Skip to main content

Wat zijn cookies?

Cookies zijn kleine tekstbestanden die websites in uw browser opslaan. Wanneer u een website bezoekt, kan de server samen met de pagina-inhoud een cookie meesturen. Uw browser slaat deze cookie op en stuurt hem bij elke volgende aanvraag terug naar de server. Dit eenvoudige mechanisme — een waarde opslaan en terugsturen — vormt de basis van vrijwel elke gepersonaliseerde webervaring.

Begrijpen wat cookies zijn, hoe ze werken en waarvoor ze worden gebruikt, is de essentiële eerste stap naar cookieconformiteit. Je kunt niet reguleren wat je niet begrijpt.

Hoe cookies technisch werken

In de kern zijn cookies sleutel-waardeparen. Een cookie heeft een naam, een waarde en een reeks attributen die het gedrag bepalen. Wanneer een webserver een cookie wil instellen, voegt hij een Set-Cookie-header toe aan zijn HTTP-respons:

Set-Cookie: session_id=abc123; Path=/; Expires=Thu, 16 Mar 2027 00:00:00 GMT; Secure; HttpOnly

Dit vertelt de browser: "Sla een cookie op met de naam session_id en de waarde abc123. Stuur hem mee met elke aanvraag naar elk pad op dit domein. Bewaar hem tot maart 2027. Verstuur hem alleen via HTTPS. En geef JavaScript er geen toegang toe."

Bij elke volgende aanvraag aan dat domein voegt de browser de cookie automatisch toe aan de Cookie-header:

Cookie: session_id=abc123

De server leest deze waarde en weet van wie de aanvraag afkomstig is. Dat is het hele mechanisme. Cookies zijn geen programma's. Ze kunnen geen code uitvoeren, geen toegang krijgen tot uw bestandssysteem en niets installeren. Ze zijn passieve gegevens — tekststrings die heen en weer reizen tussen browser en server.

Waarvoor cookies worden gebruikt

Cookies dienen vier brede doeleinden op het moderne web:

Authenticatie en sessiebeheer

Wanneer u inlogt op een website, maakt de server een sessie aan en slaat een unieke sessie-identificatie op in een cookie. Zonder deze cookie zou de server geen enkele manier hebben om te weten dat uw volgende pagina-aanvraag van dezelfde ingelogde gebruiker afkomstig is. Elke keer dat een pagina laadt, zou het als een eerste bezoek voelen. Winkelwagentjes, gebruikersaccounts, adminomgevingen — geen daarvan werkt zonder sessiecookies.

Gebruikersvoorkeuren

Cookies onthouden uw keuzes. Taalvoorkeuren, thema-instellingen (donkere modus versus lichte modus), valutakeuze, en de cookietoestemmingskeuzes zelf — die worden doorgaans allemaal in cookies opgeslagen. Wanneer u terugkeert naar een site en die al weet dat u de voorkeur geeft aan Duits, leeft die kennis in een cookie.

Analyse en prestaties

Diensten als Google Analytics, Matomo en Plausible gebruiken cookies om onderscheid te maken tussen unieke bezoekers en terugkerende bezoekers, om bij te houden welke pagina's binnen één sessie worden bekeken en om te meten hoe bezoekers door een site navigeren. De analysecookie bevat doorgaans niet rechtstreeks persoonlijke informatie — hij bevat een anonieme identificatie zoals _ga=GA1.2.123456789.1710000000.

Advertenties en tracking

Hier worden cookies een privacykwestie. Advertentienetwerken gebruiken cookies om gebruikers over meerdere websites heen te volgen en profielen van surfgedrag op te bouwen die gerichte advertenties mogelijk maken. Wanneer u een nieuwssite bezoekt en later advertenties ziet voor een product dat u op een andere site hebt bekeken, maakten cross-site trackingcookies dat mogelijk. Deze cookies van derden zijn het belangrijkste doelwit van de moderne privacyregelgeving.

Een korte geschiedenis van cookies

Cookies werden in 1994 uitgevonden door Lou Montulli, een programmeur bij Netscape Communications. Het oorspronkelijke doel was bescheiden: Netscape had een manier nodig om een winkelwagentje te implementeren voor een e-commerceklant, zonder de inhoud van het winkelwagentje van elke gebruiker op de server op te slaan. Montulli paste het concept van "magic cookies" uit de Unix-wereld aan — kleine tokens die tussen programma's worden doorgegeven om de status te bewaren.

De eerste cookies waren een praktische engineeringoplossing. Maar hun potentieel voor tracking werd snel onderkend. In 1996 publiceerde de Financial Times het eerste mainstreamartikel dat privacyzorgen over cookies aan de orde stelde. In 2002 had de EU de ePrivacy-richtlijn aangenomen die specifiek op cookies gericht was.

In de twee decennia die volgden, ontwikkelden cookies zich van een eenvoudig hulpmiddel voor sessiebeheer tot de ruggengraat van de digitale advertentie-industrie — en het belangrijkste doelwit van privacywetgeving wereldwijd.

