Cookies, zoals geïmplementeerd in de huidige webtechnologieën, slaan in wezen een willekeurig gegenereerde unieke identificatiecode op, die vervolgens wordt gekoppeld aan de browser van de gebruiker tijdens interacties met specifieke websites. Deze identificatiecodes bevatten niet inherent persoonlijke gegevens; de associatie van een consistente identificatiecode met aanhoudende webactiviteit maakt het echter mogelijk om in de loop van de tijd gedetailleerde gedragsprofielen te verzamelen. Bewijs toont de volgende belangrijke bevindingen aan:
- Unieke identificatiecodes in cookies faciliteren tracking over meerdere sessies: Eenmaal toegewezen, maakt de identificatiecode van een cookie de herkenning van terugkerende browsers mogelijk, waardoor sites meerdere bezoeken en acties aan één profiel kunnen koppelen (Mayer & Mitchell, 2012).
- Persoonlijke identificatie wordt mogelijk door profielverrijking: Hoewel cookies zelf geen namen of directe identificatiegegevens opslaan, kan de cookie een proxy voor persoonlijke identiteit worden wanneer deze wordt gekoppeld aan door de gebruiker verstrekte gegevens (bijv. via logins, formulierinzendingen). Deze koppeling komt vooral veel voor op platforms die authenticatie vereisen (Krishnamurthy & Wills, 2009).
- Cookies van derden vergroten privacyzorgen: Trackingmechanismen van derden, ingesteld door andere entiteiten dan de bezochte website, verzamelen browsegegevens over verschillende domeinen. Deze gegevens maken potentieel invasieve profilering en heridentificatie mogelijk, zelfs zonder expliciete toestemming van de gebruiker (Englehardt & Narayanan, 2016).
- Regelgevende kaders beschouwen cookies als persoonsgegevens: Onder de AVG en CCPA worden cookies—vooral die welke gebruikersprofilering of gerichte reclame mogelijk maken—behandeld als persoonsgegevens. Expliciete toestemming is verplicht voordat dergelijke identificatiecodes worden opgeslagen of geraadpleegd (“Verordening (EU) 2016/679,” 2016).
- Empirische studies bevestigen identificatierisico's: Onderzoek heeft bevestigd dat het combineren van cookiegegevens met aanvullende informatie uit accountregistraties of van externe datahandelaren kan leiden tot zeer betrouwbare gebruikersidentificatie (Acar et al., 2014).
Samenvattend, hoewel een ruwe cookiewaarde geen expliciete identificatiecode is, kunnen persistente identificatiecodes in combinatie met gedragsinformatie en vrijwillig verstrekte informatie leiden tot de facto persoonlijke identificatie. Dit risico wordt vergroot door de aggregatie van gegevens van derden en het gebrek aan bewustzijn of controle van de gebruiker.
