Toen Koen Holtman aan zijn studie informatica in Eindhoven begon, had hij zichzelf al leren programmeren. Dat deden in de jaren tachtig wel meer jongetjes. Als er een computer in huis kwam, ging je programmeren of computerspelletjes spelen. Heel vormend, vertelt hij – inmiddels 53 jaar oud en op het oog weinig veranderd. „Ik ben van de generatie mensen die gewend zijn controle te hebben over techniek.”
Op een enkel specialistisch tijdschrift na, zoals Wired, was er destijds weinig bruikbare informatie te vinden. De bibliotheek in zijn geboortedorp Swalmen bij Roermond had hij al uit. In vergelijking daarmee was de universiteitsbibliotheek in Eindhoven een schatkamer. En dat was nog niets vergeleken met het prille internet, aanvankelijk alleen toegankelijk voor militairen en academici. Begin jaren negentig kreeg Holtman toegang via de universiteit. Het voelde fantastisch. „Je kon praten met mensen die niet in je eigen stad of land woonden.”
Het ging wel traag. Om online te komen, moest je inbellen. Op het achtuurjournaal was te zien hoe iemand geduldig naast een modem zat te wachten tot een plaatje op het scherm verscheen. Een webpagina met een foto bekijken, vonden we ook eigenlijk maar verspilling van kostbare bandbreedte, omschrijft Holtman met lichte weemoed de situatie van toen, in een lang videobelgesprek. Nu beginnen ongevraagd overal video’s te spelen.
Om online te komen, moest je inbellen. Op het achtuurjournaal was te zien hoe iemand geduldig naast een modem zat te wachten tot een plaatje op het scherm verscheen
Holtman, een workaholic met nog altijd een licht Limburgs accent, landde in een gemeenschap van mensen van over de hele wereld met dezelfde interesses. Voor iedere obsessie ontstond wel een mailinglist, een soort discussiegroep waarop iedereen zich kon abonneren. Het ging veel over het internet zelf en hoe dat verbeterd kon worden. Nerds als Holtman bestuurden samen het internet, op basis van hun opvattingen over het algemeen belang.
Dat veranderde halverwege de jaren negentig. Cruciaal daarbij was het cookie, een stukje software dat dertig jaar geleden is bedacht. Dit artikel vertelt hoe dat is gegaan. En waarom vrijwel iedereen cookies haat, maar ook niet zonder kan.
Standaarden
Holtman genoot van het contact met gelijkgestemden. Hij mocht zes jaar over zijn studie doen en dat gaf alle tijd voor de mailinglists met geestverwanten. „Ik zag: dit gaat echt iets worden. En ik kan eraan bijdragen.”
Hij werd actief binnen de Internet Engineering Task Force (IETF), een online gemeenschap waarin na discussie consensus werd bereikt over de technische standaarden voor het snel veranderende ‘world wide web’, dat vanaf begin jaren negentig bovenop de bestaande internetinfrastructuur werd gebouwd. Als de deskundigen binnen het IETF het eens waren geworden, werd hun besluit de wereldwijde norm waarnaar vrijwel iedereen zich vanzelfsprekend voegde. Zo kwam het dat in deze virtuele wereld, het ‘web’, overal min of meer dezelfde technische taal werd gebruikt.
Waarom vrijwel iedereen cookies haat, maar ook niet zonder kan
De groep echte actievelingen die zich bemoeiden met deze standaardisering, was beperkt tot een man of vijftien. Bijna allemaal Amerikanen, want in de VS gingen de innovaties het snelst. Op de mailinglists over standaarden stonden mensen als Tim Berners-Lee, de bedenker van het web, en Marc Andreessen, medegrondlegger van de browsers Mosaic en Netscape Navigator. Andreessen is tegenwoordig een belangrijke donateur van Trump.
