Cookies: hoe werken ze en waarom bestaan ze?

15-04-2019

Landerbarthold, Mike

Op praktisch iedere website die je bezoekt, kom je ze tegen: cookiemeldingen. Vaak klik je zonder er uitvoerig over na te denken op ‘accepteren’ of ‘weigeren’ (of soortgelijke buttons) en vervolg je je browse-avontuur. En, uiteraard begrijp je wel ongeveer hoe cookies werken. Maar wat er precies achter de schermen gebeurt, wat de vele mogelijkheden van cookies zijn en wat (juridisch) toelaatbaar is, blijft toch vaag. Herken je jezelf hierin? In een aantal verschillende blogs, geeft Mike Landerbarthold antwoord op al je vragen. Met als eerste onderdeel: hoe werken cookies en waarom bestaan ze?

Cookies: betekenis en hoofdfunctie
Een cookie is in technische zin niets anders dan een klein tekstbestandje dat op een apparaat – zoals een computer of smartphone – kan worden opgeslagen. Het opslaan en uitlezen van cookies, gebeurt door middel van een script dat in de HTML-code van de website is ingesloten. Cookies doen feitelijk 3 dingen: informatie schrijven (bijvoorbeeld: ‘plaats cookie 1’), informatie lezen (bijvoorbeeld: ‘toon alle geplaatste cookies’ of 'voer actie x uit'), of verwijderen (bijvoorbeeld: ‘verwijder geplaatste cookies’).

Doordat een cookie een bepaald script leest, kunnen oneindig veel verschillende functies en acties worden uitgevoerd. Het staat een programmeur immers vrij om een script zo te schrijven, dat deze de functie uitvoert die hij wil. Cookiescripts kunnen in dat kader bijvoorbeeld worden gebruikt om te checken of een bezoeker al is ingelogd op een bepaalde website, om zijn of haar voorkeuren ten aanzien van een website te onthouden of om simpelweg informatie over de bezoeker te achterhalen (denk hierbij aan een IP-adres of door de bezoeker bezochte (sub)pagina’s).

Maar, zijn cookies daadwerkelijk essentieel voor het functioneren van het internet? Ja en nee. Voor een simpele website, zijn cookies (mijns inziens) helemaal niet nodig. Zo geeft een website van een restaurant of toeristische attractie informatie weer over bijvoorbeeld de menukaart of de bereikbaarheid van de attractie. Als de bezoeker na het zien van deze informatie geïnteresseerd raakt, kan deze actie ondernemen en bijvoorbeeld naar het restaurant of de attractie toe gaan. Maar, sommige websites moeten informatie kunnen 'onthouden' van bezoekers om te kunnen functioneren. En dan zijn cookies wel nodig.

Zo moet een webwinkel kunnen onthouden dat een bezoeker producten in zijn of haar winkelwagen heeft geladen nadat deze op ‘bestellen’ heeft geklikt, of dat hij of zij na betaling van hetzelfde product via een betaalportaal moet worden teruggeleid naar de webwinkel en vervolgens een bericht moet krijgen dat betaald is. En bovendien is het zowel voor de website, als voor een bezoeker handig dat de website weet uit welk land de bezoeker komt, zodat deze de juiste (nationale) catalogus te zien krijgt op de webwinkel en in de juiste valuta kan betalen.

En eigenlijk wil een webwinkel ook wel weten welke specifieke producten haar bezoekers hebben bekeken, zodat zij hen voortaan geschiktere producten kan aanbieden, haar op andere websites gerichte advertenties kan tonen en daarmee meer inkomsten kan generen En dat alles, is alleen mogelijk door gebruikmaking van cookies. Maar, je voelt zelf ook wel aan dat vooral de laatste soorten cookies, in tegenstelling tot de eerste, zeker niet essentieel zijn voor het functioneren van het internet, maar hoogstens slechts handig. En dat geldt vooral voor de websitehouder..

Cookies: technisch proces en ontstaan
Voor het bovenstaande, is het van belang om de techniek achter cookies te begrijpen. Technisch is de situatie namelijk als volgt, wanneer iemand een website zonder cookies bezoekt: de browser maakt verbinding met de webserver, waarop deze na totstandkoming van de verbinding een informatieaanvraag doet en vervolgens een ‘pakket’ aan informatie opgestuurd krijgt van de server. De browser vertaalt deze informatie hierop in een website, welke de bezoeker vervolgens bekijkt.

Het probleem in dit proces voor veel websites, is dat servers in beginsel ‘statisch’ zijn, wat betekent dat zij iedere ‘informatieaanvraag’ van iedere bezoeker hetzelfde behandelen. Voor de ‘simpele websites’, zagen we al dat dit in beginsel geen probleem is. Zij hoeven immers slechts informatie weer te geven, waar een bezoeker vervolgens een actie op kan ondernemen. Maar voor bijvoorbeeld een webwinkel is de situatie anders, zoals we hierboven eveneens zagen. Om dit ‘statische probleem’ op te lossen, kwam men in de jaren ’90 van de vorige eeuw met de ‘magic cookie’, die later simpelweg ‘cookie’ is gaan heten. Cookies maakten ‘statische’ servers ‘dynamisch’, door de mogelijkheid te bieden informatie uit bepaalde informatieaanvragen op te slaan. In andere woorden: ‘domme’ websites konden door middel van cookies ‘slim’ gemaakt worden.

De uitvinding van cookies veranderde het hierboven omschreven proces aanzienlijk. Wanneer iemand een website met cookies bezoekt, gebeurt er nu het volgende: de browser maakt verbinding met de server, welke checkt of er (al) cookies zijn geplaatst op het apparaat. Indien dit niet het geval is, schrijft de server een nieuwe cookie (of voert zij een ‘update’ uit ten aanzien van een geplaatste cookie) en leest zij vervolgens de informatie uit de cookie uit (en voert zij vervolgens een bepaalde functie uit). Door een simpel tekstbestandje te plaatsen of uit te lezen, veranderde het internet dus volledig en werden – bijvoorbeeld – webwinkels mogelijk. Eind goed, al goed, zou je zeggen..

Cookies: vervolg
Maar, hoewel het bovenstaande voor velen gesneden koek is, blijven er nog altijd veel vragen bestaan over cookies. Aangezien cookiescripts zelf (doorgaans) niet openbaar zijn, en bovendien talloze verschillende functies kunnen hebben, weet men in veel gevallen niet wat bepaalde cookies doen en wat men daarmee over de bezoeker te weten komt. En vanzelfsprekend, komen privacyrisico's dan ook om de hoek kijken.

Dit artikel is ook te vinden in het dossier e-privacy.

Meer van SOLV Advocaten

SOLV Advocaten verzorgt de cursus 'Datalekken en cybersecurity'. Klik hier voor de eerstvolgende cursusdatum.

Van onze partners

Masterclass Privacy: the next step

Deze masterclass is in samenwerking met de Universiteit van Amsterdam. In zeven modules wordt privacy bekeken vanuit een juridisch, psychologisch, technologisch, economisch en ethisch perspectief.

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer