP-adres, cookies, fingerprinting of een andere techniek. Zodra je iets op dat apparaat opslaat waarmee het te herkennen is, of zodra je zelf op de server iets opslaat waarmee de computer te herkennen is, zit je fout.
Maar bij sessie-analytics (geen idee of dat een bestaand woord is) hoef je dat niet te doen.
Bij binnenkomst van een nieuwe bezoeker kun je de referral opvangen en in een session stoppen (viewstate, session-ID of iets anders). Die geef je vervolgens door van pagina A naar pagina B enz tot iemand de site verlaat of tot iemand converteert.
En dan kun je dus in je database 1 sessie wegschrijven, zonder dat je weet wie het was. Je kunt die persoon nooit weer herkennen en je hebt ook niets op de computer van die persoon opgeslagen.
Volgens mij kan dat gewoon onder de huidige wet. En volgens mij kun je daarmee in theorie ongeveer alles wat bijvoorbeeld Google Analytics kan ook, behalve dat iedereen een new-visit is.
Conversieattributie en assisted-conversions worden dan wel bijna onmogelijk. Maar verder kom je dan volgens mij een heel eind.
Of zie ik nou iets over het hoofd?
@ Remi
Het meten van de pagina’s (maar ook acties en e-commerce gegevens) kan inderdaad opgelost worden door het via de sessie te volgen (wel een sessie cookie nodig)
Alleen als je dat van een externe partij in je website plaatst, moet je toch toestemming vragen, en als je het op je eigen server hebt staan, hoeft het niet.
@Pieter
Ook first party cookies mogen zonder toestemming niet gebruikt worden als het geen functionele cookies betreffen. Sessie cookies die niet functioneel zijn voor het werken van de website mogen dus niet! Ook niet als het op je eigen site staat!
Cookies zijn niet anders dan een middel om personen te identificeren en dat mag niet meer. Wat je wel kan doen is pagina bezoek via de server achterhalen, maar klantpaden kan je dan niet herkennen. Die data mag je immers zonder toestemming niet meer bijhouden.
@Eddie
sessie cookie van je eigen site mag, dat valt onder functionele cookies, net als andere cookies die je op je eigen site aanmaakt om het surfgedrag van je bezoekers te verbeteren.
Als je een winkelmand hebt, moet dat ergens worden opgeslagen, en dat gebeurt meestal dmv een sessie cookie.
Wat je op de server dan doet, dat ziet niemand, dat kan voor de winkelmand, en je kan het gebruiken voor statistieken, maar hoe weet de bezoeker of het functioneel is of niet?
Verder zijn lang niet alle cookies voor identificatie, dat wordt wel zo gedaan bij statistieken programma’s, maar er zijn tal van mogelijkheden, en als ze niet voor identificatie gebruikt wordt, worden ze al snel functioneel.
De oplossing van Adversitement gaat veel verder op het gebied van privacy dan in dit artikel wordt gesteld. De oplossing voldoet niet alleen aan de bedoeling van de wet, maar ook aan de letter van de wet.
Wanneer een gebruiker geen expliciete toestemming geeft om gevolgd te worden, zal dit niet gebeuren. Ook niet anoniem. Ook niet via IP-adressen, sessiecookies, first-party cookies, URLs, pixelmetingen of andere niet-toegestane methoden. Er worden andere methoden en informatiebronnen aangewend om de juiste cijfers te verkrijgen. Binnen de gestelde wetgeving levert de oplossing maximaal inzicht.
Daarmee valt de oplossing dus buiten het grijze gebied. Dat maakt de oplossing uniek. Hiervoor is uitgebreid samengewerkt met verschillende juridische experts.
(Bovenstaande opmerking is een reactie op het volgende fragment: )
“Het is nog niet duidelijk of deze oplossingen voldoen aan de wet, maar ze volgen wel de bedoeling van de wet, want de persoon wordt niet gevolgd. Maar waar ligt de grens? In Google Analytics kun je officieel (volgens de Terms of Use) ook geen individuen volgen en zie je alleen maar totalen. Als persoon is je privacy dan ook niet in het geding.”