Andreessen en Berners-Lee zou je nu ‘internetpioniers’ noemen. Net als Holtman, toen een van de weinige Europeanen in de groep. Hij is in Eindhoven gebleven en werkte tot drie jaar geleden voor Philips. In 1994 maakte hij een van de eerste ‘wiki’s’, waarbij verschillende mensen bijdragen aan iets wat op het web wordt gebouwd.
Geheugen ontbreekt
Zijn er tegenwoordig 5,5 miljard internetgebruikers, begin jaren negentig telde de wereld er zo’n 30 miljoen. Voor bedrijven was het niet zo interessant. Je kon er wellicht het telefoonnummer van een winkel vinden, maar niet online bestellen. Op links klikken bestond niet. Om te navigeren moest je tekstcommando’s invoeren. Iedereen op de lijst was het erover eens dat het internet gebruikersvriendelijker moest worden.
Een van de problemen waar ze met elkaar over mailden, was het gebrek aan ‘geheugen’ van het internet. Je kon informatie online zetten, versturen en ontvangen. Maar je kon geen ‘gesprek’ hebben met een browser, want die onthield niets. Iedere stap online was een nieuw informatieverzoek.
Zo was het niet mogelijk met een druk op een pijltje terug te gaan naar een vorige pagina. Of ingelogd te blijven. Iets te bewaren in een ‘boodschappenmandje’. Daar had bijvoorbeeld de eerste werknemer van online boekhandel Amazon ernstig behoefte aan. Deze door Jeff Bezos ingehuurde programmeur zat ook in de mailinggroep.
Je kon informatie online zetten, versturen en ontvangen. Maar je kon geen ‘gesprek’ hebben met een browser, want die onthield niets
In juni 1994 bedacht Lou Montulli, een fanatieke medewerker van de toen populaire browser Netscape Navigator, daar een oplossing voor. Hij voegde die ook gelijk toe aan Netscape. Hij noemde het zelf een cookie. Door aan het begin van een online sessie een bestandje op te laten slaan in je browser, kan de website die je bezoekt je herkennen. Daardoor hoef je niet elke keer opnieuw kennis te maken, en kan jouw browser als het ware converseren met de server aan de andere kant.
Glazen koektrommel
Montulli deelde zijn vondst pas een paar maanden later op de mailinglist. Daar kreeg hij aanvankelijk vooral respect. Als je hem tegenwoordig googelt, zie je vaak een slanke verzorgde man met een glazen koektrommel in zijn handen. Het stukje software is aan hem blijven kleven en hij is er trots op. Het is alsof het internet vóór de cookies ‘alzheimer’ had, zegt hij in interviews.
„Diverse mensen krabden zich intussen achter de oren”, vertelt Holtman. Ook hijzelf. „Want zoals Lou het verzonnen had, zouden die ‘sessies’ met een browser eigenlijk eeuwigdurend worden. Uit privacy-overwegingen vrij vreselijk.”
Het cookiebestandje dat het mogelijk maakt je te herkennen, zou namelijk niet alleen die specifieke online sessie beïnvloeden. Een volgende website kon de informatie ook uitlezen. En een volgende. En een volgende. Het geheugen was geen privéaangelegenheid, maar een online spoor in die nieuwe virtuele wereld. „Het werd nog veel gevaarlijker als je ook je naam nog invulde en het cookie daaraan gelinkt kon worden.” Opeens kon je over de schouder kijken van een herkenbaar persoon en informatie over diens gedrag verzamelen, zonder naast hem te staan.
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2024/10/11102212/web-1210ZATECO_cookie_cover.jpg)
Dat strookte niet met de etiquette, volgens de meeste internetpioniers. De ongeschreven regel, of zoals Holtman het noemt ‘het sociaal contract’, was dat niemand hoefde te weten wie je was als je een pagina alleen bezocht om die te lezen of iets te downloaden. Iemand tracken om die een extra feature te kunnen bieden, zoals een boodschappenmandje, was toegestaan. Maar tracken „omdat je zo graag heel veel afweet van mensen”, dat dus niet.
