Wanneer we een website bezoeken, merken we steeds vaker dat er om toestemming voor cookies wordt gevraagd. Cookies zijn echter niet de enige manier waarop bezoekers gevolgd kunnen worden. Er bestaan technieken die helemaal niets met cookies te maken hebben, maar tóch informatie opslaan of versturen die iets over jou zegt. Zodra die informatie te herleiden is naar een persoon, is de AVG van toepassing.
Dit artikel legt een paar van die technieken uit, eenvoudig uitgelegd, maar met de echte technische termen erbij.
Tracking zonder cookies: vier veelgebruikte vormen
1. Informatie opslaan in de browser
Veel websites bewaren kleine stukjes data op jouw apparaat om je bij een volgend bezoek te herkennen.
Dit kan bijvoorbeeld een willekeurige code zijn die jou koppelt aan eerdere bezoeken.
Technische naam:
- LocalStorage
- SessionStorage
(beide vallen onder Web Storage)
Deze opslag is niet zichtbaar in standaard cookiescanners, maar kan wel genoeg informatie bevatten om een bezoeker te herkennen.
Als dat zo is, dan is er feitelijk sprake van verwerking van persoonsgegevens, en geldt de AVG.
2. Onzichtbare meetpuntjes
Sommige websites laden onzichtbare bestanden die alleen bedoeld zijn om gegevens door te geven over wat bezoekers doen. Denk aan welke pagina bekeken is, waar iemand vandaan kwam, of hoe lang een sessie duurde.
Technische namen:
- Tracking Pixels
- Web Beacons
(meestal 1×1 pixelafbeeldingen of kleine meetverzoeken)
Voor de gebruiker zijn ze onzichtbaar, maar ze sturen informatie door naar externe partijen. Wanneer daarbij gegevens meegaan die tot een persoon herleidbaar zijn (zoals een IP-adres of unieke bezoekcode), dan valt dat onder de AVG en is vooraf toestemming vaak noodzakelijk.
3. Herkennen van een apparaat via instellingen
Er bestaan technieken die geen informatie opslaan, maar wel jouw apparaat kunnen onderscheiden van andere apparaten. Dit gebeurt door kenmerken te combineren, zoals schermgrootte, taalinstelling, lettertypen, apparaatmodel en andere technische voorkeuren.
Technische naam:
- Browser Fingerprinting
(soms ook Device Fingerprinting)
Zo ontstaat een unieke “technische afdruk” van jouw apparaat, zelfs als je cookies hebt geweigerd.
Fingerprinting wordt bijvoorbeeld gebruikt voor marketingprofielen of om bezoekers over langere tijd te herkennen.
Voor zulke vormen van herkenning is bijna altijd toestemming nodig.
4. Gedragsanalyse en schermregistratie
Sommige websites gebruiken hulpmiddelen die precies bijhouden hoe bezoekers zich gedragen: waar op het scherm geklikt wordt, hoe ver er gescrold wordt, en op welke pagina’s bezoekers afhaken. In sommige gevallen kunnen schermopnames gemaakt worden, waardoor zelfs getypte woorden zichtbaar kunnen zijn.
Technische namen:
- Session Recording
- Behavioural Analytics
Deze technieken zijn waardevol voor verbeteringen aan websites, maar het risico bestaat dat er onbedoeld gegevens worden vastgelegd die naar personen te herleiden zijn. Denk aan formulierinhoud of zoekopdrachten.
Ook hiervoor geldt: als het over mensen gaat, en het gedrag van individuen kan gevolgd of geanalyseerd worden, dan is de AVG van toepassing en is transparantie verplicht.
Wat betekent dit voor ondernemers?
Veel ondernemers denken dat ze “klaar zijn” met een cookiebanner.
Maar de meeste cookiebanners signaleren uitsluitend cookies, en niet de vormen hierboven.
Terwijl deze wél impact hebben op privacy en dus ook op de verantwoordelijkheden van de website-eigenaar.
De eenvoudige regel is:
Als je bezoekers herkenbaar kunt volgen, ook zonder cookies, dan gelden dezelfde privacyregels als bij traditionele tracking.
Dus:
- weten wát je inzet,
- waarvoor,
- of toestemming nodig is,
- en wat je daarover communiceert.
Dat is jouw verantwoordelijkheid als organisatie, hoe klein je ook bent.
Wat kun je praktisch doen?
1. Controleer regelmatig wat er op je site gebeurt
Met eenvoudige online scanners, of via de browser zelf. Niet alleen eenmalig, maar periodiek.
2. Weet waarvoor je het gebruikt
Kun je uitleggen waarom die techniek nodig is? En hoe die bijdraagt aan je doel?
3. Vraag toestemming als het om herkenning of analyse van bezoekersgedrag gaat
Toestemming moet vooraf gevraagd worden. Eerlijk, en duidelijk.
4. Let op diensten van derden
Externe tools (zoals analyse- of marketingdiensten) kunnen data ontvangen zonder dat je dat direct ziet. Dan moet je vermelden dat ze meelezen en vaak een verwerkersovereenkomst sluiten.
5. Verzamel alleen wat je nodig hebt
Hoe minder gegevens, hoe kleiner de risico’s.
Slot
Cookies zijn een bekend onderwerp geworden, maar ze vertellen slechts een deel van het verhaal. Moderne websites werken steeds vaker met technieken die buiten het zicht van de bezoeker vallen en buiten de zichtbaarheid van de cookiemelding.
Zodra informatie tot een persoon te herleiden is, geldt de AVG. Dat betekent dat je eerlijk moet zijn over wat je doet, waarom, en met wie je het deelt. Privacy is niet alleen een verplichting, maar een vorm van fatsoen tegenover bezoekers.
Goede keuzes beginnen bij bewustzijn.