Wat zijn cookies en hoe nuttig of gevaarlijk zijn ze?
Wanneer je een website (voor de eerste keer) bezoekt is de kans groot dat je een pop-up of een balkje ziet verschijnen met de vraag of je akkoord gaat met het cookiebeleid en met het aanvaarden van cookies. Maar wat zijn cookies eigenlijk? Zijn ze nuttig of zitten er ook schaduwkanten aan? Wat zegt de wet? En hoe beheer je al die cookies dan?
Wat gaan we doen?
We gaan na wat precies ‘cookies’ zijn, welke soorten er zijn en waarvoor ze zoal kunnen worden ingezet. We tonen je ook hoe je die cookies kunt beheren. Dat doen we in een paar browsers, maar ook met behulp van externe tools.
Tip 01: Wall versus banner
Laten we beginnen met een klein experiment. Bezoek even www.emerce.nl en vervolgens ook www.cookierecht.nl. In beide gevallen stuit je op een melding rond het gebruik van cookies op de site. In het eerste geval krijg je af te rekenen met een zogenoemde cookiewall: pas wanneer je Ja, ik geef toestemming aanklikt kun je de site bezoeken. In het tweede geval krijg je een cookiebanner te zien: je kunt het pop-upvenstertje ook gewoon sluiten en je hebt zonder meer toegang tot de site. Hierbij geef je (impliciet) te kennen dat je akkoord gaat met het plaatsen van bepaalde cookies – net alsof je de knop Accepteren hebt ingedrukt. Overigens tref je in deze pop-up ook de knop Instellingen aan, waarna je specifiek kunt aangeven welk type cookies je toelaat. De sitebeheerder omschrijft deze drie types als: Striktnoodzakelijk, Statistiek en Extern (o.a. sociale media). Allemaal nogal verwarrend dus, zeker voor wie niet goed weet wat cookies precies zijn. Hoog tijd dus om daar wat helderheid in te scheppen.
©PXimport
Cookies kunnen allerlei gebruikersgegevens vasthouden, bijvoorbeeld de inhoud van je winkelmandje
-
Tip 02: ‘Stateful’ sessies
Cookies zijn in feite weinig meer dan heel kleine tekstbestandjes die door een webserver op je computer worden geplaatst. Dat kan zeker nuttig zijn. Wanneer je browser namelijk een verbinding opzet met een webserver gebeurt dat via het http-protocol. Dit protocol is echter ‘stateless’, wat betekent dat gebruikersgegevens over de verschillende webpagina’s of sitebezoeken heen niet onthouden worden door de webserver. Dat houdt meteen in dat je bij elk nieuw bezoek opnieuw je voorkeuren (zoals taal of land) moet ingeven en dat is niet bepaald handig. Om nou die surfsessies toch ‘stateful’ te maken, zetten websites cookies in. Die kunnen namelijk allerlei gebruikersgegevens vasthouden, zoals je taalvoorkeur, je login-ID of de inhoud van je winkelmandje. Wanneer je later opnieuw die site bezoekt, wordt het bijhorende cookiebestand ingelezen en hoef je die gegevens niet opnieuw in te vullen op de site.
In Chrome bijvoorbeeld maakt je de (inhoud van de) cookies als volgt zichtbaar. Klik het knopje met de drie puntjes aan en kies Instellingen. Kies onderaan Geavanceerde instellingen weergeven, druk bij Privacy op de knop Instellingenvoorinhoud en vervolgens op Alle cookies en sitegegevens. Dubbelklik op een cookie om de inhoud te zien. In Edge gaat dat als volgt: druk op F12 en ga naar het tabblad Foutopsporing. In het linkervenster vouw je vervolgens Cookies open.
Of je zet hiervoor een externe tool in als IECookiesView, MozillaCookiesView of ChromeCookiesView, allemaal hier te vinden. Zo’n tool opstarten volstaat om alle opgeslagen cookies van de bijhorende browser te zien.
