Cookies strijdig met privacy-richtlijn EU

Het plaatsen van cookies is een proces dat in stilte gebeurt. Bezoekers van websites hebben vaak geen idee hoe het mechanisme werkt en op welke manier persoonlijke gegevens worden bewaard en vooral verwerkt. "Het cookie-mechanisme voldoet alarmerend slecht aan de wettelijke privacy-eisen. De gebruiker van een website wordt namelijk helemaal niet geïnformeerd en ook is er absoluut geen toezicht op degene die de gegevens verzamelt", stelt Nicoline Braat. Zij heeft onderzoek gedaan naar een verzameling van meer dan 53.000 cookies. Door analyse met de computer is Braat er in geslaagd uit te zoeken wat voor soort cookies er worden neergezet op de harde schijf van de gebruiker en wat voor gebruik daar vervolgens van kan worden gemaakt. Gebruikersvriendelijk Het uitpluizen van het gigantische corpus aan cookies vereiste trouwens een listige aanpak, omdat vrijwel iedere aanbieder van cookies een eigen terminologie hanteert. Braat heeft moeten zoeken op een aantal gerelateerde termen zoals pword, password, pwd, wachtw en forumname om er enkele te noemen. Cookies zijn ooit bedacht door Netscape, leverancier van de eerste echte browser. De bedoeling was om het bezoek aan websites te vergemakkelijken. Het idee was, dat de gebruiker zijn gegevens zoals een wachtwoord of gebruikersnaam maar een keer hoefde in te vullen en dat deze daarna steeds op zijn computer beschikbaar zouden zijn. Dat zou een hoop ergernis, zoals het steeds maar weer opnieuw moeten inloggen op een vaak bezochte site, moeten voorkomen. Uit de analyse blijkt dat slechts 2,64 procent van de onderzochte cookies voor dit doel is gebruikt. Ongeveer een derde van het aantal cookies wordt gebruikt voor marketingdoeleinden, waarbij het surfgedrag van een gebruiker in kaart wordt gebracht, bijvoorbeeld om een speciale aanbieding te kunnen doen. Het zou volgens Braat nog te billiken zijn wanneer alleen de exploitant van een website cookies gebruikt voor het doen van aanbiedingen. De praktijk wijst echter uit dat de via cookies verzamelde gegevens ook worden doorverkocht aan derden, bijvoorbeeld aan advertentiesites. Omdat deze advertentiesites vaak met een groot aantal sites is verbonden, wordt het mogelijk het spoor van een surfer langs die websites secuur te volgen. Strijdig met richtlijn Dat laatste proces, de aggregatie van de gegevens, onttrekt zich aan iedere waarneming. Volgens Braat is dat in strijd met de richtlijnen die in Europa gelden voor de bescherming van de privacy. Zo staat in richtlijn 2002/58/EC dat verzamelde gegevens maar een bepaalde tijd bewaard mogen worden, niet langer dan nodig is om een bepaalde toegevoegde dienst te kunnen leveren. Na die periode zou het cookie dus gewist moeten worden. Inderdaad bevat het mechanisme een optie waarmee cookies na een bepaalde datum verwijderd worden, alleen daar wordt in de praktijk bijna geen gebruik van gemaakt. De door Braat verzamelde cookies tonen dat onomstotelijk aan. Van de cookies in de database blijft 30 procent tussen de 5 en 12 jaar staan, 24 procent van de cookies wordt pas na een periode van 30 tot 37 jaar gewist. Gegevens verzamelen via cookies gebeurt ook vanuit landen buiten de Europese Unie, in welk geval een aangepast beveiligingsniveau gehanteerd zou moeten worden. Dat gebeurt echter niet, de browsers hebben geen enkele manier om cookies van buiten de EU eventueel automatisch te weren. Van de onderzochte cookies komt ruim 34 procent van een webexploitant buiten de Europese Unie. Een extra probleem is, dat cookies niet beveiligd worden opgeslagen. Ze staan open en bloot op de harde schijf en gevoelige informatie is dus te zien door indringers in het systeem. De verzamelaars van de cookies hebben daar wel een oplossing voor gevonden, door de cookies op te slaan in een externe database, die niet via het netwerk te benaderen is.