Het gesprek daarover raakt aan zijn diepste overtuigingen. „Je hoeft niet alles wat technisch mogelijk is ook automatisch te doen.”
Privacybewuste Europeaan
Dat dit essentiële uitgangspunt nu opnieuw wordt bedreigd, was mede reden om vijf jaar geleden zijn baan bij Philips op te geven en mee te gaan schrijven aan Europese regels voor het gebruik van kunstmatige intelligentie, de specificaties voor de AI Act. Net als dertig jaar geleden met de cookies zijn de belangen die daarmee gemoeid zijn groot.
Holtman zwengelde op de HTTP-mailinglist in die jaren negentig de discussie aan over privacy en hoe cookies konden worden gebruikt zónder de negatieve effecten. Daar waren ideeën over. Je zou browsers zo kunnen inrichten dat ze alleen die ene website zouden tracken, en niet meteen allemaal andere sites. De Internet Engineering Task Force kreeg een aparte werkgroep over cookies en privacy. Het leverde hem daar een reputatie op van privacybewuste Europeaan, tussen de commerciëlere Amerikanen.
Intussen werd Netscape, dat met het cookiesysteem van Lou Montulli veel lekkerder werkte, in razend tempo de populairste browser van de wereld. Later werd die overigens uit de markt gedrukt door Microsoft, door de koppelverkoop van zijn browser met het besturingssysteem Windows.
We krabden ons wel achter de oren. Die ‘sessies’ met een browser zouden eigenlijk eeuwigdurend worden. Uit privacy-overwegingen vrij vreselijk.
Het wereldwijde web werd gebruiksvriendelijker. Steeds meer mensen kregen toegang, via internetserviceproviders als AOL en XS4all, en via de kabel. En met het wereldwijde web ontstond een wereldwijde markt, zonder de hinderlijke landsgrenzen uit de fysieke wereld.
Gouden eieren
Ruim vier maanden na de uitvinding van het cookie werd op 27 oktober 1994 de eerste online banner-advertentie geplaatst. „Have you ever clicked your mouse right here?” stond er tegen een zwarte achtergrond, met een pijl naar de woorden „You Will”. Wie klikte kwam bij een lijst met aanbevolen musea. Met advertenties op websites kon je dus mensen op ideeën brengen voor activiteiten of aanschaffen. Internet was niet langer louter een communicatiesysteem voor militairen en academici, maar bovenal een enorme zakelijke kans.
Cookies maakten van die banner een kip met gouden eieren. Dankzij cookies kwamen makers van websites en webwinkels te weten wie hun bezoekers waren. Informatie over potentiële klanten maakte het mogelijk gerichter te adverteren. Een nieuwe markt ontstond; bedrijven konden elkaar de gebruikersdata verkopen die ze dankzij cookies verzamelden.
Hoe werken cookies?
Die nieuwe, commerciëlere realiteit was te merken binnen de cookie-werkgroep. De gesprekken liepen stroef. Technische dialogen werden onderhandelingen. Veel deelnemers werkten voor bedrijven. De standaardendiscussie ging daardoor niet alleen meer over wat het beste was voor het internet en de maatschappij, maar ook over wat het beste was voor hun werkgever. En af en toe viel het helemaal stil op de mailinglist.
Betaalbaar internet
Een belangrijk strijdpunt was het standaard uitzetten van third-party cookies, bestandjes van andere partijen. Die planten ze via de website die je bezoekt in je browser, zodat ze je online kunnen volgen en gegevens over je verzamelen. Het cookie had de kiem gelegd voor onlinedatahandel – inmiddels een miljardenindustrie. Google, al jaren wereldheerser in die handel, is in 1998 opgericht.
Het belangrijkste argument dat bedrijven aanvoerden voor cookies, was dat ze het internet met advertenties en datahandel betaalbaar hielden voor ‘de gewone man’. „Hoeveel privacy die gewone man overhield, was op dat moment een minder belangrijke vraag”, vertelt Holtman.
