Cookies: Grondslagen en betekenis voor de bescherming van persoonsgegevens op websites

Betekenis van cookies

Cookies spelen in het kader van de DSGVO een belangrijke rol voor websites. De redenen zijn vooral:

1. Het vonnis van het Hof van Justitie van de Europese Unie over cookies. Hierbij ging het echter niet voornamelijk om cookies, maar de berichtgeving heeft dit zo gepresenteerd
2. De nieuwe versie van de ePrivacy richtlijn wordt onterecht ook wel Cookie Richtlijn genoemd.
3. De verkoopstrategie van enkele aanbieders van Consent Tools en enkele adviesplatforms
4. De feit dat cookies het gemakkelijkst kunnen worden aangetoond als een gegevensverwerkingsmechanisme en niet weggedebatteerd kunnen worden

Wat is een cookie?

Een cookie bestaat uit een sleutel en een waarde en wordt door de browser van de gebruiker beheerd. Vroeger werden cookies op het eindapparaat van de gebruiker in de vorm van tekstbestanden opgeslagen. Tegenwoordig worden cookies vaak in databases gestopt. Cookies zijn geen tekstbestanden en waren dat ook nooit, omdat elke browser zelf kon kiezen hoe ze werden opgeslagen en kan.

Een cookie heeft in het bijzonder de volgende eigenschappen (voorbeeldwaarden zijn tussen haakjes gegeven):

• Naam: NID
• Waarde: 200=UxxxxxxsGiW99MK4GuykyVJnK8PMOWi02EBAwQ-juoMaximilia-injksa728lslsn
• Levensduur: 1 jaar
• Veiligheidseinstellingen: HttpOnly
• Domein: google.com

Over de domein van het cookie wordt vastgesteld of een First- of Third-Party Cookie aanwezig is.

First-Party Cookies

Eerste-partijcookies worden door de website zelf beheerd en kunnen alleen door deze gelezen worden. Heeft het cookie domein webseite4711.de en heeft de website eveneens deze adres, is het cookie First-Party voor deze website.

Third-Party Cookies

Derde-partijcookies worden in ieder geval door derden beheerd. Een derde partij is een aanbieder van een tool zoals bijvoorbeeld Google reCAPTCHA. Wanneer zodanig een derdanbietertool geladen wordt, worden alle cookies van de browser aan het verzoek toegevoegd die in dezelfde domein liggen als het tool.

Een derde partij-cookie kan alleen op de server van degene worden gegenereerd die een bestand heeft opgevraagd.

Een praktisch voorbeeld van Google reCAPTCHA: Dit hulpmiddel biedt zich over de domein google.com aan. Bij het oproepen van een website die reCAPTCHA inzet, gebeurt het volgende:

1. De website wordt in de browser opgeroepen door invoering van de adres _www.webseite4711.de
2. De website gebruikt Google reCAPTCHA via volgende bestand: https://www.google.com/recaptcha/api.js
3. De browser haalt de bestand op en stuurt alle al aanwezige cookies voor het domein google.com mee. Vooral wordt hierbij het cookie NID overgezet, dat de Google gebruiker-ID bevat. Dit cookie wordt bijvoorbeeld gezet als een gebruiker zich inlogt bij zijn Google account.
4. Het opgeroepen hulpmiddel kan het cookie lezen of diens waarde wijzigen.

Derde-partijcookies zijn dus alleen voor de tools beschikbaar die zich in dezelfde domein bevinden als het cookie, waarbij de domein per definitie een andere is dan die van de opgeroepen website (daarom de naam _Third-Party, dus derde partij).

Deel van derde-partij cookies tussen verschillende tools

Het net genoemde hulpmiddel Google reCAPTCHA heeft toegang tot meerdere domeinen, onder andere google.com en gstatic.com. Alle voor deze domeinen eerder geplaatste cookies worden automatisch aan dit hulpmiddel beschikbaar. Hierdoor kan reCAPTCHA niet alleen zelfbeheerde cookies lezen, maar ook die van alle andere Google-hulpmiddelen die cookies op een van de twee genoemde Google-domeinen plaatsen. Zo heeft reCAPTCHA dus uitgebreide toegang tot diverse cookies die eigenlijk aan andere hulpmiddelen moeten worden toegekend! Dit maakt het in feite onmogelijk om Google reCAPTCHA zonder een toestemmingsverzoek rechtsconform te gebruiken. De vraag naar een toestemming is moeilijk, omdat niemand weet welke gegevens Google op welke manier verwerkt.

