Google noemt het zelf in omfloerste marketingtermen 'een bloeiend web-ecosysteem dat respectvol voor gebruikers en standaard privé is', maar de eerste blogpost over Privacy Sandbox geeft onmiddellijk aan waar dat nieuwe project écht om draait: advertenties. Privacy Sandbox is een nieuw initiatief van Google waarover op dit moment nog veel onduidelijk is, maar dat wel grote impact kan hebben en zelfs al heeft op hoe adverteerders gebruikers straks kunnen tracken over het internet. Er wordt achter de schermen al aan gewerkt, want binnen een jaar moeten thirdpartycookies in Chrome niet meer bestaan. We doken wat dieper in de termen en de api's om te zien wat dat betekent.
Privacy Sandbox bestaat niet uit één technologie of bijvoorbeeld een sdk, maar uit verschillende manieren om verschillende soorten tracking tegen te gaan. Dat gebeurt met api's, waarvan er een bedoeld is om trackingcookies te vervangen, en een andere om fingerprinting tegen te gaan. Met die verschillende api's worden advertenties niet uitgefaseerd, maar moet het mogelijk zijn om op een privacyvriendelijke manier hetzelfde doel te bereiken als tracking nu doet.
Dat is een lastige klus, en een waar adverteerders die nu volop profiteren van tracking huiverig voor zijn. En terecht: Google introduceerde Privacy Sandbox in augustus 2019 en wil thirdpartytracking 'binnen twee jaar' uit Chrome verwijderen. Dat betekent dat adverteerders nog ongeveer een jaar hebben zich voor te bereiden op Privacy Sandbox. Maar tegelijkertijd is dat wel lastig, want over de werking en de effecten van Privacy Sandbox is nog niet zo heel veel bekend.
Wat is Privacy Sandbox?
Privacy Sandbox is een collectie van api's die tracking moeten vervangen
Privacy Sandbox bestaat niet uit één technologie of bijvoorbeeld een sdk, maar het is een algemeen concept met verschillende ideeën waarmee Google ruwweg drie doelen wil bereiken: allereerst het uitfaseren van thirdpartycookies. Daarnaast een alternatief vinden voor functionele trackingcookies, die gebruikt worden voor bijvoorbeeld denial-of-servicebescherming of single-sign on. En tot slot het opzetten van alternatieve methoden zodat adverteerders toch relevante advertenties kunnen blijven tonen aan mensen. Dat laatste is uiteraard de crux - het moet een win-winsituatie opleveren waarbij adverteerders hetzelfde einddoel behalen terwijl Google de poortwachter blijft van de manier waarop dat gebeurt.
Cohorten en api's
In plaats van gebruikers te profileren met trackingcookies voor het tonen van relevante advertenties, zoals dat nu gebeurt, wil Google gebruikers op gaan delen in cohorten op basis van gebruikersdata die Google lokaal in de browser verzamelt. Gebruikers krijgen waarden toegekend, op basis van onder andere hun interesses, die hen indeelt in een bepaald cohort, bijvoorbeeld een cohort met 'gebruikers die van plan zijn binnen een jaar een telefoon te kopen en waarschijnlijk een Samsung'. Die cohorten bestaan volgens Google uit 'enkele duizenden gebruikers'.
Hoe dat precies werkt is nog grotendeels onduidelijk; het project zit nog in een vroege fase, maar ook het geheim van de smid speelt mee. In ieder geval wordt er gebruik gemaakt van k-anonimiteit, een principe binnen de cryptografie waarbij individuele gebruikersgegevens op een grote hoop worden gegooid. Het is daarmee mogelijk een specifiek resultaat te vinden dat niet herleidbaar is naar een individuele gebruiker. Dat maakt het privacyvriendelijker, zegt Google. Wel moeten gebruikers in ieder geval tijdens de testfase ingelogd zijn met hun Google-account, en werkt de verzameling bijvoorbeeld niet in incognitomodus.
/i/2004260694.png?f=imagenormal)
Google werkt aan verschillende tools en api's voor Privacy Sandbox om de eerdergenoemde drie doelen te behalen. Voor het tegengaan van cross-site-tracking heeft het bijvoorbeeld een methode ontwikkeld die spam en denial-of-service-aanvallen tegengaat, zogeheten Trust Token api's. En voor het personaliseren van advertenties werkt het aan Federated Learning of Cohorts en Two Uncorrelated Requests, Then Locally-Executed Decision On Victory - afgekort tot Turtledove. Ook werkt Google aan een nieuwe standaard voor inloggen, die SAML of OAuth moet vervangen. Privacy Sandbox gaat daarmee verder dan alleen het weren van cookies; het wil alle vormen van tracking weren waarmee adverteerders data kunnen verzamelen, dus ook logins en DoS-bescherming.
Uiteindelijk wordt daarmee Privacy Sandbox een verzameling van api's met veel verschillende doelen, die adverteerders kunnen gebruiken om bepaalde cohorten te bereiken. Een adverteerder die bijvoorbeeld banners wil laten zien aan gebruikers die een Samsung kopen én waarvan de kans groot is dat ze tot een aankoop overgaan kan daar twee aparte api's voor aanspreken. Zo ziet die verzameling van api's eruit, opgedeeld per doel:
| Functionaliteit vervangen | |
| Spam tegengaan | Trust Token api |
| Conversiemetingen | Click Through Conversion Measurement Event-level api Aggregated Reporting api |
| Gerichte advertenties | Federated Learning of Cohorts (FLoC) Two Uncorrelated Requests, Then Locally-Executed Decision On Victory (Turtledove) |
| Thirdpartycookies verwijderen | |
| Firstpartysets maken | |
| Cookies verwijderen | |
| Omzeiling tegengaan | |
| Fingerprinting voorkomen | Privacy Budget-api Client-side taalselectie en useragent-string blokkeren Apparatensensoren en accuniveau blokkeren Ip-adressen blokkeren |
| Cache-inspectie | Http-cache partitioneren DNS Cache |
| Netwerk-tracking | Dns-over-https Overstap naar meer tls |
FLoC en Turtledove
De meeste Privacy Sandbox-voorstellen zijn nog in vroege staat van ontwikkeling en van die api's is dan ook nog niet veel bekend over hoe zij gaan werken. Toch zijn er wel al een paar voorstellen die concreet vorm beginnen te krijgen. De meest recente voorstellen zijn Federated Learning of Cohorts, of FLoC, en Turtledove, die we al eerder noemden. Die twee voorstellen regelen gelijk ook de belangrijkste delen van online advertenties, namelijk het soort advertenties dat er verschijnt en wie die advertenties te zien krijgen.
Google onderscheidt in Privacy Sandbox drie manieren om advertenties te tonen. De laaghangende vruchten zijn advertenties op basis van onderwerp: bij een zoekopdracht naar smartphones verschijnen advertenties voor Samsung Galaxy-telefoons. Daarnaast zijn er advertenties op basis van een advertentieprofiel; iemand die hoogopgeleid is en een voorliefde voor technologie heeft, bijvoorbeeld. Tot slot zijn er advertenties gebaseerd op wat in de advertentiewereld de funnel heet. Dat is hoe waarschijnlijk het is dat iemand overgaat tot een aankoop, op basis van het gedrag van een gebruiker. Als je weet dat iemand al Samsung-producten in huis heeft, is de kans bijvoorbeeld groot dat deze persoon vatbaar is voor een Samsung-advertentie.
FLoC
Voor die tweede, advertenties op basis van een profiel, is het nu nog nodig om informatie te verzamelen over een persoon en dat gebeurt nog veel op basis van thirdpartycookies. Daarvoor is FLoC bedoeld. FLoC is het verst uitgewerkt van alle voorstellen. Het eerste concept is al inmiddels meer dan een jaar oud. FLoC is een api die gebruikers opdeelt in die eerder genoemde cohorten. Daarvoor gebruikt het 'machine learning' binnen de browser.
Chrome analyseert lokaal welke websites een gebruiker bezoekt en gebruikt vervolgens een SimHash-algoritme om die data te vergelijken met die van andere Chrome-gebruikers die dezelfde soorten websites bezoeken. Zo worden groepen samengesteld met dezelfde interesses, waar adverteerders specifiek op kunnen targeten, zonder dat informatie over het gedrag van individuele gebruikers met de adverteerder wordt gedeeld. Daarbij worden bepaalde websites niet meegenomen, zoals gokwebsites of sites met medische informatie. Porno staat verder niet in de lijst met restrictieve websites.
