Verschil tussen first-party en third-party cookies

Cookies onthouden de configuratie van de website (bijv. taalvoorkeuren), logingegevens en producten die aan het winkelwagentje zijn toegevoegd, zelfs nadat een gebruiker de site heeft verlaten. Vanwege de grote schaal waarop cookiebestanden worden gebruikt om stukjes informatie te verzamelen, kunnen ze ook worden gebruikt voor reclames en advertenties, zoals targeting op basis van gedrag en retargeting.

Cookies zijn tegenwoordig niet meer weg te denken van het internet. Momenteel zijn cookies de meest gebruikelijke methode om gebruikers online te identificeren en een gepersonaliseerde webervaring te bieden.

Met het groeiende bewustzijn van privacykwesties en de invoering van wetten zoals de General Data Protection Regulation (GDPR) en ePrivacy van de EU, is er een grotere behoefte om gebruikers voor te lichten over wat cookiebestanden eigenlijk doen, welke informatie ze kunnen bevatten en welke soorten cookies er bestaan.

Welke soorten cookies zijn er?

Er zijn in wezen twee soorten cookies - first-party en third-party. Vanuit een technisch perspectief is er geen echt verschil tussen de twee soorten cookies; ze bevatten allebei dezelfde stukjes informatie en kunnen dezelfde functies uitvoeren.

Het echte verschil tussen de soorten cookies heeft echter te maken met de manier waarop ze worden aangemaakt en vervolgens gebruikt, wat vaak afhangt van de context. Er zijn verschillende voordelen verbonden aan het aanmaken van first- versus third-party cookies.

• First-party cookies worden opgeslagen door het domein (de website) die je rechtstreeks bezoekt. Ze stellen website-eigenaren in staat analytische data te verzamelen, taalinstellingen te onthouden en andere nuttige functies uit te voeren die bijdragen aan een goede gebruikerservaring.
• Third-party cookies worden aangemaakt door andere domeinen dan het domein dat je rechtstreeks bezoekt, vandaar de naam third-party. Ze worden gebruikt voor cross-site tracking, retargeting en ad-serving.
• Voor het geval je het zich afvroeg, of second-party cookies ook bestaan is nog onderwerp voor discussie. Second-party cookies zijn cookies die door een bedrijf (degene die de first-party cookies heeft gemaakt) worden doorgegeven aan een ander bedrijf via een soort datapartnerschap. Een luchtvaartmaatschappij zou bijvoorbeeld haar first-party cookies (en andere first-party gegevens zoals namen, e-mailadressen, enz.) kunnen verkopen aan een vertrouwde hotelketen om te gebruiken voor advertentietargeting, wat zou betekenen dat de cookies worden geclassificeerd als second-party.
  
  

Hoe verschillen first- en third-party cookies?

Technisch gesproken zijn first- en third-party cookies dezelfde soort bestanden. Wat verschilt is hoe ze worden aangemaakt en gebruikt door websites.

Wat zijn First-Party cookies?

First-party cookies worden aangemaakt door het hostdomein - het domein dat de gebruiker bezoekt. Dit soort cookies wordt over het algemeen als goed beschouwd; ze zorgen voor een betere gebruikerservaring en houden de sessie open. Dit betekent in feite dat de browser belangrijke informatie kan onthouden, zoals welke artikelen je toevoegt aan winkelwagentjes, jouw gebruikersnaam en wachtwoorden, en taalvoorkeuren.

Wat zijn third-party cookies?

Third-party cookies zijn cookies die worden aangemaakt door andere domeinen dan het domein dat de gebruiker op dat moment bezoekt, en worden voornamelijk gebruikt voor tracking en online-advertisingdoeleinden. Ze stellen webmasters ook in staat bepaalde diensten aan te bieden, zoals live chats.

Naast een first-party cookie dat wordt aangemaakt door de hostsite, wordt ook een third-party cookie aangemaakt door ad.doubleclick.net. De reden voor een third-party cookie is dat de URL (ad.doubleclick.net) niet overeenkomt met het domein. De cookie wordt achtergelaten door een externe advertentieaanbieder, vandaar de naam third-party cookie.

Hoe worden third-party cookies op een website aangemaakt?

Nu denk je misschien, hoe kan ad.doubleclick.net of een andere derde partij een cookie aanmaken als de gebruiker op een andere website is?

Om een third-party cookie aan te maken, moet een verzoek van de webpagina naar de server van de derde partij worden gestuurd.