©PXimport
Tip 03: Functionele cookies
Het lijkt er dus op dat cookies alleen maar goed nieuws zijn voor de gebruiker, maar alle ophef, mede naar aanleiding van de opeenvolgende besluiten in de Europese wetgeving (zie kader ‘De wet’), doet wellicht al anders vermoeden. Zoals reeds aangegeven bestaan er namelijk verschillende types cookies. In tip 2 hadden we het eigenlijk alleen over functionele cookies, die nodig zijn om de gebruiker efficiënt een website te laten bezoeken, zoals dus het onthouden van taalvoorkeuren, login-ID of de inhoud van je winkelmandje. Vaak zitten hier trouwens zogenoemde sessiecookies bij, die automatisch verdwijnen zodra je de surfsessie beëindigt (in tegenstelling tot meer permanente cookies die in principe op je schijf blijven staan tot een ingestelde vervaldatum is bereikt). Voor functionele cookies hoeft volgens de (nieuwste) cookiewet geen expliciete toestemming aan de gebruiker gevraagd te worden.
©PXimport
Tip 04: Analysecookies
Er bestaan echter ook analysecookies. Die zetten websitebeheerders in om inzicht te krijgen in het gebruik van hun site. Een bekend voorbeeld zijn de cookies afkomstig van het erg populaire Google Analytics, waarmee beheerders onder meer een goed beeld krijgen van hoe de gebruiker zich door de webpagina’s beweegt. Wat deze Google Analytics-cookies betreft: wil de sitebeheerder aan een verplichte expliciete toestemming van de gebruiker ontsnappen, dan moet hij onder meer voorkomen dat het volledige IP-adres van de gebruiker richting Google wordt gestuurd.
©PXimport
De wet
Er bestaat al langer Europese regelgeving wat betreft het plaatsen van cookies op een website. Tot halfweg 2012 kon zowat iedere websitebeheerder ongestoord cookies plaatsen, maar toen werd de (eerste) cookiewet van kracht: voortaan moest elke website expliciet om de toestemming van de gebruiker vragen voor het plaatsen van cookies zodra die niet louter functioneel waren. Goed bedoeld ongetwijfeld, maar erg vervelend voor surfers die continu op een cookiemuur of -banner stuitten. Sinds 11 maart 2015 is een aangepaste, wat versoepelde cookiewet van kracht: voortaan is een expliciete toestemming ook voor analysecookies niet langer vereist, althans niet wanneer die uitsluitend worden ingezet om de kwaliteit of de effectiviteit van de site te meten. Meer informatie hierover vind je onder meer hier en hier. Houd er wel rekening mee dat elk Europees land de cookiewet enigszins anders kan interpreteren. Hier kun je terecht voor de gratis app CookieLaw die alles duidelijker hoort te maken (beschikbaar voor iPhone en binnenkort ook voor Android).
©PXimport
Tip 05: Marketingcookies
Tot slot zijn er nog de marketingcookies en het is vooral dit type dat cookies een wat wrange nasmaak geeft. Deze cookies zijn er namelijk op gericht een bezoeker te volgen op internet en/of om die zoveel mogelijk persoonsgerichte reclame te kunnen tonen – denk aan cookies van Facebook of Twitter. Voor dit type cookies is het wettelijk verplicht de expliciete toestemming van de gebruiker te vragen.
In veel gevallen heb je hier bovendien met zogenoemde third party-cookies te maken, cookies van een derde partij dus. In de regel is het namelijk alleen mogelijk dat een webserver cookies inleest die van hetzelfde domein afkomstig zijn als de website die je op dat moment bezoekt. Zo’n restrictie is echter snel omzeild. Het volstaat dat bijvoorbeeld een of ander online marketingbedrijf, zoals Google DoubleClick, een banner of een (al dan niet zichtbaar) plaatje op een webpagina van een andere website plaatst – met instemming van de beheerders van die site – om zelf ook cookies uit hun eigen domein op je computer te kunnen plaatsen zodra je die webpagina bezoekt. Wanneer je dan naderhand een andere site bezoekt, waar datzelfde marketingbedrijf ook content heeft geplaatst, dan weet dit bedrijf dat het om dezelfde gebruiker gaat – of in ieder geval om dezelfde computer of browser. Op deze manier kan een surfprofiel van jou worden samengesteld en krijg je bijvoorbeeld reclame te zien die op je vermeende interesses is afgestemd. Zulke cookies worden daarom ook wel indirecte cookies of traceercookies genoemd.
