Begin bij het kleine bestand
Een cookie is gewoon een tekstbestand. Een server plaatst het in je browser, je browser bewaart het en bij het volgende bezoek gaat het de andere kant op. Het hele proces duurt milliseconden. De naam komt uit de vroege computertijd — magic cookies, tokens die tussen programma's werden doorgegeven zodat ze een gesprek midden in een zin konden oppikken. Op het web ben jij het gesprek dat wordt opgepikt. Wat je hebt aangeklikt, waarnaar je aan het winkelen was op een dinsdagochtend om elf uur, wat je begon te lezen en stilletjes opgaf. Cookies zijn de manier waarop websites onthouden, en zonder cookies is elke paginalading een blanco lei — de site heeft geen idee of je hier vijf minuten geleden was of nooit eerder hebt bezocht. Dat is de technologie. Op zichzelf neutraal. Een geheugenmechanisme. Wat telt is waarvoor het geheugen wordt gebruikt.De vier redenen
De meeste websites gebruiken cookies voor vier dingen, en die zijn niet even onschuldig. Inloggen: een sessietoken in een cookie vertelt de site dat deze browser al geauthenticeerd is, zodat je je wachtwoord niet opnieuw hoeft in te typen. Voorkeuren: taal, regio, weergave-instellingen — kleine keuzes die niet herhaald hoeven te worden en die soms als strikt noodzakelijk worden beschouwd wanneer ze iets dienen waarnaar de gebruiker daadwerkelijk heeft gevraagd, zoals een taalkeuze of een toegankelijkheidsinstelling. Analyse: tools zoals Google Analytics registreren welke pagina's je bezoekt, hoe lang, en vanwaar je afkomstig bent. Die gegevens gaan terug naar de site-eigenaar als verkeersaantallen en prestatiedashboards.Dan is er het vierde. Advertentiecookies — vaak niet geplaatst door de site waarop je je daadwerkelijk bevindt, maar door externe netwerken die onzichtbaar op de achtergrond draaien — volgen je browser over tientallen sites, waarbij een beeld van je interesses wordt opgebouwd dat wordt verkocht aan adverteerders zodat ze je over het internet kunnen volgen met gerichte advertenties. De eerste twee dienen jou, min of meer. De derde dient de site-eigenaar. De vierde dient iemand die je nooit hebt ontmoet, en de site-eigenaar krijgt een deel van de opbrengst voor het toestaan ervan. Dit is geen schandaal. Het is gewoon het bedrijfsmodel van het grootste deel van het web. De banner was bedoeld om je te laten weten welke van deze vier een bepaalde site daadwerkelijk gebruikte. Dat is er nooit echt van gekomen.
Waarom de banner er überhaupt is
De cookietoestemmingspop-up is geen designtrend. Het is de ePrivacy-richtlijn — een richtlijn van de Europese Unie uit 2002, waarvan de toestemmingsvereisten aanzienlijk werden versterkt door de wijziging van 2009. Omdat het een richtlijn is en geen verordening, moest elke lidstaat het afzonderlijk omzetten in nationaal recht, wat mede verklaart waarom de handhaving zo lang zo sterk verschilde binnen de EU. De reikwijdte van de richtlijn is ook breder dan cookies: ze bestrijkt alle informatie die wordt opgeslagen of geraadpleegd op de eindapparatuur van een gebruiker, wat betekent: lokale opslag, trackingpixels, browser fingerprinting, scripts van derden — cookies zijn het meest zichtbare voorbeeld, niet het volledige plaatje.De AVG, van kracht sinds 2018, voegde extra gewicht toe door online identificatoren, waaronder cookie-ID's, als persoonsgegevens te behandelen, een standpunt dat werd versterkt door de Planet49-uitspraak van het Hof van Justitie van de Europese Unie in 2019. Samen creëerden ze een situatie waarin bijna elke website met Europese bezoekers gedocumenteerde, ondubbelzinnige, vrijelijk gegeven toestemming voor niet-essentiële tracking moet verzamelen, of er geen gebruik van mag maken. De handhaving is niet theoretisch gebleven. De Franse gegevensbeschermingsautoriteit, de CNIL, heeft Google in december 2020 een boete van €100 miljoen opgelegd voor het plaatsen van cookies zonder geldige toestemming. Twee jaar later legde ze twee andere bedrijven samen een boete op van €210 miljoen — specifiek omdat het mechanisme voor het weigeren van cookies aanzienlijk moeilijker te gebruiken was gemaakt dan het mechanisme voor het accepteren ervan. De Zweedse toezichthouder heeft bedrijven aangepakt voor vergelijkbare ontwerpen: een weigeroptie die technisch aanwezig was maar zo diep begraven dat de meeste gebruikers het opgaven en toch op accepteren klikten. Toezichthouders onderzoeken nu niet alleen wat een toestemmingsmelding zegt, maar ook hoe het daadwerkelijke gebruik ervan aanvoelt. De ontwerp-ePrivacyverordening, bedoeld om het hele kader te moderniseren, is al jaren vastgelopen in wetgevende impasse in de Raad van de Europese Unie en blijft onopgelost in 2026. De richtlijn van 2002, zoals gewijzigd, is nog steeds van toepassing. Het kader versoepelt niet.