Het bestand dat wordt opgevraagd verschilt afhankelijk van het gebruik, maar het kan een echte creative zijn (een advertentie) of een tracking pixel, die volledig onzichtbaar is voor de gebruiker, maar als tracking cookie fungeert in situaties waarin er geen klikgebeurtenis is (bijvoorbeeld wanneer alleen een webpagina wordt geopend) en click redirects niet kunnen worden gebruikt.

Als de derde partij bijvoorbeeld een reclamedienst als DoubleClick van Google is, zou het verzoek om een creative gaan - de advertentie die de bezoeker te zien krijgt. Een DoubleClick markup kan het plaatsen van een third-party cookie toestaan. Hier is hoe de unieke advertentie markup eruit zou kunnen zien:

<a href="ad.doubleclick.net/some-other-parameters-specific-to-this-ad" target="_blank" rel="noopener"><img src="ad.doubleclick.net/the-extension-to-the-creative"></a>

Wanneer de webpagina wordt geladen, wordt ook de bovenstaande advertentiemarkup geladen en wordt een verzoek verzonden naar ad.doubleclick.net/the-extension-to-the-creative om de afbeelding op te halen en tegelijkertijd een cookie aan de gebruiker toe te wijzen.

Verschillende derde partijen kunnen verschillende bestanden opvragen bij hun webservers en deze terugsturen naar de browser.

Voorbeelden van third-party diensten die cookies achterlaten

Er zijn een aantal externe dienstverleners die gewoonlijk cookies achterlaten in de browser van een gebruiker. Hier een paar van de belangrijkste:

Ad-retargeting diensten

Bij retargeting worden websitebezoekers die jouw website eerder hebben bezocht, gevolgd op het web en krijgen ze advertenties te zien voor de producten of diensten die ze eerder hebben bekeken of waar ze interactie mee hebben gehad. Retargeting werkt via verschillende kanalen, waaronder sociale media, display en e-mail.

Webmasters plaatsen een 1×1 transparante pixel op hun website, die bij het laden van de pagina een verzoek stuurt naar de ad-retargeting server. De server stuurt vervolgens de gevraagde informatie terug (die meestal JavaScript bevat), zodat hij een cookie aan de gebruiker kan toewijzen en hem later op andere websites kan retargeten.

Social buttons

De meeste social media plugins die gebruikers in staat stellen in te loggen, conten te delen en dingen te liken op third-party websites, plaatsen cookies op jouw apparaat.

Van veel plugins met social buttons is bekend dat ze third-party cookies in de browser plaatsen en cross-site tracking en remarketing mogelijk maken.

Op deze manier kunnen de social-mediasites waar deze cookies vandaan komen, bijhouden welke sites jij bezoekt en jou relevante advertenties sturen wanneer je teruggaat naar een van de social-media kanalen.

Zelfs als je niet bent aangemeld in het account, zullen deze cookies jou toch volgen door de cookies te identificeren, gebruik te maken van matching, en soms het apparaat te finger printen om jou alsnog te kunnen identificeren.

Live-Chat Popups

Wat cookies betreft, werken live-chat popups op een vergelijkbare manier als social buttons . Live-chat diensten plaatsen een cookie in de browser achterlaten om de gebruikerservaring te stroomlijnen.

Omdat de live-chat popup jou bijvoorbeeld kan identificeren, zal hij de volgende keer dat je de chatbox bezoekt, jouw naam en de hele conversatiegeschiedenis onthouden. Natuurlijk worden deze data verwijderd als je jouw cookies verwijdert of wanneer de cookietijd verloopt.

Het is belangrijk te vermelden dat first-party cookies ook kunnen worden gebruikt voor cross-site tracking, maar dit zou betekenen dat de tracking software (script) zou moeten worden gehost onder het domein van de website.

Hoe behandelen browsers first- en third-party cookies?

First-party cookies

First-party cookies worden, zoals hierboven vermeld, rechtstreeks door de website aangemaakt wanneer een gebruiker de site bezoekt. Over het algemeen accepteren de meeste browsers standaard first-party cookies, aangezien hun voornaamste rol is om aanpassingen mogelijk te maken en de gebruikerservaring te verbeteren.

Als je bijvoorbeeld een website als nu.nl, ad.nl of fd.nl bezoekt, dan zal op elke website een cookie worden aangemaakt en op jouw computer worden opgeslagen.

De cookie die de specifieke site opslaat, wordt gebruikt om informatie over de gebruiker en zijn gedrag te onthouden. Met first-party cookies is het aan de website om te beslissen welke informatie wordt verzameld en opgeslagen.

De grote beperking van first-party cookies is dat ze alleen kunnen worden gelezen wanneer de gebruiker het domein van de website/uitgever bezoekt. Hierdoor zijn ze nutteloos voor advertentiedoeleinden (bijv. retargeting) op andere websites.

