Dit moet je weten over browser-cookies

Laten we beginnen met een klein experiment. Surf eerst even naar www.volkskrant.nl, vervolgens naar een site als www.frankwatching.com en ten slotte naar www.bol.com. Bij de eerste site stuit je al meteen op een cookiemuur: pas wanneer je via de knop Ja, ik accepteer cookies je toestemming geeft, kun je de site daadwerkelijk bezoeken.

Bij de tweede site kun je aangeven welk type cookies je al dan niet wenst te accepteren: het type Noodzakelijk is verplicht; de types Voorkeuren, Statistieken en Marketing blijken optioneel.

Bij de derde site kun je meteen verder, maar attendeert een bescheiden banner in een minuscuul lettertype je wel op het gebruik van “cookies en daarmee vergelijkbare technieken”, met als extra melding: “Met deze cookies kunnen wij en derde partijen jouw internetgedrag binnen en buiten onze website volgen en verzamelen. […] Door verder gebruik te maken van deze website ga je hiermee akkoord. Je kunt je toestemming altijd weer intrekken”. Pas wanneer je hier op Lees meer klikt en naar onderen scrolt, kun je de optie Marketingcookies weigeren selecteren.

Geef toe, allemaal behoorlijk verwarrend en vaag. Tijd dus dat we daar wat klaarheid in scheppen: wat zijn cookies, welke types zijn er zoal en wat heeft de wet te vertellen. Daarna gaan we dieper in op cookiebeheer en op aanverwante technieken.

01 Stateless protocol

Cookies zijn in feite weinig meer dan kleine tekstbestandjes die een webserver op je computer plaatst. Je moet namelijk weten dat je browser via het http-protocol een zogenoemde ‘stateless’ verbinding opzet. Dat houdt in dat de webserver de gebruikersgegevens van de verschillende webpagina’s of sitebezoeken niet onthoudt. Dat betekent dan weer dat je bij elk bezoek weer bepaalde voorkeuren als taal of land moet ingeven en dat is niet echt handig. Websites trachten zo’n verbinding daarom ‘stateful’ te maken met behulp van cookies. Die kunnen namelijk allerlei gebruikersgegevens vasthouden, zoals je taalvoorkeur of de inhoud van je winkelmandje.

02 Cookiecontent

Hoe krijg je zulke cookies nu te zien? We beperken ons hier tot Chrome, maar andere browsers bieden vergelijkbare opties aan. In Chrome klik je op het knopje met de drie puntjes en kies je Instellingen / Geavanceerd / Instellingen voor content / Cookies / Alle cookies en sitegegevens weergeven, waarna je specifieke cookies kunt klikken voor meer informatie. Wil je alleen cookies van de huidige webpagina zien, druk dan op F12 om de Hulpprogramma’s voor ontwikkelaars te openen, klik rechtsboven op de pijltjesknop en kies Application / Cookies.

Er zijn ook externe tools waarmee je cookies kunt bekijken: op www.nirsoft.net vind je in ieder geval IECookiesView, MozillaCookiesView, ChromeCookiesView en EdgeCookiesView. Of je downloadt van dezelfde site de tool WebCookiesSniffer: een applicatie die in realtime browsercookies (via http) detecteert en opsomt.

03 Cookietypes

Cookies zijn dus tekstbestanden, maar ze komen wel in soorten. Over het algemeen onderscheiden we drie cookiestypes.

Functionele cookies zijn nodig om de gebruiker een website op een efficiënte wijze te laten bezoeken. Die houden bijvoorbeeld je taalvoorkeur of de inhoud van je winkelmandje vast. Vaak zitten hier trouwens zogenoemde sessiecookies bij. Die verdwijnen automatisch zodra je de surfsessie beëindigt, in tegenstelling tot hardnekkiger cookies die in principe op je pc blijven staan tot de bijbehorende houdbaarheidsdatum is verstreken.

Analytische cookies geven websitebeheerders inzicht in het gebruik van hun site. Een bekend voorbeeld zijn de cookies van Google Analytics: die vertellen de sitebeheerder onder meer hoe een gebruiker zich door de webpagina’s beweegt.

Marketingcookies zijn tot slot de cookies die een wat wrange nasmaak geven. Die zijn erop gericht een bezoeker te volgen, niet alleen binnen de eigen site(s), maar vaak op talkrijke andere internetsites, vooral om persoonsgerichte advertenties aan te bieden.

04 Surfprofiel

Veelal gaat het bij marketingcookies om zogenoemde cookies van derde partijen. In de regel kan een webserver namelijk alleen maar opgeslagen cookies inlezen die van hetzelfde domein afkomstig zijn als de website die je op dat moment bezoekt.

