Je browser verraadt meer over je dan welke cookie ook

Het oude privacyritueel voelt nog steeds logisch: cookies weggooien, incognitomodus aanzetten, browser sluiten, opnieuw beginnen. Alleen werkt het web allang niet meer volgens dat script. De hardnekkigste vorm van online herkenning zit steeds minder in wat lokaal wordt opgeslagen en steeds meer in wat je browser vanzelf uitzendt. Dat maakt het probleem vervelender, want je kunt moeilijk wissen wat nooit als zichtbaar bestand op je apparaat stond.

De herkenning zit in je configuratie, niet in een opgeslagen bestand

Dat is de kern van browserfingerprinting. Websites kijken niet alleen naar één spoor, maar naar een combinatie van veel kleine signalen: schermresolutie, taalinstellingen, tijdzone, browserversie, besturingssysteem, grafische eigenschappen en subtiele verschillen in rendering. Los van elkaar lijken die kenmerken onschuldig. Samen kunnen ze behoorlijk onderscheidend zijn. Volgens het Device Intelligence Report 2026 van Fingerprint.com, gebaseerd op meer dan 23 miljard identificatiegebeurtenissen over ruim 7 miljard browsers en apparaten, is deze vorm van herkenning inmiddels gewoon onderdeel van de digitale infrastructuur.

Dat is geen totaal nieuw inzicht. Eerder onderzoek naar browseruniciteit liet al zien dat browserkenmerken minstens 18,1 bits aan identificerende entropie kunnen opleveren. In bepaalde oudere situaties bleek meer dan 94% van de browsers uniek. Dat wil niet zeggen dat elke gebruiker altijd met exact dezelfde zekerheid wordt herkend. Het zegt wel iets belangrijks: je browser laat vaak genoeg een patroon achter dat sterk genoeg is om hem later weer te herkennen, ook zonder klassieke cookies.

Een experiment liet zien dat advertentiemarkten erop reageren

Lange tijd kon de advertentie-industrie nog doen alsof fingerprinting vooral een theoretische mogelijkheid was, of iets voor fraudedetectie in plaats van tracking. Dat verhaal werd minder houdbaar door onderzoek van Texas A&M en Johns Hopkins, gepresenteerd op de ACM Web Conference 2025. In de studie rond het framework FPTrace veranderden onderzoekers doelbewust de browserafdruk en keken ze vervolgens hoe advertentie-ecosystemen reageerden.

Die reactie was vrij duidelijk. Zodra de fingerprint veranderde, daalde de mediaan van advertentiebiedingen van 0,25 naar 0,19. Tegelijk liep het aantal HTTP-ketens dat met tracking samenhing scherp terug, in een van de analyses met meer dan 80%. Ook het aantal synchronisatiegebeurtenissen, waarbij advertentienetwerken profielen met elkaar afstemmen, zakte ongeveer 50%. Praktisch gezien betekent dat: het systeem merkte dat de herkenbare identiteit veranderde, en behandelde die sessie vervolgens anders.

Ook een nee bij de cookiebanner zet niet alles uit

Daar wordt het pas echt ongemakkelijk. In de arXiv-versie van het onderzoek naar empirisch bewijs voor fingerprinting bij tracking beschrijven de auteurs signalen dat fingerprinting-gerelateerde datadeling ook onder GDPR- en CCPA-omstandigheden bleef doorgaan. Bij consentplatforms als OneTrust en Quantcast waren er nog steeds patronen zichtbaar die wezen op syncing en tracking, ook wanneer gebruikers tracking afwezen.

Voor een Nederlandse lezer is dat vooral interessant omdat het veel zegt over de praktische waarde van toestemming. Op papier lijkt het simpel: akkoord geven of weigeren. In de praktijk kan een parallel identificatiesysteem gewoon blijven draaien, omdat het minder afhankelijk is van klassieke opslagmechanismen. Dat maakt privacy niet alleen een juridische kwestie, maar ook een technische ontwerpkwestie.

De meetinstrumenten zien lang niet alles

Alsof dat nog niet genoeg is, blijkt ook de zichtbaarheid van het probleem beperkt. Recente studies met echte gebruikerssessies laten zien dat geautomatiseerde crawlers bijna 45% van de fingerprintingwebsites missen die echte mensen wel tegenkomen. Dat komt doordat veel scripts pas actief worden na specifieke interacties, achter ingelogde pagina’s of na het omzeilen van botdetectie.

Dat is een belangrijk praktisch punt. Wie alleen op geautomatiseerde scans vertrouwt, onderschat waarschijnlijk hoe vaak fingerprinting in het wild voorkomt. Het probleem is dus niet alleen dat tracking moeilijk te blokkeren is. Het is ook dat het bewust moeilijk zichtbaar wordt gemaakt.

Google heeft de status van de techniek veranderd

Daar komt nog een marktverschuiving bovenop. Google zei in 2019 zelf nog dat fingerprinting de keuzevrijheid van gebruikers ondermijnt en verkeerd is. Toch mogen adverteerders die Googles platforms gebruiken, sinds 16 februari 2025 volgens de samenvatting van Bitdefender over de beleidswijziging zulke technieken inzetten. De Britse toezichthouder ICO noemde die draai onverantwoord en wees erop dat deze signalen niet eenvoudig weg te wissen zijn.

Dat doet ertoe, niet alleen symbolisch. Zodra de grootste advertentie-infrastructuur ter wereld een techniek niet langer afremt, verschuift de norm. Wat eerst voelde als een grijs gebied, wordt dan al snel operationele standaard.

Wat je hier deze week echt mee kunt doen

Volledige bescherming bestaat nauwelijks. Alleen al browsen produceert een herkenbaar technisch profiel. Toch is er een groot verschil tussen niets doen en een beetje minder opvallen. Firefox en Brave beperken delen van fingerprinting, sommige extensies kunnen specifieke vectors zoals canvas-aanroepen verstoren, en Tor blijft de sterkste optie omdat het juist probeert gebruikers op elkaar te laten lijken.

Er zit wel een lastige paradox in. Hoe excentrieker je browserconfiguratie, hoe meer zeldzame extensies je gebruikt en hoe persoonlijker je setup, hoe opvallender je afdruk kan worden. In dit domein helpt opgaan in de massa vaak beter dan een hyperpersoonlijk privacyharnas bouwen. De bruikbare conclusie is daarom tamelijk nuchter: cookies wissen is nog steeds niet nutteloos, maar het is allang niet meer genoeg. Het spoor dat je het hardst volgt, zit vaak niet in wat je hebt verwijderd, maar in de browser waarmee je gewoon bent blijven surfen.