Interviewserie ‘Een kijkje in de keuken’: “Zonder toestemming geen tracking – cookieless technieken ontspringen de dans niet”

De ontwikkelingen rondom third-party cookies blijven de advertentiewereld bezighouden. Google zou ze bijvoorbeeld na jaren uitstel uitfaseren, maar heeft toch besloten om ze te behouden. De vraag naar privacyvriendelijke alternatieven blijft echter onverminderd groot. Maar hoe zit het eigenlijk juridisch gezien met cookieless technieken? Vallen data clean rooms, universal IDs en Google's Privacy Sandbox echt buiten de bestaande regelgeving? En hoe kunnen adverteerders zich hierop voorbereiden?

In de interviewserie “Een kijkje in de keuken” spreekt de VIA Taskforce Smart Targeting met verschillende experts die third-party cookies allemaal vanuit een andere invalshoek bekijken. Dit keer spreken ze met Laura Monhemius, Senior Legal Counsel bij ICTRecht, die ons meeneemt in de wet- en regelgeving en de impact op de advertentie-industrie. 

Google heeft de uitfasering van third-party cookies in Chrome nu van de baan geveegd. Wat was jouw eerste reactie? 
"Geen verrassing. Dit is al jaren aan de gang en steeds werden de deadlines vooruit geschoven. Wat je ziet, is dat veel bedrijven hierdoor denken dat de urgentie verdwenen is en dat ze rustig kunnen doorgaan met hun huidige trackingstrategieën. Maar dat is een misvatting. De juridische kaders blijven, ongeacht of third-party cookies nu blijven of niet. Adverteerders die wachten op een ‘makkelijke’ oplossing lopen het risico straks opnieuw verrast te worden door wetgeving en handhaving."

De kernvraag is dus niet óf toestemming nodig is, maar hóe je dit op een juridisch verantwoorde manier regelt. 

Wat zijn de belangrijkste juridische kaders waar cookieless tracking onder valt? 
"Veel mensen denken dat de ‘Cookiewet’ een aparte wet is, maar eigenlijk gaat het om artikel 11.7a van de Telecommunicatiewet. Dit artikel regelt dat voor technieken die informatie opslaan op- of uitlezen van een apparaat – zoals cookies, device-/browserfingerprinting en server-side tracking –toestemming nodig is. En daar zit de crux: cookieless betekent niet automatisch ‘juridisch vrij spel’. Zolang je toegang krijgt tot informatie op het apparaat van de gebruiker, blijf je binnen dit juridische kader vallen en is toestemming noodzakelijk."

Daarnaast geldt natuurlijk de AVG (of GDPR in het Engels), die bepaalt hoe bedrijven met persoonsgegevens moeten omgaan. Technieken als Google's Privacy Sandbox of data clean rooms vallen daar ook onder, omdat ze alsnog gegevens verwerken die naar individuen te herleiden kunnen zijn. De kernvraag is dus niet óf toestemming nodig is, maar hóe je dit op een juridisch verantwoorde manier regelt. 

De ePrivacy Verordening had meer duidelijkheid moeten scheppen, maar is nu ingetrokken. Wat betekent dat voor de industrie? 
"Het intrekken van de ePrivacy Verordening is een gemiste kans voor uniformiteit binnen de Europese Unie. Nu blijven de verschillen tussen lidstaten bestaan: in Nederland zijn er bijvoorbeeld uitzonderingen voor privacyvriendelijke analytische technieken, terwijl in Duitsland en Ierland elke vorm van tracking toestemming vereist. Dit zorgt voor een complex speelveld waarin adverteerders zich moeten bewegen.

Ondertussen zijn er wél andere wetten aangenomen die impact hebben op digitale marketing, zoals de Digital Markets Act (DMA), de Digital Services Act (DSA) en de AI Act. De DMA is vooral gericht op grote techbedrijven zoals Google en Meta, en beperkt hun macht over online advertising, terwijl de DSA online platforms verantwoordelijker maakt voor hun advertentiepraktijken. De AI Act schept tot slot regels voor risicobeheersing rondom AI-systemen. Dit betekent dat we ons niet alleen op cookies moeten focussen, maar breder moeten kijken naar de toekomst van regulering in het digitale domein."

Zolang er gegevens worden uitgelezen van een apparaat, valt het onder de Telecommunicatiewet.

Welke cookieless technieken brengen de meeste juridische risico’s met zich mee? 
"Er is een misvatting dat cookieless technieken per definitie privacyvriendelijk zijn. Neem bijvoorbeeld data clean rooms of Google's Privacy Sandbox: deze beloven een veiliger alternatief voor tracking, maar blijven afhankelijk van data-uitwisseling en identificatieprocessen. Omdat deze technieken informatie verzamelen en verwerken, vallen ze onder dezelfde juridische kaders als cookies. 
Ook server-side tracking, waarbij data via de server in plaats van de browser wordt verzameld, wordt soms als een grijs gebied gezien. Maar juridisch maakt het niet uit of de tracking aan de client-side of server-side gebeurt – zolang er gegevens worden uitgelezen van een apparaat, valt het onder de Telecommunicatiewet."

Hoe zit het met handhaving? Wordt er actief gecontroleerd? 
"Absoluut. In Nederland zien we dat de Autoriteit Persoonsgegevens (AP) steeds actiever handhaaft op cookieregels. Begin 2024 kreeg het moederbedrijf van Kruidvat bijvoorbeeld een boete van € 600.000 voor het niet vragen van toestemming voor trackingcookies. Coolblue werd later beboet, omdat vooraf aangevinkte vakjes voor trackingcookies niet als rechtsgeldige toestemming gelden.
Internationaal zijn de boetes nog hoger. De Franse toezichthouder heeft bijvoorbeeld Yahoo!, Criteo, Microsoft, Amazon en Google boetes van tientallen miljoenen euro’s opgelegd. Dit heeft er bijvoorbeeld toe geleid dat cookiebanners nu standaard een ‘Alles weigeren’-knop moeten bevatten. Het risico om betrapt te worden neemt toe en bedrijven die nog altijd gokken op ‘slimme’ work-arounds, kunnen rekenen op striktere controles."

Wat is jouw advies aan adverteerders die zich willen voorbereiden op de toekomst? 
Stop met zoeken naar de mazen in de wet. De richting van Europese wetgeving is duidelijk: meer transparantie, meer gebruikerscontrole en minder persoonsgerichte tracking. Bedrijven die hierin vooroplopen en privacyvriendelijke alternatieven omarmen, bouwen een duurzaam concurrentievoordeel op. 

Mijn belangrijkste adviezen: 

• Investeer in first-party data: Bouw sterke klantrelaties en bied meerwaarde, zodat gebruikers zich vrijwillig identificeren. 
• Wees transparant: Maak het voor consumenten duidelijk hoe hun data wordt gebruikt en respecteer hun keuzes zonder ‘dark patterns’. 
• Blijf op de hoogte van regelgeving: De DMA, DSA en AI Act zullen allemaal invloed hebben op digitale marketingstrategieën. 

De toekomst van digital advertising ligt niet in de loopholes, maar in het opbouwen van duurzame en ethische datamodellen. Wie nu anticipeert, zal daar op de lange termijn de vruchten van plukken.