Zo’n beperking is echter snel omzeild: een online marketingbedrijf als Google DoubleClick hoeft bijvoorbeeld alleen een banner of een afbeelding (zoals een transparante gif van 1 bij 1 pixel, ook wel webbeacon genoemd) op een webpagina van een andere website te plaatsen, om zelf ook cookies uit hun eigen domein op je pc te kunnen plaatsen zodra je die webpagina bezoekt. Dit gebeurt met instemming van de beheerders van die site. Kom je naderhand op een andere site terecht waar datzelfde marketingbedrijf ook content heeft geplaatst, dan weet dit bedrijf dat het om dezelfde surfer of tenminste om dezelfde computer of browser gaat. Op deze manier kan van jou dus een surfprofiel worden samengesteld en krijg je bijvoorbeeld advertenties te zien die zijn afgestemd op je vermeende interesses. Daarom worden marketingcookies ook wel indirecte cookies of traceercookies genoemd.

Een voorbeeld: surf naar www.telegraaf.nl en klik in het cookie-pop-upvenster op de link TMG websites en apps: je krijgt dan een overzicht van de (meer dan dertig) sites die cookies kunnen plaatsen wanneer je de site van De Telegraaf bezoekt.

Cookiewetgeving

05 Cookieblokkade

Sommige sites laten je zelf kiezen welke cookie(type)s je wilt accepteren, al zijn die vrij zeldzaam, maar ook vanuit je browser kun je cookies tot op zekere hoogte zelf beheren. Zo laten nagenoeg alle browsers je toe traceercookies te blokkeren.

In Chrome gaat dat als volgt. Ga opnieuw naar Instellingen / Geavanceerd / Instellingen voor content / Cookies en zet de optie Indirecte cookies blokkeren op Aan.

In Edge gaat dat via Instellingen / Privacy en beveiliging / Alleen cookies van derden blokkeren. Een andere optie is hier nog Alle cookies blokkeren, maar dan laat je evenmin functionele cookies toe, wat er al snel toe zal leiden dat sommige sites niet langer goed functioneren.

Bij Firefox klik je op het icoontje met de drie streepjes hamburgerknopje, open je Inhoudsblokkering, plaats je een vinkje bij Cookies van derden en selecteer je of Trackers of Alle cookies van derden.

Overigens tref je in de drie genoemde browsers ook een ‘do not track’-functie aan. In Chrome heet dat Een verzoek voor niet bijhouden met je browseverkeer verzenden (in de rubriek Privacy en beveiliging); in Edge: Niet volgen-aanvragen verzenden; en Firefox: Niet volgen-signaal. Let wel, het gaat hier telkens om een verzoek: je hebt dus geen garantie dat een site daarop ingaat.

06 Cookies wissen

Wil je (bepaalde) cookies liever verwijderen uit je browser? In Chrome ga je naar Geschiedenis / Geschiedenis / Browsegegevens wissen. Plaats een vinkje bij Cookies en andere site en plug-ingegevens, stel de gewenste periode in en bevestig met Gegevens wissen. Wil je dat Chrome altijd alle cookies automatisch wist zodra je de browser afsluit, zet dan binnen de rubriek Cookies de optie Lokale gegevens alleen bewaren tot je je browser sluit op Aan.

In Edge open je de rubriek Privacy en beveiliging en klik je op Kies wat u wilt wissen. Plaats een vinkje bij Cookies en opgeslagen websitegegevens en zet desgewenst de optie Dit altijd wissen bij sluiten van browser aan. Bevestig met de knop Wissen.

In Firefox zijn vergelijkbare opties voor het blokkeren en verwijderen van cookies mogelijk. Via een omweg kun je hier ook (uitsluitend) cookies van derde partijen laten verwijderen bij het afsluiten van de browser: tik about:config in op de adresbalk, klik desgevraagd op Ik aanvaard het risico!, zoek naar network.cookie.thirdparty.sessionOnly en klik op dit item tot true verschijnt in de kolom Waarde.

Goed om weten: als je in de zogenoemde incognito- of privémodus surft (Ctrl+Shift+N in Chrome, Ctrl+Shift+P in Edge en Firefox), dan worden alle cookies automatisch verwijderd bij het afsluiten van de browsersessie.

07 Selectief beheer

Natuurlijk, als je alle cookies weghaalt, raak je mogelijk ook nuttige informatie van functionele cookies kwijt. Nu is het in de meeste browsers ook mogelijk aan te geven van welke sites je cookies wel of niet wilt toelaten, maar dat werkt behoorlijk omslachtig. In Chrome tref je daarvoor in de rubriek Cookies bij de opties Blokkeren, Wissen bij het verlaten en Toestaan een knop Toevoegen aan.