Wat de banner eigenlijk is
Dit is wat niemand duidelijk genoeg zegt. De meeste cookiebanners zijn geen privacyfuncties. Het zijn de juridische formaliteit die een site moet vervullen voordat ze iets doet wat ze sowieso al van plan was. Je komt aan, de banner verschijnt, de meeste mensen klikken op accepteren omdat het blokkeert wat ze zijn komen lezen, en de tracking begint. Onderzoeken tonen aan dat grote meerderheden accepteren zonder te lezen — de precieze cijfers variëren per onderzoek en ontwerp, maar niemand betwist serieus de richting. Het werkelijke getal ligt dicht bij iedereen die de melding gewoon uit de weg wil hebben.Wanneer alles weigeren met gelijke nadruk wordt aangeboden — wat toezichthouders nu vereisen, zoals die CNIL-boetes expliciet maakten — draait de site zonder de machinerie die ze liever zou draaien. De banner heeft geen beter geïnformeerd internet opgeleverd. Het heeft een reflex opgeleverd. Klikken, sluiten, het artikel lezen. De wet vereiste de melding. De melding vereiste niet dat iemand ermee in gesprek ging. Die kloof — tussen wat de verordening beoogde en wat ze in de praktijk daadwerkelijk heeft voortgebracht — is wat de banner is. Op elke homepage zittend, van elke nieuwe bezoeker een kleine aandachtsbelasting inend, en in ruil daarvoor vrijwel niets doen voor iemands privacy.
Een site met niets te volgen
Het is de moeite waard concreet te zijn over wat PIWIWines eigenlijk is, want de abstractie kan een eenvoudig punt verhullen. Het is een referentiesite over wijn. PIWI-wijnen, ziekteresistente druivenrassen, duurzame wijnbouw. Telers gebruiken het om dingen op te zoeken. Wijnprofessionals gebruiken het. Enthousiastelingen gebruiken het. Niemand logt in — er zijn geen accounts. Er zijn geen gebruikersvoorkeuren om in te stellen of op te slaan, omdat er niets valt in te stellen. Er zijn geen advertenties: geen producent heeft betaald voor plaatsing, geen advertentienetwerk heeft betaald voor toegang tot bezoekersgegevens. Er draait geen analyseplatform op de achtergrond.Wat zou een cookie hier überhaupt doen? Er is geen sessie om bij te houden, geen voorkeur om voor de volgende keer te onthouden, geen gedragspatroon dat de moeite waard is om op te bouwen, geen advertentiedoelgroep om te verfijnen. De vraag beantwoordt zichzelf. Er worden geen cookies geplaatst, niet als principieel standpunt dat een manifest vereist, maar omdat er op een site zoals deze werkelijk niets is waarvoor een cookie bedoeld zou zijn.