Turtledove
Turtledove is bedoeld voor die derde manier om advertenties te tonen, funnel. Turtledove staat voor Two Uncorrelated Requests, Then Locally Executed Decision On Victory. Het is een lastige naam voor een simpel concept: gebruikers waarvan de adverteerder denkt dat ze interesse hebben in een bepaalde advertentie. Dat kan iets verder gaan dan FLoC, bijvoorbeeld 'gebruikers die een Samsung willen kopen', maar ook 'gebruikers die nu een Samsung Galaxy hebben en het nieuwe model willen kopen'. In tegenstelling tot FLoC wordt die data niet gebaseerd op welke sites een gebruiker allemaal bezoekt, maar welke specifieke websites hij bezoekt en wat hij daar doet, zoals een telefoon in een mandje stoppen of een prijsvergelijker gebruiken. Turtledove is op dit moment nog niet praktisch in gebruik, maar Google wil er wel al mee gaan testen onder de naam Fledge.
/i/2004260698.png?f=imagegallery)
Antitrackingmethodes
Adverteerders kunnen er een handje van hebben om antitracking te omzeilen. Daar is Google ook bang voor, en daarvoor heeft het ook een aantal dingen ingebouwd in Privacy Sandbox waarmee die omzeiling moeilijk wordt. Fingerprinting is bijvoorbeeld een voor de hand liggende methode. Met fingerprinting kan een adverteerder een gebruiker volgen op basis van een aantal kenmerken van zijn computer, zoals de schermgrootte, de browserversie, besturingssysteem en systeemtaal. Die kenmerken samen zorgen voor een unieke 'vingerafdruk', die adverteerders online kunnen volgen, waarmee ze alsnog een advertentieprofiel kunnen maken van gebruikers als cookietracking niet kan.
Daartegen krijgt Privacy Sandbox een zogeheten Privacy Budget. Privacy Budget is een manier om het aantal kenmerken dat een site kan verzamelen over een gebruiker te beperken om zo fingerprinting tegen te gaan. Een site krijgt een 'budget'; als dat budget overschreden wordt omdat de site méér data wil verzamelen, wordt er lege data naar de site gestuurd waar de adverteerder niks meer mee kan.
Privacy Budget, FloC, Turtledove en de andere api's staan niet op zichzelf. Privacy Budget wordt bijvoorbeeld in combinatie met FLoC ingezet, schrijft Google. Het bedrijf stelt namelijk dat het ondanks die k-anonimiteit in sommige gevallen best mogelijk is een gebruiker nog individueel te volgen. Met genoeg data is een persoon best te achterhalen en daarom wordt de Privacy Budget-api ingezet. Google gebruikt dat 'om de maximale tolerantie voor het onthullen van informatie over iedere gebruiker vast te leggen'. Kort gezegd, een adverteerder kan maar zoveel data uit FLoC of Turtledove of een van de andere api's halen voordat Google daar een stokje voor steekt. Er worden dan uitzonderingen gemaakt voor sommige zaken zoals videoconferenties of '3D-games die nooit binnen een redelijk privacybudget blijven'. Google noemt ook nog andere opties die moeten voorkomen dat adverteerders de anticookiemaatregelen negeren, zoals dns-over-https voor het tegengaan van dns-tracking.
Shift richting privacy
Privacy Sandbox heeft de discussie rondom trackingcookies zeker op stoom gebracht, maar die loopt natuurlijk al langer. Dat zeggen ook adverteerders zelf. "Je moet bedenken dat Google niet de eerste is die hiermee komt", zegt Henriette van Swinderen van bvA, de belangenvereniging voor adverteerders. "Apple blokkeerde trackers bijvoorbeeld ook al in Safari." Ook Matthias de Bruyne van DDMA, de brancheorganisatie voor data en marketing, zegt dat Privacy Sandbox van Google niet plotseling is opgedoken. Hij verwijst ook naar Apple, maar ziet wel grote verschillen. "Apple sloeg deze weg al een paar jaar geleden in: 'Koop onze hardware, dan ben je goed beschermd', zeiden ze tegen kopers. Google doet dat recent ook."
Volgens De Bruyne zit er wel een fundamenteel verschil in de aanpak van de twee bedrijven "Google is zelf ook een grote speler in de advertentiewereld, Apple niet." Dat betekent volgens hem ook dat het einddoel heel anders is. "Google zal ervoor willen zorgen dat straks het eindresultaat hetzelfde is. Een gebruiker moet de juiste advertentie te zien krijgen."