Het duurde tot 2000 tot de stemmingen in de IETF-werkgroep waren afgerond en er een nieuwe standaard lag. Die raadde makers van webbrowsers aan het volgen van hun gebruikers over het hele web niet mogelijk te maken, en de third-party cookies waarmee dat kon niet te ondersteunen. Holtman: „Dat advies werd door de browsermakers totaal genegeerd.” Dat kon gewoon, want het comité van techneuten had geen macht om iets af te dwingen.
Holtman zoekt naar woorden om de dynamiek tussen mensen op de mailinglists te omschrijven. Daar zaten door elkaar uitvinders, zakenmensen en wetgevers. Fanatieke vrijwilligers ook, die een liefde voor technologie deelden. Geen centraal comité waaraan je toestemming vroeg voor je iets deed, omschrijft hij de groep. „We hadden geen macht en we wilden ook helemaal niet handhaven.” Daar waren, ook in de virtuele wereld, wetten en overheid voor.
„Rond die tijd verwachtte ik nog dat de Nederlandse overheid het bestaande Nederlandse privacyrecht zou gaan afdwingen”, zegt Holtman over de handhaving. „Bijvoorbeeld als Amerikaanse bedrijven op het internet de privacyrechten van Nederlandse burgers zouden gaan schenden.”
Zo ging het niet. Wetgevers en toezichthouders lieten zich overrompelen door de nieuwe realiteit. Acht jaar na de uitvinding van het cookie, in 2002, nam de EU de ePrivacy Directive aan, een Europese richtlijn voor privacy in het digitale tijdperk.
Deze richtlijn werd in 2009 geactualiseerd. Van een richtlijn moeten lidstaten een vertaling maken in hun eigen nationale wetten. In Nederland werd dat de ‘cookiewet’ uit 2011. Daarin staat dat je niet ongevraagd een bestandje (zoals een cookie) bij iemand in de browser mag plaatsen.
Weigerbutton
Kees Verhoeven zat in die tijd namens D66 in de Tweede Kamer. Tegenwoordig is hij zelfstandig consultant digitale zaken en geeft veel lezingen. „In elk zaaltje waar ik kom, wordt er wel een grap over gemaakt of aan gerefereerd: dat het aan Verhoeven te danken is dat we die irritante banners hebben. Met een knipoog zeg ik dan: een van de pareltjes van mijn carrière.”
Bedrijven maakten pop-ups om internetgebruikers toestemming te vragen voor plaatsing van cookies. De tekst was in de regel lang en onbegrijpelijk geformuleerd. De knop voor toestemming was vaak een stuk groter en zichtbaarder dan de verstopte weigerbutton.
Aanvankelijk was toestemming voor élk cookie nodig, ook als dat alleen werd gebruikt om bezoekers van een site te tellen. Om consumenten niet onnodig lastig te vallen, werd de wet in Nederland op aandringen van bedrijven al vrij snel genuanceerd. Niet elk cookie behoefde expliciete toestemming, maar cookies die je gegevens gebruiken voor datahandel en marketing wel.
De uitdijende lijsten bedrijfsnamen in de pop-ups maakten de achterliggende belangen heel visueel en statistisch. ‘Wilt u deze 518 bedrijven toestemming geven u te volgen en aan uw data te verdienen?’ Een klassiek pesterijtje daarbij is dat een weigering van cookies vrijwel nooit onthouden wordt. Toestemming wel. Ook wordt de schijn gewekt dat een website niet werkt zonder die extra cookies, maar dat klopt niet. Wie alleen functionele cookies aanvaardt, krijgt heus een werkende site voor zich.
Consumenten gingen daardoor al snel lijden aan wat beleidsmakers en academici cookie fatigue noemen, een term die inmiddels zo is ingeburgerd dat hij terugkomt in Brusselse beleidsdocumenten. Het is misschien nog het best te vertalen met ‘onverschilligheid doordat je ergens mee doodgegooid bent’.