Waarom cookies een privacykwestie zijn

Het privacyprobleem met cookies gaat niet over de technologie zelf. Een cookie die uw taalvoorkeur onthoudt, is onschadelijk. De zorg ontstaat door drie specifieke gebruikswijzen:

  1. Cross-site tracking. Cookies van derden stellen advertentienetwerken in staat om gebruikers over het hele web te volgen en gedetailleerde profielen van surfgedrag op te bouwen. Een gebruiker die een medische informatiesite, de site van een politieke organisatie en een datingsite bezoekt, heeft gevoelige informatie prijsgegeven — en dat kan allemaal via cookies met elkaar in verband worden gebracht.
  2. Gebrek aan transparantie. De meeste gebruikers hebben geen idee hoeveel cookies er worden ingesteld wanneer ze een gemiddelde website bezoeken. Eén enkele nieuwssite kan 50 tot 100 cookies plaatsen van tientallen verschillende domeinen. De gebruiker ziet één website; achter de schermen observeren tientallen bedrijven zijn bezoek.
  3. Persistentie. Cookies kunnen jaren blijven bestaan. Een trackingcookie die in 2024 is geplaatst, kan in 2026 nog steeds dezelfde gebruiker identificeren. Deze mogelijkheid tot langdurig volgen, gecombineerd met het bereik over meerdere sites, creëert een surveillance-infrastructuur die functioneert zonder dat de meeste gebruikers dat weten of daar betekenisvolle toestemming voor hebben gegeven.

Deze zorgen zijn de reden waarom de ePrivacy-richtlijn (artikel 5, lid 3) geïnformeerde toestemming vereist voordat niet-essentiële cookies worden geplaatst, en waarom de GDPR (artikelen 4, lid 11, en 7) strikte voorwaarden stelt aan wat geldige toestemming inhoudt.

Verder dan cookies: andere trackingtechnologieën

De moderne privacyregelgeving dekt niet alleen cookies. De ePrivacy-richtlijn verwijst naar "de opslag van informatie of het verkrijgen van toegang tot reeds opgeslagen informatie in de eindapparatuur van een abonnee of gebruiker." Deze formulering dekt bewust elk client-side opslagmechanisme, waaronder:

  • localStorage en sessionStorage — Web Storage-API's waarmee websites grotere hoeveelheden gegevens in de browser kunnen opslaan. Anders dan cookies worden deze gegevens niet automatisch naar de server gestuurd, maar ze kunnen nog steeds voor tracking worden gebruikt en vereisen toestemming volgens dezelfde regels.
  • IndexedDB — Een krachtigere client-side database. Dezelfde toestemmingsregels gelden.
  • Browserfingerprinting — Het verzamelen van apparaatkenmerken (schermresolutie, geïnstalleerde lettertypen, browserplug-ins, tijdzone) om een unieke identificatie te creëren zonder iets op het apparaat op te slaan. Hoewel fingerprinting geen cookies gebruikt, wordt het steeds vaker erkend als een trackingtechnologie waarvoor toestemming vereist is. De Franse CNIL en verschillende andere toezichthouders hebben richtlijnen uitgevaardigd die dit bevestigen.
  • Trackingpixels — Piepkleine, onzichtbare afbeeldingen die vanaf een externe server worden geladen. De aanvraag zelf onthult het IP-adres van de gebruiker, de browser en de pagina waarop hij zich bevindt. Trackingpixels werken vaak samen met cookies, maar kunnen ook onafhankelijk functioneren.
  • ETags en cachegebaseerde tracking — Technieken die de browsercache misbruiken om identificaties op te slaan en op te halen. Deze zijn minder gebruikelijk, maar tonen aan waarom regelgeving zich richt op het resultaat (tracking) in plaats van op de specifieke technologie.

De praktische conclusie: als uw website informatie op het apparaat van een gebruiker opslaat of raadpleegt voor niet-essentiële doeleinden, of als hij technieken gebruikt om gebruikers over sessies heen te volgen, is toestemming vrijwel zeker vereist — ongeacht of het mechanisme technisch gezien een "cookie" is.

De cookiescanner van Passiro detecteert alle cookies en trackingtechnologieën op uw website, inclusief het gebruik van localStorage, scripts van derden en trackingpixels — zodat u een compleet beeld krijgt van wat uw site verzamelt.

Belangrijkste conclusies

  • Cookies zijn kleine tekstbestanden die door de browser worden opgeslagen en bij elke aanvraag naar de server worden teruggestuurd.
  • Ze dienen legitieme doeleinden (authenticatie, voorkeuren) en privacygevoelige doeleinden (analyse, advertenties).
  • Trackingcookies van derden zijn de belangrijkste zorg van de privacyregelgeving.
  • Andere technologieën (localStorage, fingerprinting, pixels) zijn onderworpen aan dezelfde toestemmingsvereisten.
  • Begrijpen welke cookies uw website gebruikt, is de eerste stap naar conformiteit.

Laten we vervolgens de verschillende soorten cookies in detail bekijken — want het type bepaalt de toestemmingsvereisten.

Voldoet uw website aan de cookieregels?

Scan uw website gratis en vind alle cookies binnen enkele minuten.

Scan uw cookies gratis