Third-party cookies

Third-party cookies (ook wel tracking cookies of trackers genoemd) worden aangemaakt door andere "partijen" dan de website die de gebruiker op dat moment bezoekt - aanbieders van advertentie-, retargeting-, analyse- en tracking.

Kijk eens naar dit voorbeeld:

Wanneer je nu.nl bezoekt en een paar artikelen leest, zal nu.nl een first-party cookie aanmaken en deze op jouw computer opslaan. Omdat nu.nl(net als de meeste andere uitgevers) online advertenties gebruikt als een manier om geld te verdienen aan haar content, zullen de advertenties die jij op nu.nl ziet ook een cookie aanmaken en op de computer opslaan.

Aangezien deze cookies niet door nu.nl zijn aangemaakt, worden ze geclassificeerd als third-party cookies. Een website kan gebruik maken van een aantal verschillende third-party trackers (of cookies) die gebruikersinformatie verzamelen. Deze informatie kan data omvatten zoals het gedrag van de gebruiker op de website, de locatie en het type apparaat - die door de website worden doorgegeven.

Third-party trackers kunnen ook het gedrag van een gebruiker volgen, zoals de content die hij op die website bekijkt en de dingen waarop hij klikt (bijv. producten en advertenties). De trackers maken third-party cookies aan en gebruiken die om de gebruiker advertenties te tonen wanneer hij verschillende websites bezoekt.

Bijvoorbeeld, als een gebruiker bol.com bezoekt en op een product klikt, zullen third-party trackers de informatie over die gebruiker en zijn activiteit verzamelen en analyseren. Als de gebruiker vervolgens bol.com verlaat en naar een andere website gaat, zoals alternate.nl, kan de gebruiker een advertentie te zien krijgen voor datzelfde product of iets vergelijkbaars (bijv. een andere tv of een ander elektrisch product).

De manier waarop het werkt is dat beide domeinen een stukje code van een advertentieserver laden (bijv. ad.doubleclick.net). Wanneer de gebruiker naar een van beide websites navigeert, is het stukje code dat van ad.doubleclick.net wordt geladen van een ander domein dan de URL in de browser van de gebruiker. Hierdoor worden de cookies die in ad.doubleclick.net worden geplaatst als third-party cookies beschouwd.

First-party cookies gebruikt in een third-party context

Sommige first-party cookies kunnen worden gebruikt om gebruikers op dezelfde manier te volgen als third-party cookies in specifieke contexten.

Zo kunnen bijvoorbeeld inlogvensters (widgets, plugins) voor sociale websites zoals Facebook op verschillende websites worden geplaatst om het geven van commentaar of het "liken" van content te vergemakkelijken.

Deze functionaliteit maakt gebruik van first-party cookies in de third-party context; omdat de gebruiker interactie heeft met de inlogwidget (als in, het domein ervan bezoekt), kan de widget een first-party cookie achterlaten. Vervolgens wordt een dergelijke first-party cookie gebruikt in een third-party context, en kan cross-site tracking mogelijk worden gemaakt.

Sommige internetbrowsers, zoals Safari, hebben echter methodes om dit te blokkeren (d.w.z. Safari 11 en nieuwer).

Apple's Intelligent Tracking Prevention (ITP) en cookies

Intelligent Tracking Prevention is een functie die in Safari en in iOS 11 standaard wordt aangeboden. De manier waarop de Apple browser omgaat met first-party cookies is anders dan die van de meeste andere browsers.

De nieuwste versie, ITP 2.0, detecteert cross-site tracking en scheidt (of isoleert) first-party cookies, waardoor het onmogelijk wordt om ze te gebruiken in een third-party context voor tracking of analytische doeleinden. Volgens sommige deskundigen saboteert Apple het huidige verdienmodel van het internet door zulke strenge regels in te voeren voor de omgang met third-party cookies.

Eerdere versies van Apple's ITP (1.0 en 1.1) stonden toe dat cookies werden gelezen en gebruikt in een "third-party context", op voorwaarde dat de gebruiker in de eerste 24 uur rechtstreeks toegang had tot het domein. Dat gaf Facebook en Google een oneerlijk voordeel, aangezien de 24-uurs zuivering op hen niet hetzelfde effect had als op andere sites omdat gebruikers deze websites regelmatig bezoeken en zelden uitloggen.