Wie alleen functionele cookies aanvaardt, krijgt heus een werkende site voor zich
„Met de kennis nu: we hadden een aantal aspecten niet goed doorzien en onderschat”, zegt Verhoeven. „De praktijk is een woud aan zinloze banners die voor 95 procent gedachteloos worden weggeklikt. En dat is jammer. Zo hebben we bijna het tegenovergestelde bereikt van wat we wilden. Want je wilt dat mensen erover nadenken.”
Het zou goed zijn de cookieregelgeving te herzien, zegt Verhoeven. Maar de kans daarop acht hij klein. „Iedereen vindt het wel irritant. Maar voor de politiek is het een te klein en te technisch dingetje. Dat is de tragiek van dit dossier.”
Een markt van 600 miljard
In 2016 haalde de markt voor online adverteren die van tv-advertenties in omvang in. De omzet in de online advertentiebranche groeit dit jaar naar verwachting naar 600 miljard euro. Toch is het een misvatting te denken dat het bedrijfsleven dolblij is met de cookiepraktijk, zegt Tim Geenen, sinds 2007 actief in online advertentie- en tracking. Hij heeft een eigen advertentiebedrijf.
Mensen moeten volgens hem niet onderschatten hoe complex het is een cookie pop-up te maken die precies op het juiste moment verschijnt, in de milliseconden waarin een bezoeker al wél naar de pagina is gegaan, maar nog geen inhoud en advertenties getoond krijgt.
Iedereen vindt het wel irritant. Maar voor de politiek is het een te klein en te technisch dingetje. Dat is de tragiek van dit dossier
De échte vraag wordt intussen onvoldoende gesteld en beantwoord. Namelijk: „Vinden mensen het erg als data over hen wordt verzameld.” Het antwoord daarop is volgens hem ‘nee’.
Bedrijven worstelen volgens Geenen met regulering die een rommeltje is, De oorspronkelijke cookiewet was ‘totaal onwerkbaar’. En ook nu nog hebben alle toezichthouders in Europa andere prioriteiten en leggen zij de Europese e-privacyrichtlijn en de latere privacywet (2018) verschillend uit. In Nederland is cookietoezicht verdeeld over de Autoriteit Persoonsgegevens (AP) en de Autoriteit Consument en Markt. Ze hebben afgesproken dat ‘het zwaartepunt’ bij de AP ligt.
Bij de AP herkennen ze wat Geenen zegt over de verschillen binnen Europa. Zo vindt deze toezichthouder dat de knoppen voor weigeren en toestemmen even groot en zichtbaar zouden moeten zijn. Daar denken ze in bijvoorbeeld Italië en Spanje anders over. De filosofie daarachter: als je alleen toestemming kunt geven, is een weigerknop in principe overbodig.
Regels afdwingen
Budgetten, mankracht en macht van de toezichthouders hebben geen gelijke tred gehouden met de razendsnelle groei van internetbedrijven en datahandelaren. Multinationals als Google en Meta zijn in veel opzichten invloedrijker dan nationale overheden.
De Oostenrijker Max Schrems (1987) had als tiener in de jaren negentig wél grote behoefte aan privacy online. Wat hij daar uitspookte, hoefden zijn ouders niet te weten en hoeft hij nu ook nog niet aan de grote klok te hangen, zegt hij lachend. Schrems maakte er al vroeg een gewoonte van cookies uit zijn browser te verwijderen als hij zijn computer afsloot.
Maar hij was een uitzondering. Hij specialiseerde zich tijdens zijn studie – deels in de VS – in IT-recht en raakte gefrustreerd over het gebrek aan handhaving. Vooral grote Amerikaanse techbedrijven lapten en lappen de Europese regels over de omgang met persoonsgegevens aan hun laars.