Voor selectief cookiebeheer werkt een externe tool vaak prettiger. Een degelijke tool is de plug-in Ghostery, beschikbaar voor de meeste populaire browsers. Na de installatie kunt je met een druk op de knop nagaan welke ‘trackers’ (zoals advertentiecookies, analytische cookies en aanverwante technieken waaronder die van sociale media) Ghostery heeft geblokkeerd. Op het tabblad Gedetailleerd overzicht krijg je dat allemaal te zien. Van hieruit is het tevens mogelijk voortaan alle algemene of specifieke cookies op deze site te blokkeren of juist toe te laten. Je kunt diverse trackers en cookietypes ook voor alle websites laten blokkeren. Verder tref je hier nog knoppen aan waarmee je advertenties kunt blokkeren of toelaten, en waarmee je vooral items blokkeert die de inlaadtijd van de webpagina nadelig kunnen beïnvloeden.

Er zijn ook nog andere goede cookiebeheerders, zoals de opensource-tool EditThisCookie (voor Chrome en Opera). Die richt zich vooral op de wat gevorderde gebruiker die cookies nauwgezet wil volgen.

08 Lokale opslag

Op de website van Bol.com hebben ze het over ‘cookies en vergelijkbare technieken’ en ook in Ghostery hanteren ze liever de bredere term trackers. Dat geeft al aan dat er nog andere mogelijkheden zijn dan http-cookies om gebruikers te volgen.

De zogenoemde local shared objects laten we verder buiten beschouwing, omdat ze niet vaak meer voorkomen (deze werken ook wel flash-cookies genoemd, aangezien ze via de Flash Player-plug-in van een browser op je pc belanden). Wel nog in gebruik is web-storage oftewel DOM-storage (Document Object Model), afkomstig uit html5. Surf maar eens naar www.youtube.com, klik in je browser op F12 en kijk in de rubriek Opslag (Edge en Firefox) of Application (Chrome) bij de items Sessieopslag (of Session Storage) en vooral Lokale opslag. Zo kan de Lokale opslag wel 5 tot 10 MB offline data opslaan, veel meer dus dan de 4 kB van een http-cookie.

Meer informatie, evenals testknoppen om te zien of je eigen browser deze opslagmethodes ondersteunt, vind je online.

Wil je items uit de lokale opslag verwijderen, dan doe je dat op dezelfde manier als bij cookies (zie paragraaf ‘Cookies wissen’).

09 Volgen zonder cookies

Met browser-fingerprinting, ook wel canvas- of device-fingerprinting genoemd, gooien webbeheerders het over een geheel andere boeg. Deze techniek wordt bovendien steeds meer gebruikt om de bezoeker bij allerlei sites te identificeren en te volgen. Elke browser bevat namelijk een hele reeks eigenschappen (zoals schermresolutie, systeemfonts, headers, useragent en plug-ins) en gecombineerd blijken die vaak een unieke vingerafdruk op te leveren, zodat een webserver je browser op basis hiervan kan identificeren.

Neem gerust zelf de proef op de som: surf naar Am I Unique? en even later lees je het antwoord op de vraag “Ben ik uniek?”. De kans is groot dat ook jouw browser uniek wordt bevonden en dus herkenbaar blijft als je allerlei verschillende sites bezoekt. Klik op de site eens op View more details en open de rubriek FAQ, voor extra informatie.

In de conceptversie van de ePV (zie kader ‘Cookiewetgeving’) wordt ‘device-fingerprinting’ expliciet vermeld, maar het is nog afwachten of dat tot een concrete beschermingsmaatregel zal leiden. Je kunt eventueel overwegen een browserplug-in als Privacy Badger te installeren, beschikbaar voor Chrome, Firefox en Opera. Die blijkt fingerprinting weliswaar niet echt tegen te gaan, maar de tool heeft wel meer dan 1000 domeinen van bekende trackers opgenomen en terwijl je surft worden die domeinen ofwel helemaal geblokkeerd ofwel worden alleen de traceercookies ervan geweigerd. Je kunt de beslissingen van de tool per domein op elk moment bijsturen (via de instellingen van de plug-in, op het tabblad Trackingdomeinen). Privacy Badger is wel zo slim om ook ‘link-tracking’-technieken van sociale media als Google en Facebook te blokkeren. Meer informatie hierover vind je bij Ghacks.

Javascript