©PXimport
In de meeste browsers kun je tot op zekere hoogte cookies beheren
-
Tip 06: Traceercookies
Afhankelijk van de site die je bezoekt kun je (bepaalde) cookies al dan niet accepteren, maar sites als www.cookierecht.nl, waar je als bezoeker zelf kunt bepalen welke cookietypes je wilt toelaten, zijn zeldzaam. In de meeste browsers kun je tot op zekere hoogte cookies beheren. We kunnen ons wel voorstellen dat je niet meteen happig bent op traceercookies en die kun je eenvoudigweg blokkeren. In Chrome doe je dat via Instellingen / Geavanceerde instellingen weergeven / Instellingen voor inhoud, waarna je een vinkje plaatst bij Indirecte cookies en sitegegevens blokkeren. In Edge loopt dat eveneens over Instellingen / Geavanceerde instellingen weergeven, waarna je bij Cookies de optie Alleen cookies van derden blokkeren selecteert (andere opties zijn hier nog: Geen cookies blokkeren en Alle cookies blokkeren, maar met deze laatste blokkeer je dus ook functionele cookies waardoor sommige sites niet goed meer zullen werken).
Overigens tref je in beide browsers ook een ‘do not track’-functie aan, waarbij je browser de bezochte website zal verzoeken om geen traceercookies (en aanverwante technieken) te gebruiken. In Chrome vind je deze functie in de rubriek Privacy (Een verzoek voor niet bijhouden met je browseverkeer verzenden); in Edge in de rubriek Privacy en services (Do Not Track-aanvragen verzenden). Let wel, het gaat slechts om een verzoek; je hebt dus geen enkele garantie dat een site je verzoek inwilligt.
©PXimport
Tip 07: Verwijderen
Je kunt wel op elk moment cookies uit je browser verwijderen. In Chrome doe je dat als volgt. Klik de knop met de drie puntjes aan en kies Geschiedenis / Geschiedenis / Browsegegevens wissen. Zorg dat er een vinkje staat bij Cookies en andere site en plug-ingegevens, stel de gewenste periode in – om alle cookies te verwijderen stel je De volgende items verwijderen van in op het eerste gebruik. Bevestig met Browsegegevens wissen. Merk trouwens de opmerking boven aan het dialoogvenster op: “De volgende keer kan het handig zijn de incognitomodus (Ctrl+Shift+N) te gebruiken”. Inderdaad, wanneer je in deze modus surft worden alle cookies automatisch verwijderd zodra je de sessie afsluit – dat geldt bijvoorbeeld ook voor de ‘InPrivate navigatie-modus’ van IE of Edge.
Wil je dat Chrome altijd alle cookies automatisch wist zodra je de browsersessie stopzet, ga dan naar Instellingen / Geavanceerde instellingen weergeven / Instellingen voor inhoud en vink de optie aan: Lokale gegevens alleen bewaren totdat je je browser sluit.
Cookies wissen in Edge kan als volgt: ga naar Instellingen en klik op Kies wat u wilt wissen, waarna je hier Cookies en opgeslagen websitegegevens aanvinkt. Wil je dat Edge dat automatisch doet wanneer je de browser afsluit, zet dan de schakelknop bij Dit altijd wissen bij sluiten van browser op Aan.
©PXimport
Tip 08: Selectief beheer
Natuurlijk, wanneer je alle cookies in één klap wist, raak je ook de (vaak nuttige) functionele cookies kwijt. Nu kun je in principe wel vanuit een browser als IE, Firefox of Chrome aangeven van welke sites je cookies al dan niet wilt toelaten, maar dat werkt behoorlijk omslachtig. Voor selectief cookiebeheer zet je daarom beter een externe tool in. Een van de betere is de browser plug-in Ghostery, beschikbaar voor zowat alle bekende browsers. Het komt er in essentie op neer dat deze plug-in aangeeft welke trackers een bezochte website bevat, opgedeeld in Reclame, Site-analyse en Essentieel (lees: functioneel), waarna je met een paar muisklikken aangeeft welke trackers (cookies) je al dan niet accepteert, hetzij specifiek voor deze site, hetzij voor alle sites.