Privacyschending beboet
Schrems besloot afdwingen van die regels via de rechter te proberen. Hij richtte de organisatie Non Of Your Business (NOYB) op en begon én won belangrijke rechtszaken. Die betroffen steeds de manier waarop persoonsgegevens van Europeanen in Amerika werden opgeslagen en verwerkt. Eén ervan, tegen Meta, het moederbedrijf van Facebook, leidde in 2023 tot 1,2 miljard euro boete voor het bedrijf. En ook afgelopen week nog boekte Schrems een belangrijke overwinning op Meta. Het Europees Hof van Justitie steunde hem in zijn aanklacht dat Meta niet ongelimiteerd aan profielen van mensen mag bouwen om ze gericht met advertenties te bestoken. Zoals het cookie symbool is geworden van privacyschending, is Schrems door dit soort zaken de afgelopen jaren hét gezicht geworden van de handhaving van privacyregels in Europa.
„Het is tot nu toe telkens de industrie geweest die de kaders van de discussie bepaalt”, zegt Schrems tijdens een video-interview. Hij doet een cookiebanner na: ‘We moeten jullie lastigvallen doordat die vreselijke wet er is.’ Bovendien leggen de bedrijven steeds de verantwoordelijkheid bij consumenten, vindt hij. Heeft die niet de tijd genomen om de voorwaarden te bekijken, dan is het zogenaamd eigen schuld dat er van alles met zijn gegevens gebeurt.
Mensen hebben dit intussen zo vaak in allerlei varianten gehoord dat het moeilijk is hen nog te bereiken met een ander narratief, merkt hij. Terwijl het uitgangspunt volgens Schrems moet zijn dat het onmogelijk is je grondrechten als mens op te geven. „Vervolgens kan je bekijken hoe de transactie van persoonsgegevens in ruil voor een dienst van een bedrijf netjes kan worden gedaan.”
Cultureel imperialisme
Koen Holtman is in de loop der jaren ‘cynischer’ geworden en spreekt van ‘onwil’ bij politici en toezichthouders in Europa om de grote Amerikaanse bedrijven aan te pakken. „Het is toch idioot dat je een jonge Oostenrijker nodig hebt om handhaving af te dwingen.”
De manier waarop tot op heden met gegevens van Europeanen is omgesprongen noemt Holtman een vorm van cultureel imperialisme. „Overheden lieten maar gebeuren dat het Amerikaanse bedrijfsleven Europanen als Amerikanen behandelde en hun net zo weinig rechten gaf als Amerikanen zelf.”
Inmiddels is hij een fractie optimistischer; in Europa lijkt de wil te groeien om privacywetten te handhaven. Daarbij draait het vooral om handhaving van de Europese privacywet uit 2018, de AVG. Daarin staat duidelijk dat privacy een grondrecht is, dat bedrijven niet zomaar mogen schenden.
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2024/10/11102837/web-1210ZATECO_cookie_staand3-1.jpg)
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2024/10/11102833/web-1210ZATECO_cookie_staand1-1.jpg)
:format(webp)/s3/static.nrc.nl/wp-content/uploads/2024/10/11102835/web-1210ZATECO_cookie_staand2-1.jpg)
Foto’s Ruchama van der Tas
Vooruitlopend op die AVG kwam de Europese tak van het IAB, het internationale verbond van online marketing- en advertentiebedrijven, met een gestroomlijnde en uniforme versie van de cookiebanner, om de privacyvoorkeuren van gebruikers vast te leggen. Dit transparancy and consent framework (TCF) moest voorkomen dat de AVG zou leiden tot nog langere teksten in cookiebanners en nog meer irritatie daarover bij consumenten en bedrijven.
Geenen was er, als bestuurslid van de IAB, actief bij betrokken. Het kostte grote moeite de bedrijven op één lijn te krijgen, vertelt hij, maar nu zijn ze er blij mee. Want de standaardisering van de infrastructuur achter cookiebanners heeft de veiling van gebruikersprofielen en daarmee de aankoop van advertentieruimte op internet ook stukken makkelijker gemaakt.