Mozilla Firefox

Mozilla volgde dit voorbeeld, en Firefox Version 50 (en later) biedt momenteel een Safari-achtige "intelligente" functionaliteit die ongewenste tracking-cookies van third-parties blokkeert. Een grijs schildpictogram verschijnt in de adresbalk wanneer Firefox trackingdomeinen blokkeert.

De Tracking Protection is ontwikkeld in samenwerking met Disconnect en is gebaseerd op een aantal blacklists voor trackers om cookies van derden alleen toe te staan van vertrouwde providers.

Om te zien wat er precies wordt geblokkeerd, kun je nog steeds de console openen om het tabblad Beveiliging te bekijken.

Andere Browsers

Safari en Firefox (en eigenlijk alle andere browsers die op de markt zijn) bieden ook min of meer uitgebreide methodes om third-party cookies te blokkeren. De meeste browsers bieden echter een of andere methode om cookies te blokkeren - maar niet allemaal zijn ze gebaseerd op zwarte lijsten of algoritmen.

Hoe third-party cookies uit te schakelen

Third-party cookies worden geblokkeerd wanneer een gebruiker een of meer van de volgende handelingen verricht:

• Surft op het web in privé- of incognitomodus.
• Gebruikt Safari als webbrowser op mobiele Apple-apparaten, omdat die standaard third-party cookies blokkeert.
• Wijzigt de cookie- en tracking-instellingen in hun browsers (zie hieronder).
• Gebruikt Tor.
• Installeert ad blockers of soortgelijke add-ons (Ghostery, Pivacy Badger etc).

Met de meeste browsers kunnen gebruikers third-party cookies uitschakelen via het instellingenmenu. Als je dat doet, worden de advertenties veel minder gepersonaliseerd, maar dat zou de browse-ervaring verder niet in gevaar mogen brengen. Er zijn tal van handleidingen op het web die de stappen beschrijven om cookies uit te schakelen voor elke specifieke browser, maar we kunnen een kort overzicht geven:

Microsoft Edge

Klik op het ellipsymbool (drie puntjes) in de rechterbovenhoek en selecteer Instellingen. Klik op Geavanceerde instellingen weergeven en selecteer Third-party cookies blokkeren in het vervolgkeuzemenu onder Cookies.

Internet Explorer

In Internet Explorer moet je op het tandwielpictogram in de rechterbovenhoek klikken en Internet-opties selecteren. Ga dan naar het tabblad Privacy en klik op Geavanceerd. Vink het vakje Automatische cookieafhandeling opheffen aan en stel Third-party cookies in op "Blokkeren".

Google Chrome

Klik op het pictogram met de drie lijnen in de rechterbovenhoek en selecteer Instellingen. Klik vervolgens onderaan op Geavanceerde instellingen weergeven. Klik op Inhoudsinstellingen in de sectie Privacy. Vink onder Cookies de optie Blokker third-party cookies en Websitegegevens aan en klik op Gereed.

Firefox

Klik op het pictogram met de drie lijnen in de rechterbovenhoek en selecteer Opties (PC) of Voorkeuren (Mac). Ga naar het tabblad Privacy en stel onder Geschiedenis in dat Firefox aangepaste instellingen voor geschiedenis zal gebruiken. Stel vervolgens Third-party cookies accepteren in op "Nooit".

Safari

Third-party cookies zijn standaard uitgeschakeld, maar het kan nooit kwaad om dat nog eens te controleren. Ga naar het menu in Safari en selecteer het tabblad Privacy. Kies de optie om cookies van third-parties en adverteerders te blokkeren.

Hoe te zien welke cookies worden aangemaakt wanneer je websites bezoekt. Er zijn een aantal methoden om te bepalen welke cookies een website in de browser opslaat. Je kunt dit doen door een speciale browserplugin voor cookiebeheer te installeren of door de ontwikkelaarsconsole van de browser te gebruiken.

Browser Plugins

Het installeren van een gebruiksvriendelijke cookiebeheer-plugin is de eenvoudigste manier om door websites geplaatste first- en third-party cookies te analyseren en ze indien nodig selectief te blokkeren. De meest populaire cookie-plugins voor browsers zijn onder meer:

• uBlock
• Ghostery
• AdBlock Plus
• Privacy Badger
• Verbinding verbreken (nu opgenomen in Firefox)

Ghostery analyseert websites en zoekt naar trackers (bijv. cookies van derden) en laat gebruikers deze selectief blokkeren.

Browser Ontwikkelings Console

Het gebruik van de ontwikkelingsconsole in een internetbrowser is een van de gemakkelijkste methodes om alle cookies te zien die door bepaalde websites zijn opgeslagen. Je kunt ook bepalen welke van de in de browser opgeslagen cookies first-party cookies zijn en welke third-party. First-party cookies hebben hetzelfde domein als de website die jij momenteel bezoekt.

