Koop geen ruimte voor reclame, koop klanten

Vandaag debatteert de Tweede Kamer over ‘cookies’, die tracken wat je online doet.

Werkt goed, zeggen de adverteerders. Je reinste spionage, zegt het CBP.

Hè? Dat paar schoenen had je gisteren gevonden in een webshop – vandaag kom je ze tegen op een compleet andere website. En het is wel heel toevallig dat er op Telegraaf.nl net een advertentie verschijnt voor een boek dat je laatst bij Bol.com bekeek.

Maar toeval bestaat niet – in ieder geval niet op internet.

Je sporen worden terwijl je surft ongemerkt vastgelegd in duizenden databases. En of je nou een autoliefhebber bent of iemand die een nieuwe koelkast zoekt, zulke persoonlijke interesses zijn geld waard. Zodra je een webpagina opent, worden je gegevens op de achtergrond verhandeld aan een adverteerder die op zoek is naar klanten als jij.

Het web hangt aan elkaar van cookies, tekstbestandjes die automatisch op je computer geplaatst worden. Cookies mogen niet je naam of (computer-)adres vastleggen maar toch weten ‘ze’ heel erg veel van je, demonstreert Koen Penders van Adversitement, een bedrijf dat gespecialiseerd is in webanalyse. Hij opent de website tvgids.nl – berucht vanwege het grote aantal cookies van advertentiebedrijven. Dat zijn de zogeheten third party cookies die nu on der vuur liggen. Met een speciale uitbreiding op webbrowser Firefox bekijkt hij de informatie die in de cookies bewaard wordt: „Kijk, hier staat dat ik vorige week een vlucht geboekt heb naar Thailand, tot en met de exacte vertrektijd aan toe. Daarom krijg ik op tvgids.nl een andere advertentie te zien dan iemand die die reis niet geboekt heeft.”

Het volgen van gebruikers is de economische motor van het web. Een goed gemikte advertentie is meer geld waard dan een willekeurige banner, omdat de ‘klikkans’ groter is. Via online behavioral targeting kun je bijna net zo nauwkeurig adverteren als bij een zoekmachine, die advertenties aanpast aan ingetypte zoektermen.

Ook Google ziet banners op maat als de snelst groeiende inkomstenbron. Maar Google kan de honderden miljoenen bezitters van een Google-account probleemloos volgen. Net als sociaal netwerk Facebook. Cookies plaatsen is voor deze Amerikaanse internetreuzen geen probleem: de gebruiker logt bewust en vrijwillig in, in ruil voor gratis diensten.

Gewone websites hebben vaak geen gebruikersprofielen die ze kunnen raadplegen. Ze maken daarom gebruik van advertentiebedrijven die internetters over verschillende sites volgen door middel van de omstreden third party cookies.

Weten wat je bezoeker eerder deed is waardevol, zegt Mendel Senf van het Amsterdams internetbedrijf Yield Division (YD). „Want als je weet dat iemand een eersteklas ticket voor het hele gezin boekt naar een verre bestemming, dan zal die persoon daar vermoedelijk eerder een BMW 5 Touring huren dan een cabriolet.” Daar wordt de advertentie op aangepast.

Uit de werkwijze van YD blijkt hoe complex het er aan de achterkant van de website aan toegaat.

De uitgever of websitebeheerder biedt ruimte aan een adverteerder. In het geval van online behavorial targeting wordt de advertentie ‘dynamisch’ ingevuld, op basis van het profiel van de bezoeker. De profielen worden geleverd door databedrijven, die hun gegevens op zoveel mogelijk plekken op internet verzamelen.

Zodra jij, de gebruiker, een website opent, start er een geautomatiseerde veiling (real time bidding) waarin je profiel in milliseconden verkocht wordt aan adverteerders. „De adverteerder koopt een gebruiker in plaats van advertentieruimte”, legt Senf uit. „Omdat het een veiling is kan de prijs variëren tussen de 50 cent en 2,50 euro – afhankelijk van de waarde van het profiel.” Het lijkt op de manier waarop Google zoekwoorden veilt, met jouw interesse als inzet.

YD koopt data op van internetters die een product of een soort producten bekeken. Deze gegevens komen direct van adverteerders, van externe dataleveranciers of prijsvergelijkingssites die zoekacties van hun gebruikers veilen. Wie zoekt naar een fototoestel, geldt als iemand met ‘acute koophonger’ waarop je ‘reclame kunt schieten’. Senf: „Het kan zijn dat er meerdere partijen geïnteresseerd zijn in een bepaald profiel en dan gaat de prijs omhoog.”

Daarnaast legt YD zelf profielen van gebruikers aan. Senf: „We plaatsen bijvoorbeeld een advertentie op Facebook of LinkedIn. Als je op zo’n advertentie klikt weten we in ieder geval of je man of vrouw bent en in welke leeftijdscategorie je hoort.” Een third party cookie op je pc houdt bij welke sites je daarna bezoekt en wat je daar bekijkt. De dataserver in New York beslaat inmiddels enkele terabytes, vol met persoonlijke interesses van miljoenen gebruikers.

Overigens proberen bonafide datahandelaren wel weg te blijven van ‘gevoelige’ onderwerpen. Zo voorkom je dat er opeens een onhandige advertentie verschijnt op het moment dat iemand anders je computer gebruikt. Adatus, een Nederlandse ‘real time data exchange’ die bezoekersprofielen levert, zegt geen gegevens te verzamelen van sites die iets kunnen verklappen over je gezondheid of seksuele of politieke voorkeur.

Nu kan een advertentie op maat ook door blijven zeuren. Als je bijvoorbeeld maandenlang advertenties van hetzelfde paar schoenen tegenkomt. Dat is een typisch gevalletje retargeting: de webwinkel in kwestie maakt deel uit van een advertentienetwerk dat de laatst bekeken artikelen – zoals die schoenen – weer voorschotelt in de hoop je terug te lokken naar de oorspronkelijke site.