In februari 2022 oordeelde de Belgische Gegevensbeschermingsautoriteit echter dat internetgebruikers onvoldoende beschermd en geïnformeerd worden. Ze hebben niet door dat ze toestemming geven voor het talloze keren per dag verkopen van hun profielen. Het beroep in deze zaak loopt nog.
In deze en ook een aantal andere zaken draait het om een extra ‘schuifje’ dat de afgelopen jaren in veel cookiebanner-pop-ups verscheen. Geparafraseerd staat daar: Stemt u in met ons ‘gerechtvaardigd of legitiem belang’? Want privacy-inbreuken mogen niet van de AVG, ténzij er een duidelijk gerechtvaardigd belang is. En dat kan ook een bedrijfsbelang zijn, zoals geld verdienen.
Schrems en zijn organisatie strijden nu tegen de manier waarop dit ‘gerechtvaardigd belang’ wordt uitgelegd. Dat is doorgaans in het belang van bedrijven, niet van burgers. In de meeste banners staat standaard aangevinkt dat de consument het bedrijf toestemming geeft dat belang na te streven.
Frustratie
Op 20 juni 2024 vierde de Europese databeschermingswaakhond (EDPB) zijn twintigste verjaardag met een congres in Brussel. Het werd groots aangepakt, want privacybescherming geldt als Europese verworvenheid, zeker sinds de inwerkingtreding van de AVG. De paneldiscussies op het hoofdpodium gingen over de „rol van databescherming, de beperkingen, successen en de gemiste kansen”.
Het tien jaar oudere cookie, ongeveer tegelijk jarig, kreeg geen speciale aandacht. Misschien omdat er inmiddels zoveel meer manieren zijn om mensen online te volgen, onder meer verborgen in links die je deelt en de plaatjes die je aanklikt, onwetend dat ze je gegevens doorspelen. Misschien werd het cookie ook genegeerd omdat bij toezichthouders de frustratie overheerst. In hun ongelijke strijd met de aanbieders ervan dreigt dezelfde oververmoeidheid die consumenten ervaren.
Schending van de cookiewet is zó algemeen dat de regels bijna niet te handhaven zijn, gegeven de beperkte middelen en mankracht daarvoor. De Autoriteit Persoonsgegevens probeert bedrijven vooral met voorlichting en begeleiding de juiste kant op te dirigeren.
Midas Nouwens is strategisch adviseur van de AP en gepromoveerd op cookies en online tracking. Hij vat het samen als een probleem van „geld en macht”. De grootste spelers in de advertentiewereld zijn Google en Meta. Ze verdienen jaarlijks tientallen miljarden met gepersonaliseerde advertenties. Daar steekt de geste van staatssecretaris Digitalisering Alexandra van Huffelen bij haar afzwaaien mager tegen af. Ze gaf de Autoriteit Persoonsgegevens er een half miljoen euro per jaar bij, speciaal voor toezicht op cookies en online tracking. Daarmee is onder meer de uitleg over cookiebanners op de website van de AP verbeterd. In juli 2024 deelde de toezichthouder voor het eerst een boete uit voor het gebruik van trackingcookies zonder toestemming. Het bedrijf achter Kruidvat moet 600.000 euro betalen.
Schending van de cookiewet is zó algemeen dat de regels bijna niet te handhaven zijn, gegeven de beperkte middelen en mankracht daarvoor
Pogingen om de cookiebanner via nieuwe regels voor privacybescherming via de browsers overbodig te maken, zijn in Brussel gestrand. De Europese Commissie (EC) onderhandelt wel met de onlineadvertentiebranche over een vrijwillige ‘cookiegelofte’. Daarmee zouden bedrijven plechtig beloven consumenten niet te manipuleren en echt te laten kiezen voor of tegen online tracking met cookies.
De laatste notulen van dit overleg zijn uit januari 2024. Een woordvoerder laat desgevraagd weten dat het overleg stilligt. „De EC zal doorgaan met reflecteren op mogelijke maatregelen op dit terrein in de toekomst.”