Eerstepartijcookies voor derden

Bindt een website aan Tool zoals Google Analytics aan, wordt daarbij een Javascript-code op de website geladen. Met deze Javascript-code kunnen ook First-Party Cookies beheerd worden, want de JavaScript-code „leeft“ op de ladende website en kan in haar plaats handelen.

Een first-party cookie wordt tot een third-party-cookie gemaakt

Een first-party cookie kan ook een third-party cookie worden. Hier is een populair voorbeeld:

1. Een gebruiker belt de website google.com op
2. Hierbij wordt een First-Party Cookie genaamd NID op de domein google.com aangemaakt (of bijgewerkt, als het al bestond)
3. De gebruiker belt nu een website uvwxyz.de op, die Google reCAPTCHA inzet
4. Google reCAPTCHA wordt onder andere van de domein google.com geladen. Bij het laden van het hulpmiddel wordt dus het oorspronkelijke First-Party cookie _NID geladen en is nu een Third-Party cookie, want de domein van de huidige website luidt uvwxyz.de en is dus ongelijk aan google.com._

Cookies en gegevensbescherming

Altijd wanneer een website een tool van een domein laadt, worden alle op het eindapparaat van de gebruiker aanwezige cookies automatisch meegezonden.

Als een tool scripts van andere domeinen laadt, kunnen deze scripts nog meer Third-Party Cookies genereren, lezen en wijzigen. In de praktijk gebeurt dit bijvoorbeeld (altijd, datum 30.12.2020) wanneer je YouTube-videos inlaadt met of zonder cookies (!), waarbij voor marketingdoeleinden de tracker DoubleClick wordt geladen. DoubleClick wordt vanuit de domein doubleclick.net geladen en kan dus op cookies van deze domeinen toegang hebben.

Je meer bestanden van verschillende domeinen een tool downloadt, hoe meer controle over cookies het heeft. Op websites geïntegreerde YouTube-videos laden bijvoorbeeld niet alleen bestanden van youtube.com of youtube-nocookie.com, maar ook van ytimg.com, gstatic.com en doubleclick.net. Gelijkertijd downloadt Google Maps ook bestanden van gstatic.com, waardoor beide tools bijvoorbeeld via deze domeinen met elkaar kunnen communiceren. Aangezien het bedrijf Google allemaal deze servers in bezit heeft, kan het bedrijf naar believen opgehaalde gegevens onzichtbaar aan zichzelf doorsturen.

Cookies zijn geschikt voor het identificeren en volgen van gebruikers over meerdere sessies heen. Een sessie is een bezoek aan een website, dat wordt beëindigd door het verlaten van de website of het sluiten van de browser.

Een cookie bestaat alleen binnen een enkel browser op het eindapparaat van de gebruiker. Bezoekt de gebruiker een website vanuit een andere browser, kent deze andere browser de cookies van voorgaande bezoeken aan de website niet.

Cookies zijn dus in principe niet geschikt voor het overdraagbaar maken van gebruikers naar browsers of apparaten.

Het sprookje van de cookie-loze domein

Zeker hebt u ook al eens over de Google Tag Manager gelezen dat het een cookieloze domein is. Dat deze bewering op zich grove nonsens is, omdat een dienst geen domein is, laat ik even buiten beschouwing.

De uitspraak klopt ook niet als men de domeinnaam googletagmanager.com als cookievrij beschouwt. Dit heb ik in een eigen bijdrage over Google Tag Manager aangetoond en bewezen.

De oplossing voor cookies

De oplossing is om zoveel mogelijk geen tools te gebruiken die cookies verwerken. Onnodige tools moeten onmiddellijk verwijderd worden. Externe lettertypen, afbeeldingen en bibliotheken moeten lokaal geplaatst worden. Vraag uw dienstverlener om een volledig overzicht van uw website om alle ingezette tools te achterhalen.

Andere oplossingsmogelijkheden:

• Alternatieven voor Google Tools
• Controlelijst toestemmingsvraag (omdat je dit niet moet gebruiken als motivatie)

Let op dat ook tools op websites die geen cookies gebruiken vaak een toestemming vereisen.