Over cookies hoor ik de vreemdste dingen. Dat het een soort virussen zijn, bijvoorbeeld. Maar een goede uitleg van wat cookies zijn ontbreekt. Een poging.

Iedereen kent wel het gebruik dat bezoekers aan een feest of discotheek na betaling een polsbandje krijgt of een stempel op de hand. Dit maakt het mogelijk dat de bezoeker naar buiten kan en later op vertoon van bandje of stempel toch weer binnengelaten kan worden zonder opnieuw te betalen.

Dat is de essentie van een cookie.

Als je het beveiligde deel van een website wilt binnengaan, moet je gewoonlijk gebruikersnaam en wachtwoord opgeven. Maar om te voorkomen dat dit ook bij elke volgende pagina die bezocht wordt, nodig is, krijgt de gebruiker zo’n polsbandje, een cookie. Bij elke volgende pagina op dezelfde site stuurt de browser van de gebruiker de informatie op de cookie mee naar de server. Aan de hand van die informatie weet de server wie de gebruiker is. Daarom hoeft de gebruiker niet voor elke pagina gebruikersnaam en wachtwoord in te typen. Dat zou namelijk niet erg gebruiksvriendelijk zijn. Een browser die deze gegevens in stilte elke keer zou meesturen zou niet erg veilig zijn, omdat het wachtwoord navenant vaak onderschept kan worden.

Zo bezien dragen cookies dus bij aan de beveiliging en de gebruiksvriendelijkheid.

De informatie op de cookie kan een tijdelijke toegangskode zijn, maar kan ook beschrijven welke gegevens de gebruiker in zijn winkelmandje heeft liggen, of in welke taal de pagina’s geserveerd moeten worden. Veel van deze gegevens had de server ook zelf kunnen bijhouden, maar om technische redenen is het handiger om dit bij de machine van de gebruiker neer te leggen.

Third-party cookies in termen van polsbandjes

Bij binnenkomst in de discotheek krijg je één polsbandje, namelijk die van de discotheek zelf. Maar dat kan bij cookies wel eens anders zijn. De gebruiker krijgt namelijk niet alleen een cookie van de site die hij bezoekt, maar ook een van alle adverteerders op die webpagina. Alsof je in de discotheek ook polsbandjes krijgt van Pepsi, Heineken, RTL, Q-Music, L’Oreal en Sony. Maar deze polsbandjes blijven om je arm zitten. Als je dan de week daarop een andere gelegenheid bezoekt, wordt er opgemerkt dat je de bandjes van die adverteerders nog om hebt en wordt dat doorgegeven aan die adverteerder. Zodoende weten de adverteerders precies welke sites je bezocht hebt, althans voorzover die sites voorzien waren van hun advertenties.  Met andere woorden ze bouwen een profiel en weten dat je graag rondhangt in schimmige kroegen in het Amsterdamse uitgaansleven, dat je houdt van vette shoarma en dat je in de laatste trein terug naar Purmerend zat. Zoiets.

Dit lijkt veel onschuldiger dan het is, omdat het profiel dat gemaakt kan worden akelig kompleet is.

Om te beginnen zijn er een paar grote partijen die hun cookies laten plaatsen door vrijwel alle websites van de wereld. Sociale media zijn populair en veel bedrijven willen hun ego strelen met like-buttons of retweeters, of hoe het ook allemaal heet. Maar het gevolg is, dat Facebook en Twitter aan de hand van de cookies die ze plaatsen, een zeer volledig beeld hebben van het surfgedrag van de gebruikers. Ook van gebruikers zonder een Facebook-account! Hetzelfde geldt voor Google. Google is namelijk niet alleen een zoekmachine, het is ook een zeer grote advertentieverkoper. Dus de advertenties van verschillende bedrijven, worden misschien allemaal bemiddeld door Google en gebruiken dezelfde cookie. De bemiddelaars hebben dus ook een zeer volledig beeld. Daarnaast heeft Google nog een ijzer in het vuur. Veel webmasters willen weten hoe populair de pagina’s van hun sites zijn. Daarom gebruiken ze analytics, veelal van Google. Alle pagina’s van al die geanalyseerde sites gebruiken dezelfde cookie en maken bij elk bezoek kontakt met de servers van Google en konsorten.

Tenslotte bestaat er een levendige handel in deze gegevens. De gegevens worden gekombineerd, verrijkt, en geselekteerd. Aan het einde van de pijplijn ontstaat er een pijnlijk privaat dossier van honderden pagina’s met surfgedrag, koopgedrag, interesses, adresgegevens, life style gedrag, namen, geboortedata, de hele santekraam.

De Nederlandse Overheid brengt mijn security in gevaar, met wellicht goedbedoelde, maar domme maatregelen. Echter een overheid die tegen alle advies in volhard in domheid is niet goedbedoelend, maar onverbeterlijk.

Ik wil niet gevolgd worden door advertentieverkopers. Ik wil daarom niet dat bedrijven mijn surfgedrag in kaart kunnen brengen. Dus heb ik mijn browser zo ingesteld dat bij bezoek van een site alleen de cookies van de site zelf geplaatst mogen worden op mijn komputer. Cookies van adverteerders op die webpagina laat ik niet toe. Daarnaast is mijn browser zo ingesteld dat alle cookies worden weggegooid als ik de browser sluit. Alle cookies weg; veilig gevoel. Natuurlijk moet ik dan wel opnieuw aanmelden bij sommige websites, want ook de funktionele cookies worden hierbij weggegooid. Des te beter, ik kan dus niet per ongeluk aangemeld blijven op een site, zodat degene na mij de sessie kan overnemen.

So far so good.

Nu komt onze overheid in beeld. De wetgever trekt zich de privacy-zorgen van de burgers aan en wil iets doen tegen cookies die gebruikt worden om Internet-gebruikers te traceren. Daarvoor is een monster van een wet bedacht die alle gebruik van niet-funktionele cookies verbiedt op websites zonder expliciete toestemming van de gebruiker.

Om aan de wet te voldoen moet de web site daarom aan de gebruiker vragen of hij bezwaar heeft tegen het gebruik van niet-funktionele cookies. Om te voorkomen dat die vraag bij elk bezoek opnieuw gesteld moet worden, wordt het antwoord bewaard in ….. cookies. O ironie.

Gevolg is wel dat iedereen die zelf zo verstandig is cookies aan het einde van de sessie te laten opruimen, ook deze toestemmingscookies opruimt en dus dat hij bij een volgend bezoek aan de site weer gevraagd wordt om toestemming.

Deze wet is dus een straf voor verstandig surfgedrag.

Daarnaast heeft de wet nog een groot aantal andere rare punten. De wet geldt voor alle websites waar ook ter wereld indien ze bezocht worden door Nederlanders. Mij is niet duidelijk hoe de Opta dit in het buitenland denkt te gaan handhaven. Typisch een staaltje extraterritoriale wetgeving. Veel handiger was het geweest de wet toe te passen op Nederlandse of Europese websites.

Tenslotte is een gevolg van de wet, dat tal van sites de gebruikers in feite geen keus bieden met opmerkingen als:

bij gebruik van deze site veronderstellen wij dat u akkoord gaat met het gebruik van cookies

of, op sommige sites als de gebruiker geen niet-funktionele cookies wenst:

sorry, zo kunnen wij niet werken; kom een andere keer maar terug

Kortom, vanuit technisch standpunt was dit een knap staaltje domme symboolwetgeving.