Er zijn ook nog andere goede cookiebeheerders, waaronder opensource-tool EditThisCookie (voor Chrome en Opera) en Firefox plug-in Advanced Cookie Manager. Beide tools zijn echter vooral bedoeld voor (wat gevorderde) gebruikers die het hele cookieverhaal in hun browsers nauwgezet willen volgen.
©PXimport
Er bestaan nog heimelijker en hardnekkiger varianten dan de klassieke http-cookies!
-
Tip 09: Nog meer cookies
Zonder het met zoveel woorden te zeggen hebben we ons in dit artikel vooral gefocust op klassieke http-cookies, die dus via het http-protocol worden uitgewisseld. Er bestaan echter ook nog een paar andere cookies of cookie-verwante technieken, die vaak nog hardnekkiger en heimelijker zijn. Zo zijn er bijvoorbeeld de Flash-cookies, ook wel LSO’s (Local Shared Objects) genoemd. In tegenstelling tot de klassieke http-cookies is hier geen vervaldatum ingebouwd en kunnen ze bovendien veel meer data bevatten: standaard 100 kB, in tegenstelling tot de bescheiden 4 kB van een klassiek cookie. Deze cookies belanden op je schijf via de Flash Player plug-in van je browser.
Verder zijn er nog cookies die gebruikmaken van ‘web storage’ oftwel DOM-storage (Document Object Model), afkomstig uit html5, en ook externe plug-ins als java en Silverlight laten lokale opslag toe. En wat dacht je bijvoorbeeld van ‘browser fingerprinting’: iedere browser bevat een hele reeks eigenschappen (zoals plug-ins, schermresolutie, systeemfonts, headers, user agent, enz.) en gecombineerd blijken die eigenschappen een browser een tamelijk unieke ‘fingerprint’ te geven. Ook op basis hiervan zou een webserver dus jouw browser kunnen identificeren. Voer zelf maar eens de test uit door hiernaartoe te surfen en de knop Test me in te drukken. Op het einde van de rit klik je dan op Show full results for fingerprinting. Slechts één op de 153.000 browsers bleek dezelfde fingerprint als de onze te hebben … Niet meteen een geruststellende gedachte.
©PXimport
Tip 10: Supercookie-aanval
Wil je ook op ‘supercookies’ als Flash en DOM-storage jagen, dan kun je eventueel een gratis tool als PrivaZer inzetten. Toegegeven, de interface oogt wat warrig, maar je kunt het als volgt aanpakken. Surf hiernaartoe en klik op Downloaden / Downloaden van de draagbare versie. Voer het programma uit en vink Ga naar hoofdmenu aan. Bevestig met Volgende. In het uitklapvenster kies je Internetactiviteiten, waarna je (alleen) een vinkje plaatst bij Cookies. Klik eventueel ook even Om te behouden aan: dan toont PrivaZer je van welke sites of domeinen cookies niet zullen verwijderd worden.
Vervolgens druk je op de knop Scan. Na afloop klik je Cookies – [x-aantal] aan. Klik de kolomtitel Type aan, zodat de cookies gesorteerd worden volgens type. PrivaZer herkent onder meer http-cookies en die van Flash, html5 en Silverlight. Je zet de opruimactie in gang met Schoonop.
©PXimport
Cookies bakken
Heb je een eigen website, dan vind je het wellicht nuttig om zelf ook één of meer (functionele) cookies te gebruiken. Dat kan met behulp van javascript. Op het internet vind je voldoende scripts die je met enige aanpassing op je eigen behoeftes kunt afstemmen. Met name hier vind je duidelijke instructies en eenvoudige scripts. Druk hier bij wijze van test ook even op de groene Try it Yourself-knop. Vul je naam in, bevestig met OK en klik dan bovenaan de groene Run-knop in. Je zal zien dat de browser je naam onthoudt, ook wanneer je die hebt herstart. Echter, zodra je cookies uit je browser verwijdert (zie ook tip 7), is de browser logischerwijs je naam weer kwijt.
©PXimport
