Iedereen die online iets bestelt of inlogt kent het ritueel: kies alle verkeerslichten, typ de wazige letters over, vink aan dat je geen robot bent. Captcha's zijn al jaren de norm voor botbescherming, maar ze kosten gebruikers tijd, frustreren juist de echte klanten en lekken vaak data naar derden. Cloudflare kondigde op 22 juni samen met de makers van de grootste browsers een alternatief aan dat daar een einde aan moet maken: PACT, oftewel Private Access Control Tokens.
Het bijzondere zit niet zozeer in de techniek als wel in wie er meedoen. Cloudflare werkt aan PACT samen met Mozilla (Firefox), Google (Chrome), Microsoft (Edge) en Shopify, vrijwel het hele browserlandschap plus een van de grootste e-commerceplatforms. Als die partijen een gedeelde standaard achter zich krijgen, kan een protocol in korte tijd op miljarden apparaten landen.
Hoe PACT werkt
Het idee is simpel uit te leggen. Een site die jou al goed kent en redelijk zeker weet dat je een mens bent, een platform waar je bent ingelogd bijvoorbeeld, geeft je browser een anoniem token mee. Zie het als een voucher die bevestigt: deze bezoeker is vertrouwd. Bezoek je daarna een andere site, dan toont je browser dat token om aan te tonen dat er een mens achter de schermen zit, zonder dat de tweede site kan zien wie je bent of welke pagina's je eerder bezocht.
De cryptografie zorgt ervoor dat een token niet te herleiden is tot jou en niet gebruikt kan worden om je over sites heen te volgen. Het bewijst alleen "echt mens", niet "wie". Daarmee bouwt PACT voort op Privacy Pass, een standaard die Cloudflare al sinds 2017 gebruikt en die Apple onder de naam Private Access Tokens al jaren in iOS en macOS heeft zitten. Nieuw is dat de overige browsers nu aanhaken op een gezamenlijk protocol.
Niet alle bots zijn de vijand
De timing is geen toeval. Een groeiend deel van het webverkeer is geautomatiseerd, en bij veel sites komt er inmiddels meer verkeer van bots dan van mensen. Dat dwingt site-eigenaren tot steeds botter geweld: agressieve captcha's en blokkades die net zo goed echte klanten raken. "Een lawine aan geautomatiseerd verkeer dwingt sites tot grove verdedigingsmiddelen", aldus Mozilla-CTO Bobby Holley in de aankondiging, die stelt dat het beter kan met behoud van privacy en minder ergernis.
Interessant is dat PACT niet bedoeld is om alle bots buiten te houden. Het wil onderscheid maken tussen schadelijke automatisering en legitieme AI-agenten die namens een mens handelen. Dat sluit precies aan op een verschuiving die ik eerder beschreef: de nieuwe klant van je webshop is steeds vaker een AI-agent die namens een mens bestelt. Een protocol dat zo'n agent kan toelaten terwijl het kwaadwillende scrapers weert, is voor webshops die meegaan in agentic commerce relevant.
Een belangrijke open vraag blijft nog onbeantwoord: wie geeft die vertrouwenstokens precies uit? De aankondiging laat in het midden of dat de webshops zelf zijn, Cloudflare, of een derde partij, en dat bepaalt straks wie de feitelijke poortwachter van het web wordt.
Wat dit voor jou betekent
Voor nu is PACT een aankondiging, geen product: de partijen committeren zich aan het ontwikkelen en standaardiseren van het protocol, maar er is nog geen releasedatum. Verwacht dus niet dat je captcha morgen verdwijnt.
Toch is dit het volgen waard als je een webshop, SaaS-dienst of welke site dan ook met een inlog- of inschrijfformulier draait. De belofte raakt twee dingen die normaal botsen. Aan de ene kant gebruiksgemak: minder captcha's betekent minder afhakers bij je kassa en je aanmeldformulier. Aan de andere kant compliance: een botbescherming die bewijsbaar geen bezoekers volgt, past beter bij de AVG dan veel huidige captcha- en fingerprinting-oplossingen, die juist data naar derden lekken. Dat een privacyvriendelijke aanpak nu uit de hoek van de grote browsers zelf komt, maakt de kans groot dat het een echte standaard wordt in plaats van een nicheproduct.
Mijn advies: ga niets ombouwen op basis van een aankondiging, maar zet PACT op je radar. Zodra browsers het ondersteunen, wordt het een knop die je omzet, en dan wil je weten of jouw bot- of captcha-leverancier meebeweegt. De richting is duidelijk: minder horden voor je echte klanten, en bescherming die niet ten koste gaat van hun privacy.
Veelgestelde vragen
Botbescherming zonder frictie
Of het nu om captcha's, je inlogflow of een AI-agent gaat die namens klanten bestelt: ik denk met je mee, ontwerp de oplossing en bouw en automatiseer hem end-to-end, self-hosted waar dat kan. Zo houd je je klanten zonder horden binnen en je data bij jou.
Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.