Aftrekken als naleving
De verplichtingen die bij cookies komen kijken — toestemmingsbanners, privacybeleid dat wordt bijgewerkt telkens wanneer een script van derden verandert, toestemmingsregistraties die ergens worden opgeslagen, opt-outpaden die worden onderhouden — al deze verplichtingen worden in de eerste plaats door het gebruik van cookies in gang gezet. Stop met het gebruik ervan en de verplichtingen verdwijnen grotendeels mee. Geen banner om te ontwerpen of via A/B-tests in overeenstemming te brengen. Geen juridisch adviseur voor privacybeleid die elke zes maanden moet worden geraadpleegd. Dit is de logische conclusie van het principe waarop de verordening is gebouwd: verzamel alleen wat je nodig hebt, en als je niets nodig hebt, verzamel dan niets.Het is de moeite waard één ding te vermelden. Een site kan per ongeluk tracking door derden introduceren via ingesloten inhoud — een YouTube-video, een widget voor sociaal delen, een kaart, een lettertype geladen van een externe server — elk waarvan trackingbestanden kan achterlaten zonder dat de site-eigenaar een regel cookiecode heeft geschreven. PIWIWines gebruikt geen ingesloten inhoud van dit soort. De afwezigheid van tracking hier is geen toeval doordat de site klein of onafgewerkt is. Het is een gevolg van weloverwogen keuzes over hoe de site is gebouwd.
De oudere betekenis van publiciteit
Het woord publiciteit betekende vroeger iets eenvoudigers: iets openbaar maken, informatie in het algemeen zicht plaatsen. Er is een hele traditie van — openbare kennisgevingen, gepubliceerde registers, het idee dat bepaalde dingen in het openbaar thuishoren in plaats van weggeborgen te worden. Een website is per definitie een openbare daad. Je plaatst iets op een server en iedereen kan het bereiken. PIWIWines publiceert informatie over interspesifieke hybride druivenrassen — kruisingen tussen Vitis vinifera en andere Vitis-soorten zoals V. amurensis of V. labrusca, gekweekt voor schimmelresistentie — samen met teeltpraktijken, rasbeschrijvingen en de wijnen die daaruit voortkomen. Dat is de interspesifieke aard die PIWI-rassen hun resistentie geeft en wat hen een speciale referentiesite waard maakt. De informatie is er voor wie er maar naar op zoek is. Geen account vereist. Niets over jou samengesteld in ruil voor toegang.De reclame-industrie nam het woord publiciteit en richtte het op iets heel anders: betaalde plaatsing, gerichte bereik, de handel in het identificeren van specifieke mensen op basis van wat hun surfgedrag suggereert over hun aankoopintenties. Dat is niet wat hier gebeurt, en de twee dingen zijn het waard om van elkaar onderscheiden te worden. Wat op PIWIWines verschijnt weerspiegelt keuzes over wat nauwkeurig en nuttig is voor mensen die werken in de duurzame wijnbouw. Geen keuzes over wat inkomsten genereert. Een referentiesite is alleen het vertrouwen waard dat mensen erin stellen, en dat vertrouwen hangt af van het feit dat er werkelijk niets is dat de redactionele beslissingen in een commerciële richting trekt. Als er niets is om onafhankelijk van te zijn, is onafhankelijkheid niet eens een vraag die beantwoord hoeft te worden.
Wanneer je aankomt
Wanneer je een pagina op PIWIWines opent, wordt er door de site niets in je browser opgeslagen. Geen cookiebestand aangemaakt, geen client-side identifier toegewezen. Net als elke andere website leggen serverlogboeken basisverzoekgegevens vast, waaronder IP-adressen — dat is een standaard onderdeel van hoe webhosting werkt en dient legitieme beveiligings- en technische doeleinden — maar die gegevens worden niet vergeleken met een profiel van je eerdere bezoeken, niet ingevoerd in een targetingsysteem en niet gebruikt voor commerciële analyse. Onder de AVG geldt een IP-adres als persoonsgegevens, zodat elke site die het verwerkt binnen dat kader opereert, zelfs zonder cookies. Het eerlijke standpunt is niet dat PIWIWines in technische zin niets verzamelt. Het is dat het niets over jou verzamelt voor commerciële doeleinden en niets waarvoor jouw toestemming vereist is voordat je gewoon kunt lezen wat je bent komen lezen.Er is geen cookiebanner omdat er geen cookies zijn. Niet omdat de banner vergeten was, niet omdat niemand er aan toe is gekomen, maar omdat de persoon die deze site heeft gebouwd besloot dat een website over wijn en druivenrassen er geen zaken mee heeft de mensen te volgen die hem lezen. Dat blijkt zowel de juiste keuze te zijn als de eenvoudigste om vol te houden.