Rijksuniversiteit Groningen

011 - Protocol internet cookies deugt niet

Datum: 27 januari 2005

Onderzoek van een Groningse studente Informatiekunde naar het verzamelen van persoonlijke gegevens op internet levert schokkende resultaten op. Het protocol voor het gebruik van internet cookies blijkt zo lek als een mandje en overtreedt alle binnen de EU geldende privacy-regels.

Cookies zijn tekstbestanden met informatie over de gebruiker die websites opslaan op de computer van de gebruiker. Er bestaat veel onduidelijkheid over het gebruik van cookies. Een internetgebruiker heeft geen idee welke gegevens en hoeveel gegevens websites over hem verzamelen. Daarnaast is het niet duidelijk wat er met deze informatie gebeurt en wie daar inzage in heeft. Studente Nicoline Braat analyseerde 53.000 cookies om in kaart te brengen welke gegevens websites verzamelen. Daarnaast toetste zij hoe geschikt het protocol is om op grote schaal persoonlijke gegevens te verzamelen.

Privacy

Uit de resultaten blijkt dat het cookie-mechanisme alarmerend slecht aan de wettelijke privacy eisen voldoet. Het protocol geeft namelijk geen enkele informatie aan de gebruiker en controleert de gegevensverzamelaar en de verzamelde gegevens niet inhoudelijk. Dit betekent in de praktijk dat iedere website elk gegeven kan verzamelen dat de webgebruiker bloot geeft. Het protocol biedt vooral voordelen aan gegevensverzamelaars en schendt op meerdere manieren de privacy van de internetgebruiker. Vervolgonderzoek zal moeten uitwijzen hoe men het protocol kan aanpassen om wel te voldoen aan de wetgeving.

Veiligheid

Ook schiet het protocol ernstig tekort wat betreft de veiligheidseisen. Het kan niet garanderen dat het lekken van informatie aan derden wordt voorkomen. Ook treft het cookie-mechanisme geen beveiligingsmaatregelen bij het opslaan van de informatie. Dit betekent dat deze gegevens inzichtelijk zijn voor iedereen. Dat kan zelfs leiden tot het misbruik van inlognamen en wachtwoorden. Ten slotte worden deze gegevens onnodig lang bewaard: 30% wordt vijf tot twaalf jaar bewaard en 24% zelfs 30 tot 37 jaar.

Afstudeerscriptie

Nicoline Braat deed dit onderzoek als onderdeel van haar afstudeerscriptie voor de afdeling Informatiekunde aan de Faculteit der Letteren onder supervisie van dr. George M. Welling. De volledige tekst van de scriptie is staat op www.rug.nl/let/scriptieBraat.

Braat is inmiddels begonnen aan een traineeship als IT Specialist bij IBM.

Noot voor de pers