Naast Google en Apple is ook Mozilla met Firefox bezig om advertenties, trackers en andere volgmethodes te blokkeren. Technologische obstakels zijn echter niet de enige reden waarom adverteerders nu naar andere methodes moeten kijken. Ook wetgeving speelt een rol, zegt Van Swinderen van bvA. "Zowel in Europa als in de VS en in Azië treden wetgevers steeds strenger op tegen privacyinbreuk. Er wordt nu bijvoorbeeld gewerkt aan de e-privacyverordening, maar ook aan de Digital Markets Act en de Digital Services Act. Techbedrijven lopen daarop vooruit. En uiteindelijk is dat allemaal ingegeven door een maatschappelijke acceptatie van privacy op internet. Je ziet het vertrouwen afnemen rondom bedrijven die alles volgen en vastleggen. Als dat de overhand krijgt, kunnen techplatformen ook wel inpakken. Die spelen daarom dus in op een maatschappelijke behoefte."
/i/2004260700.png?f=imagenormal)
Effecten
Google erkent dat niet-gericht adverteren lastig is. Het is geen wereldschokkende ontdekking - het is immers die personalisatie waar het zo groot mee is geworden. In de eerste blogpost waarin het bedrijf Privacy Sandbox aankondigde, haalde Google een eigen onderzoek aan naar de effecten van het stoppen met tracking. De prognose stemde somber. Het effect van het uitschakelen van zulke cookies zou tot een gemiddelde inkomstendaling van 52 procent kunnen leiden. Het idee achter Privacy Sandbox is dan ook vooral dat adverteerders, waaronder adverteerders van het bedrijf zelf, er niet onder moeten lijden. Het is de vraag of dat kan. Google zegt, ook niet wereldschokkend, van wel.
FLoC is een van de api's waarmee ook daadwerkelijk wordt geëxperimenteerd. De eerste resultaten ervan kwamen in januari naar buiten. Een ongekend succes, volgens Google. "FLoC kan een effectieve vervanging van thirdpartycookies zijn", schreef het bedrijf. "Adverteerders kunnen 95 procent van de conversies per uitgegeven dollar zien ten opzichte van cookiegericht adverteren."
Een belangrijke kanttekening is wel dat dat alleen de resultaten van Google zelf zijn. FLoC wordt pas ergens in het voorjaar van 2021 vrijgegeven voor praktische tests. Google heeft wel whitepapers online staan waarmee het voor adverteerders mogelijk is al te experimenteren met cookievrije advertenties, maar dat zijn simulaties waar moeilijk conclusies aan te verbinden zijn. De advertentie-industrie weet dan ook nog niet wat de resultaten ervan zijn. "Dat moet zich nog allemaal bewijzen; het zal erg de vraag zijn", zegt de Bruyne. Ook Van Swinderen ziet zorgen bij aangesloten bedrijven, vooral op de korte termijn. "Het is onduidelijk wat de effecten precies zijn." Wel zijn er volgens haar alternatieve oplossingen in de maak, zoals het afstemmen van reclameboodschappen op de context waar advertenties verschijnen. De Ster stopte begin vorig jaar met trackingcookies en ging over op 'contextueel adverteren' - heel simpel, een autoreclame bij een item over de Formule 1. Dat blijkt succesvol, al is die optie inmiddels niet meer beschikbaar sinds de minister online reclames bij de Ster helemaal afschafte. "De Ster heeft laten zien dat ze de effectiviteit van trackingcookies konden evenaren. Dat biedt veel adverteerders wel hoop. Op de korte termijn zijn er zorgen over disruptie, maar op de lange termijn herstelt zich dat wel", zegt Van Swinderen.
Geen paniek
De advertentie-industrie ziet initiatieven zoals Privacy Sandbox steeds meer als kans om vertrouwen terug te winnen
De brancheorganisaties zien dus nog geen grote paniek onder leden. Adverteerders zijn niet in rep en roer over het wegvallen van alle trackingmogelijkheden, maar wel heerst er onzekerheid. "Het verschil is dat adverteerders vroeger zelf data konden verzamelen", zegt De Bruyne. "Je had dan data waarmee je veel wist over je klanten, zoals waar ze in het koopproces zaten. Dat is het fundamentele verschil, Google zegt straks 'wij weten het niet, je browser wel'. Als adverteerder moet je erop vertrouwen dat dat algoritme van Google klopt, terwijl je vroeger meer zelf aan het stuur zat."