@Koen: dank voor je reactie, heb onlangs dit al mogen horen van jullie directeur. Maar ook toen kon hij geen toelichting geven op de gebruikte technieken… dan kun je wel zeggen dat je een oplossing hebt, maar vervolgens het niet kunnen toelichten is, zeg maar, suboptimaal. Is er inmiddels geen tipje van de sluier?
@André: Het openbaar toelichten van de gebruikte technieken zou leiden tot een schade aan ons intellectueel eigendom. Dit voor ons een groot dilemma: we willen graag transparant maar moeten ook ons intellectueel eigendom beschermen.
Ik kan me voorstellen dat er behoefte bestaat aan inzicht in de werking. Wij zijn graag bereid om onafhankelijk deskundigen onze oplossing juridisch te laten beoordelen (en hebben dit reeds gedaan) om compliance te verzekeren.
Hoe de oplossing er aan de ´voorkant´ uitziet, kunnen we uiteraard wel demonstreren.
@André, dank voor het artikel. Dit belooft weer een mooie discussie te worden 🙂
Ik kan zelf alleen een toelichting geven op de Campaign Performance Analyzer (Greenhouse Group). In onze ogen is deze oplossing volledig compliant, maar als online marketing je core business is, heb je de schijn al snel tegen.
Vandaar dat wij een maand geleden zijn gestart met een zeer uitgebreid audit traject om dit door een onafhankelijke partij nogmaals te laten toetsen. Eind vorige week is deze audit op alle vlakken succesvol afgerond. Meer details zullen in de loop van deze week naar buiten worden gebracht.
Uiteindelijk is het aan een rechter om te beoordelen in hoeverre alle genoemde oplossingen daadwerkelijk voldoen aan de wet, maar gezien het “compliant by design” karakter van Campaign Performance Analyzer en de succesvolle audit heb ik hier alle vertrouwen in.
@Koen
Dat zouden we dan graag ook zien.. Heb je een demo omgeving, screenshot of zo? Wordt het een betaalde of een gratis oplossing?
Als reactie op Koen: “Er worden andere methoden en informatiebronnen aangewend om de juiste cijfers te verkrijgen.”
Geen inzicht geven in HOE maakt de claim ‘dat het voldoet aan de wet’ niet erg krachtig en laten ‘checken door advocaten’ is ook listig – aangezien die alleen reageren op wat je ze vertelt. Als de data volgens jou de ‘juiste’ cijfers zijn – dan zit je in mijn ogen dus minimaal in het grijze gebied: het volgen van sessies/mensen/cookies whatever zonder expliciete toestemming is niet mogelijk, dus hoe kan je meten zonder ogen? Daarnaast mag een SESSIE cookie ook, maar nogmaals – alleen voor het technische functioneren. IDD om je mandje binnen e-commerce bij te houden maar strikt genomen niet voor analyse doeleinden. Ben super op zoek naar een goede oplossing – maar volgens mij zijn die er nog niet … nog lang niet. Maakt ook niet zoveel uit want recent onderzoek laat ook zien dat ongeveer 80% van de cookies na 1 week al weg zijn … anti-virus applicaties, gebruikers, ad-blockers .. van alles doen we er tegenwoordig aan om maar niet herkend te worden. Dus – back to the basics, creative advertenties in plaats van technische geoptimaliseerde advertenties. Hulde aan creativiteit!
In reactie op dit artikel en de gegeven reacties:
In algemene zin is er de behoefte om de effectiviteit van marketingcampagnes te bepalen; hierbij dient analytics als accountinginstrument. De nieuwe wet betekent (althans dat is de verwachting) dat de bestaande technieken geen representatief beeld geven van deze effectiviteit. Ook zijn daarbij enkele web analytics toepassingen zoals padanalyse niet meer mogelijk. Hierdoor wordt automatisch verondersteld, zo lijkt het althans, dat analytics aan kracht inboet. Volgens ons komt het er op neer dat de effectiviteit van campagnes (bij een substantieel aandeel van gebruikers dat geen consent geeft nog altijd bepaald kan worden, maar minder fijnmazig dan de markt gewend is en het vergt een andere (en in beginsel wellicht meer) inspanning. De oplossingen (om inzichten beschikbaar te hebben onder alle omstandigheden) die we in de huidige realiteit beschikbaar hebben kennen een ander karakter dan wat de meeste professionals gewend zijn. Bovendien, gaat het om wat mogelijk is, of om wat nodig is? Volgens ons dat laatste en hier bieden we oplossingen voor.