Hier is hoe je de cookies kunt zien:

Google Chrome

Voor Google Chrome volg je deze stappen:

1. Open Chrome-browser en typ de URL van de site die je wilt analyseren.
2. Om de console te openen, gebruik je de sneltoets Ctrl + Shift + I om de inspectieconsole te starten, of Ctrl + Shift + D om de ontwikkelaarsconsole te starten.
3. Zodra de console geopend is, kun je de door de website geïnstalleerde cookies bekijken door op het tabblad Toepassing rechtsboven in de console te klikken.

In Chrome kun je snel bepalen welke de first-party en welke de third-party cookies zijn op alternate.nl. De cookies met een ander domein in de naam zijn third-party cookies.

Mozilla Firefox

Als je liever Mozilla's Firefox gebruikt, kun je de ontwikkelaarsconsole van de browser openen:

1. Open de website die je wilt analyseren.
2. Open de Storage Inspector door Storage Inspector te selecteren in het submenu Web Developer in het Firefox-menupaneel (of het Tools menu als je de menubalk weergeeft of op Mac OS X bent), of door op de sneltoets Shift + F9 te drukken.
3. De Toolbox zal onderaan het browservenster verschijnen met de Storage Inspector geactiveerd. Hij heet gewoon Storage in de Developer Toolbox.
4. Selecteer Cookies aan de linkerkant om de cookies te zien die door de website worden aangemaakt.
   

De toekomst van first en third-party cookies

Third-party cookies zijn al vele jaren de hoeksteen van online advertenties, maar hun dagen lijken geteld. Adverteerders en uitgevers strijden tegenwoordig niet alleen tegen de steeds populairder wordende ad blockers en andere methoden die third-party tracking blokkeren, maar hebben nu ook te maken met privacygerichte regelgeving, zoals de GDPR.

Daarbovenop komt het groeiende bewustzijn van privacykwesties in verband met third-party cookies, aangewakkerd door de media.

Wat verdwijnt nog meer als cookies van derden verdwijnen?

Naast retargeting worden enkele andere facetten beïnvloed door de uitfasering van cookies van derden: het bijhouden van conversies, doelgroepopbouw en activeren van doelgroepen.

Conversierapportage

Een conversie vindt plaats wanneer een bezoeker of gebruiker een stap zet in de richting van een aankoop. Dit kan een proefperiode zijn, een aanmelding of daadwerkelijk iets kopen. Conversierapportage is een manier voor marketeers om de effectiviteit van hun campagnes te volgen en vooruit te plannen. En zonder het betrouwbaar bijhouden van conversies kan het moeilijk zijn om het aankooptraject van klanten te begrijpen.

Cookies van derden worden gebruikt om conversies bij te houden door de activiteit van de gebruiker op verschillende websites aan elkaar te koppelen. Zonder cookies van derden is het veel moeilijker om conversies nauwkeurig bij te houden.

Zonder cookies van derden worden deze conversies niet meer weergegeven op de advertentieplatforms zoals Facebook of Google Ads. In plaats daarvan worden ze vervangen door 'door machine learning gegenereerde schattingen', wat een mooie terminologie is voor een zo goed mogelijke schatting van uw totale conversies. Of te wel, conversion modeling.

Gedragsgerichte doelgroepen opbouwen

Vervolgens hebben we het opbouwen van een doelgroep op basis van gedrag. Dit proces gebruikt data van cookies van derden om modellen te maken van gebruikers met vergelijkbare interesses en bezoekersgedrag. Deze modellen kunnen vervolgens worden gebruikt voor gerichte advertenties.

De vergelijkbare doelgroepen van Facebook en Google Ads zijn hier een goed voorbeeld van. Met vergelijkbare doelgroepen kunnen adverteerders gebruikers targeten die vergelijkbaar zijn met degenen die al interactie hebben gehad met hun merk. Ze baseren deze doelgroepen op het gedrag en de interesses van huidige klanten.

Activering van doelgroepen door derden

Ten slotte hebben we de activering van doelgroepen door derden. Bij deze strategie worden data van derden gebruikt om advertenties te targeten op specifieke groepen gebruikers, zoals gebruikers die onlangs zijn verhuisd of ouders zijn geworden.

Adverteerders gebruiken deze aanpak omdat het moeilijk is om deze groepen gebruikers te bereiken met alleen first-party data. Zonder cookies van derden zullen adverteerders echter nieuwe manieren moeten vinden om deze doelgroepen te bereiken.