Criteo is een van de grootste retargetingbedrijven en serveert 10 miljard advertenties per maand. Het Franse bedrijf heeft in Nederland zo’n 90 klanten, waaronder grote winkels als Kras Vakanties, Neckermann of Wehkamp.

Criteo koopt advertentieruimte in zodra een bezoeker op één van de aangesloten sites herkend wordt met een cookie. Niet alle consumenten zijn blij dat ze achtervolgd worden door advertenties. Om irritatie te voorkomen wordt een cookie uiterlijk na dertig dagen gewist en kan de consument de advertenties blokkeren. Piet-Hein Kerkhof, die de gloednieuwe Nederlandse Criteo-vestiging leidt: „De ervaring leert dat retargeting vooral in de eerste drie dagen werkt.”

Dit soort ‘performance marketing’ van Criteo werkt geraffineerd, legt hij uit: „Als je bij Hunkemöller 15 bikini’s bekijkt en bij Wehkamp nog eens drie, krijg je daarna toch een Hünkemöller-advertentie te zien. Want daar is de kans op succes het grootst.”

Om de gebruikers te volgen via het web maakt Criteo, net als alle advertentienetwerken, ook gebruik van third party cookies. Volgens Piet-Hein Kerkhof kan zo’n cookie echt geen kwaad. „We weten niet wie je bent of waar je woont, je bent alleen maar een nummer.”

Ondanks dit soort restricties vinden veel politici en privacyvoorvechters dat een gebruiker eerst toestemming moet geven voordat hij informatie met adverteerders of dataverzamelaars deelt. Het College Bescherming Persoonsgegevens (CBP) wil dat gebruikers ondubbelzinnig toestemming geven voor het delen van hun interesses – opt-in in vaktermen. Jacob Kohnstamm, voorzitter van het CPB: „Voor het gebruiken van mijn gegevens die niet absoluut noodzakelijk zijn voor de door mij gewenste dienstverlening, moet ik mijn ondubbelzinnige toestemming hebben gegeven. Anders is het pure spionage.”

De advertentiebedrijven vinden dat de opt-in methode internetten onmogelijk maakt door een onafgebroken reeks pop-ups: ‘Mogen wij uw gegevens gebruiken voor advertenties op maat?’ De branche lobbyt stevig om zichzelf te kunnen reguleren: wie naar youronlinechoices.eu/nl gaat, kan zich daar uitschrijven uit een aantal grote advertentienetwerken.

De online advertentiebranche vindt dat iedereen baat heeft bij gerichte reclames: de adverteerder maakt meer kans op een succesvolle advertentie, de uitgever kan meer geld vragen voor zijn advertentieruimte en de consument wordt niet lastiggevallen met onzinadvertenties. Bij het digitale tijdperk hoort de overgang van ‘push’ naar ‘pull’: jij bepaalt welke informatie je krijgt voorgeschoteld.

„Maar als je bepaalde aanbiedingen wel of niet krijgt, zonder dat je er invloed op kunt uitoefenen, beïnvloedt dat de keuzevrijheid”, zegt Kohnstamm van het CPB. „En als de industrie zo zeker weet dat die aanbiedingen zo fantastisch zijn, waarom vraag je dan niet eerst mijn toestemming?”

Kohnstamm waarschuwt bovendien voor de wildgroei aan bedrijven die je gegevens opslaan in databases in ruil voor gratis webdiensten. Het gevaar van deze databases is dat je ze kunt combineren. Zo kunnen profielen verrijkt worden met je naam en adres. Bijvoorbeeld als je een keer meedeed aan een prijsvraag of een klantenkaart van een winkel hebt.

Koen Penders van Adversitement: „Technisch gezien is alles mogelijk bij het koppelen van databases. Wij doen zeker niet alles, ook niet als een klant daarop aan zou dringen. Maar er zijn veel andere partijen die je gegevens kunnen analyseren. Je weet niet of bijvoorbeeld een Russische pokersite zich ook keurig aan de regels houdt. Berucht is het advertentiebedrijf Phorm, dat samen met een Britse provider het internetverkeer aftapte om te scannen op veelgebruikte keywords. Of creditcard-maatschappijen die het koopgedrag van klanten doorspelen aan advertentiebedrijven.”

„Het moet een keer goed fout gaan”, zegt Kohnstamm, „om mensen bewust te maken van de gegevens die ze delen zonder het te weten.” Bijvoorbeeld toen Google voor Streetview gegevens van wifi-netwerken bewaarde. Of de hack van het grote Sony PlayStation netwerk, waardoor gegevens van 78 miljoen gebruikers op straat lagen. Kohnstamm: „Ook al zeg je ‘ik heb niets te verbergen’: zodra je weet wat er over je bekend is, of wat er over je bekend kan worden, schrik je je te pletter.”

Lees op Opinie een ingezonden brief over de cookies, pagina 20

Third party cookie: tekstbestandje dat advertentiebedrijf automatisch op jouw computer plaatst en dat bijhoudt wat jij doet. Voorbeeld: computer 123 bekeek product 456.

Real time bidding: het veilen van jouw profiel (verkregen met een cookie) aan adverteerder, zodra jouw pc op een site komt. De hoogste bieder plaatst vervolgens een banner die jij op die site ziet.

Retargeting: een advertentie ‘achtervolgt’ jouw pc door diverse sites, omdat de bedrijven zijn aangesloten op hetzelfde netwerk dat jouw profiel heeft.

Opt-in: verschillende organisaties eisen dat je expliciet toestemming moet geven voordat een advertentiebedrijf een cookie mag plaatsen op jouw computer.