In dat kader begrijp ik de commentaren op de diverse fora en binnen discussies niet waarin argumenten worden aangedragen in de trant van “is terug te leiden tot een individu ja/nee”. Daar gaat het bewuste artikel in de Telecommunicatiewet helemaal niet over. Dus dit zijn oneigenlijke argumenten. Bovendien stranden de meeste discussies omdat de deelnemers verschillende referentiekaders hebben als het gaat om “de oplossing”. “De oplossing” is dat de markt onderkent dat er een nieuwe realiteit is waarin (voor wie dat nog niet heeft gedaan) er snel afscheid genomen moet worden van bepaalde verworvenheden en privileges; ook ten aanzien van analytics.
Deze problematiek overstijgt het niveau van een simpele technologiediscussie; het gaat om het vertrouwen in het internet van de burger (=consument). Hiervoor komen er wetten waarmee er gereguleerd gaat worden. Alle signalen duiden erop dat dit dé koers is die is ingezet door de beleidsmakers voor de komende jaren. Dit vraagt om nieuwe advertentiecontracten, technologieën en ook analytics methoden. Die gaan er komen. In de tussentijd hebben wij een aanpak (een bundeling van methoden en technologieën) ontwikkeld waarmee organisaties in control zijn om de juiste data te verzamelen die nodig is voor de analytics en om sturingsinformatie beschikbaar te hebben en die binnen de wettelijke kaders valt. Deze aanpak van Adversitement wordt in het bovenstaande artikel geschaard in de categorie “cookieloze oplossing” en er wordt gevraagd om bewijs in de vorm van screenshots of door uitleg van de technische werking. De vraag die ik me hierbij stel is: hoe geef je een overtuigend screenshot van data die cookieloos is verkregen en welke waarde heeft dit?
Wellicht dat deze discussie de mogelijkheden biedt om meer in detail te treden over scenario’s die zich mogelijkerwijs gaan voordoen voor web sites die volwaardig invulling willen geven aan de wet en daarbij in een situatie belanden dat de consentniveaus dermate laag zijn dat bestaande marketing en analytics methoden niet meer voldoen. Dan volgt hieruit vanzelf welke technische toepassingen en analytics vereist zijn en welke marktoplossingen hierin voorzien. Dat laat m.i. ook meer toe dat de daadwerkelijke impact concreet wordt. Wellicht een volgend artikel?
@Guido Budziak
Uitstekende reactie. Oorzaken, schuldvraag zijn niet relevant. Wel relevant is wat de wet vraagt en een oplossing die daar aan voldoet.
Als jullie een oplossing hebben en zorgvuldig hebben laten toetsen verdien je hulde en geen opmerkingen als “listig” van niet gelovers.
Ik zou graag een stuk over de oplossing van Advertisement willen opnemen in ons maandelijkse magazine en zal contact opnemen.
@Guido
Het gaat ons niet om screenshots van het ‘analytics’ programma met data, maar de manier waarop de data verzameld wordt.
Het gaat er echt niet om of er een cookie gebruikt wordt of niet, maar op welke manier krijg je de data die je wil hebben, en dat is ook relevant voor de wet.
Verder vindt ik het belangrijk dat de bezoeker inzicht krijgt wat er opgeslagen wordt, waar zijn surfgedrag blijft en wat er mee gebeurt. Blijft het op de server van de website eigenaar, of komen de gegevens bij derden te staan. En wat wordt er met het surfgedrag gedaan? (analyseren voor het verbeteren van de website, of commerciële toepassingen zoals gepersonaliseerde advertenties, enz.)
@Guido,
Je hebt gelijk dat de wereld van de marketeers is veranderd. En we zullen in die nieuwe realiteit toch zo goed mogelijk ons werk moeten doen.
Tegelijk zien we ook overal discussies over allerlei details van de wet.
Er zijn nu enkele partijen waaronder Adversitement en Kirra die roepen een oplossing te hebben. Ook jullie zeggen in essentie “wij hebben een oplossing waarmee je voldoet aan de wet en toch nog aardig kunt meten”.