Dat hoeft niet per se een probleem te zijn voor de branche, denkt hij. "Data verzamelen is voor een adverteerder geen doel op zich. Die wil weten of zijn advertentie bij de juiste persoon terechtkomt en hoeveel dat kost." Sterker nog, De Bruyne ziet zelfs dat er veel kansen liggen voor adverteerders. "Ze zouden juist blij moeten zijn met deze ontwikkeling. Oké, er valt nu een techniek weg om mensen te tracken, maar adverteerders moeten dan niet alleen kijken naar alternatieve trackingmethodes, andere manieren om op dezelfde manier data binnen te krijgen. Dat zou een gemiste kans zijn." De Bruyne ziet initiatieven zoals Privacy Sandbox als 'hét moment om te kijken waarom adverteerders willen tracken'. "Is dat eigenlijk wel nodig? En als het echt nodig is, is er dan geen lichter middel voorhanden?" Adverteerders zouden volgens hem niet uitsluitend moeten kijken naar technische vervangers van trackingcookies. "Het zou best kunnen dat je daar alsnog op uitkomt, mits het juridisch goed geregeld is, maar het zou niet het vertrekpunt moeten zijn."
Kansen
Ook Van Swinderen denkt dat Googles besluit om te stoppen met trackers, en in het algemeen de verschuiving naar antitracking, goed kan zijn voor internet. De kans is dan groter dat internetgebruikers minder aversie voelen tegen adverteerders. "Het gevoel dat je gevolgd wordt verdwijnt dan. Als zowel techplatformen als adverteerders kunnen uitleggen dat ze dan zorgvuldig met data omgaan, dan is de kans groot dat het vertrouwen in het internet toeneemt."
Wel is het goed mogelijk dat andere manieren van dataverzameling zullen toenemen, denkt Van Swinderen. Adverteerders zullen meer gebruikmaken van data die ze verzamelen via hun eigen kanalen, bijvoorbeeld hun eigen website. "Die kun je nog wél blijven gebruiken, al dan niet in combinatie met dingen zoals Privacy Sandbox. Zogenaamde 'firstpartydata' wordt dan belangrijk. Van Swinderen geeft het voorbeeld van de Bonuskaart van Albert Heijn. "Er is voor veel adverteerders nog veel groei mogelijk in het verzamelen en benutten van eigen data van hun klanten."
Voor Google zelf liggen er ook nog best wat beren op de weg. Zoals veel andere bedrijfsonderdelen ligt ook Privacy Sandbox onder het vergrootglas van de autoriteiten. In Groot-Brittannië begon de handelswaakhond in januari een onderzoek naar het initiatief. De autoriteiten vrezen dat Google er onredelijk veel macht mee in handen krijgt op de advertentiemarkt. Het onderschrijft de angst vanuit de adverteerderswereld: wéér een technologie waarbij Big Tech de touwtjes in handen heeft.
/i/2004431186.png?f=fpa_thumb)
/i/2005017354.png?f=fpa)
/i/2005994532.png?f=fpa)
:strip_exif()/i/2005128772.jpeg?f=fpa)
/i/2004795296.png?f=fpa)
:strip_exif()/i/2003894268.jpeg?f=fpa)
/i/2002191883.png?f=fpa)
/i/2004042710.png?f=fpa)
/i/2003531854.png?f=fpa)
/i/2001605901.png?f=fpa)
/i/1202991430.png?f=fpa)
/i/1369161125.png?f=fpa)
/u/36936/BurnComics60x60.png?f=community){kind=small}
:strip_icc():strip_exif()/u/140379/Hond_icon.jpg?f=community){kind=icon}
:strip_exif()/u/467778/crop5d7a5dd1f296a.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/295699/crop609bc9a510a14_cropped.jpg?f=community){kind=small}
:strip_exif()/u/19665/ElfEverQuestTweakersSmall.gif?f=community){kind=small}
:strip_exif()/u/5722/ocf81_avatar_3.gif?f=community){kind=avatar}
/u/176086/crop5f0823fa5e8d6_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/259705/AC.jpg?f=community){kind=small}
/u/1219196/crop6324b2e35d04c_cropped.png?f=community){kind=small}
:strip_icc():strip_exif()/u/28792/thing.jpg?f=community){kind=small}
/u/63360/cyberjack_avatar.png?f=community){kind=avatar}
/u/407403/WAhack.png?f=community){kind=small}
:strip_icc():strip_exif()/u/580657/crop5fd9d0343e0e7_cropped.jpeg?f=community){kind=small}
/u/259083/crop5b757a082820a_cropped.png?f=community){kind=small}
:strip_exif()/u/13938/head.gif?f=community){kind=small}
:strip_icc():strip_exif()/u/317781/idefix2-avatar-small.jpg?f=community){kind=avatar}
/u/12436/p1_normal.png?f=community){kind=small}
/u/216161/crop5daf72732a011.png?f=community){kind=small}
:strip_icc():strip_exif()/u/462612/crop6020053f65e61_cropped.jpeg?f=community){kind=small}