Dat klinkt mij als muziek in de oren en ik zou dit morgen bij al mijn klanten adviseren, maar voordat ik doe wil ik wel weten hoe het werkt. Voordat ik kosten ga maken om implementaties te doen en een nieuw systeem te leren kennen, wil ik een gezonde afweging maken over het risico. En dus wil ik weten hoe het werkt.
Hoe jullie (en Kirra en al die anderen) dat moeten uitleggen weet ik niet. Ik snap ook dat je je concurrenten niet wijzer wil maken dan nodig. Maar zonder die uitleg kun je deze oplossing in mijn ogen niet verkopen.
@Remi
De onduidelijkheid in de markt (die in onze ogen in stand wordt gehouden doordat de overheid geen heldere, expliciete boodschap afgeeft op een aantal cruciale punten) is een risico dat nu gemanaged moet worden. Echter, ongeacht welke kant het opgaat, er is een duidelijke bodem gelegd. Werkgroep 29, het internationaal orgaan van privacywaakhonden dat aanbevelingen doet, heeft in haar laatste rapport enkele nuanceringen aangebracht. Maar hoe dan ook, web site verantwoordelijken zullen voorzieningen moeten treffen om de onderstaande zaken in te regelen. Er moeten dus specifiek enkele zaken worden ingeregeld
Informatieplicht
– Melding van het gebruik van cookies (en vergelijkbare technologieën) en voor welk doel
– Effectuering van de keuze van de gebruiker, zodat de website werkt in overeenstemming met de door de gebruiker afgegeven toestemming (vaak een technische uitdaging)
Bewijslast
– Onafhankelijke toezichthouder moet de werking van de architectuur kunnen verifiëren
Business Impact
– Minder representatieve inzichten doordat het percentage gebruikers dat toestemming geeft voor niet-functionele cookies (waaronder analytics) kleiner is dan 100%
Als we het dan hebben over onze oplossing, dan voorziet deze in het managen van elk van deze aspecten op een beheersbare en samenhangende manier op waarbij we ons richten op maximale flexibiliteit. Dat maakt het ook mogelijk om in een individuele situatie afwegingen te maken waar het zwaartepunt komt te liggen en op welke wijze dit het beste kan worden ingevuld.
@Pieter
Het punt dat je in de tweede alinea aankaart houdt in mijn termen verband met “digital transparancy”. Hoe maak je de werking van een web site transparant voor een gebruiker zodat zij/hij weet wat er allemaal van haar/hem verzameld wordt. En ook nog eens op een gebruiksvriendelijke manier. Nu is het zo dat hiervoor al geruime tijd technologieën beschikbaar zijn. P3P is er voor
aanbieders van web diensten om de privacy practices aan gebruikers te communiceren. Appel en Xpref zijn voorbeelden van technologiën waarmee gebruikers hun privacy preferences kenbaar kunnen maken.
Dit zijn fraaie technologieën, maar in het licht van de nieuwe wet zijn dit vooralsnog geen bruikbare oplossingen. En dat terwijl dit internationaal erkende standaarden zijn.
Dé vraag is hoe je een systeem van allerlei low-level technische toepassingen in voor mensen begrijpelijke taal communiceert. En ook nog eens op een uniforme manier, zodat een gebruiker in control is van de eigen data en er geen cookie dictionary op na hoeft te slaan om te begrijpen wat er allemaal wordt gemeld omdat iedere site het anders doet. Wij voorzien deze waarborg in de vorm van een keurmerk, waarbij de uitleg en de werking van de architectuur transparant zijn. Mocht je geïnteresseerd zijn in de wijze waarop wij dit in ons R&D programma belegd hebben dan nodig ik je bij deze van harte uit voor een gesprek om hierover van gedachten te wisselen.
Ah, je hebt gelijk, het IS een vorm van fingerprinting ook al gebruikt ie geen van de 13 in het artikel genoemde opslagmethoden.
De hele cookiewet is al een drama, dus daarmee ben ik het oneens met Kroes. Ik ben het wel eens dat niet elk land dat anders moet gaan interpreteren. (En zeker jammer dat wij dan net in het land met de meest absurde interpretatie leven)
Ik verwacht dat het eindigt op “opt out”.
Gerelateerde artikelen
Marketingfacts. Elke dag vers. Mis niks!
Marketingfacts. Elke dag vers. Mis niks!