Cookiewet

De cookiewet gaat veranderen, maar hiervoor moet eerst een ePrivacy-verordening van kracht worden. Dit is een toevoeging op de AVG en behandelt andere zaken, zoals het plaatsen van cookies.

Er zijn drie verschillende soorten cookies:

• Functionele cookies: deze zijn nodig voor de werking van een website.
  Er is geen goedkeuring nodig vanuit de AVG of cookiewet
• Analytische cookies: nodig voor statistieken.
  Zo lang de persoonsgegevens geanonimiseerd worden en er bij gebruik van bijvoorbeeld Google Analytics een verwerkersovereenkomst is met Google en de gegevens verder niet gedeeld worden is er geen goedkeuring nodig vanuit de AVG of cookiewet.
• Tracking cookies: nodig om gebruikersprofielen op te bouwen.
  Een melding hierover op de website is niet voldoende, je moet goedkeuring vragen aan de bezoeker van je website. Na de ePrivacy-verordening mag geen gebruik meer worden gemaakt van een cookiewall. Wij raden het gebruik van een cookiewall daarom nu al af.

Je hebt zeker een cookiemelding nodig als:

• Je een Facebookpixel op je site hebt staan
• Je Google Analytics gebruikt zonder anonimisatie van IP-adressen

Als door het gebruik van cookies ook persoonsgegevens verwerkt worden, is de Algemene verordening gegevensbescherming (AVG) van toepassing. 

Cookies bevatten vaak sessie-id's of andere gevoelige informatie. Daarom is het van belang dat de toegang tot cookies zo beperkt mogelijk is. Zo verklein je het gevaar van cross-site scripting (XSS)-kwetsbaarheden. Hoe je dat doet, lees je onder 'verbeteren'.

Meer informatie:

• https://www.acm.nl/nl/onderwerpen/telecommunicatie/internet/cookies
• https://www.rijksoverheid.nl/onderwerpen/telecommunicatie/vraag-en-antwoord/mag-een-website-ongevraagd-cookies-plaatsen
• https://infosec.mozilla.org/guidelines/web_security#cookies

Met behulp van de developer-tools in Chrome of Firefox kan achterhaald worden welke cookies op een bepaalde site gebruikt worden. Eventueel kun je ook een browser-extensie gebruiken die een overzicht van de cookies geeft maar deze zijn niet altijd betrouwbaar.

Voorbeelden van dergelijke extensies zijn:

• https://github.com/Rob--W/cookie-manager
  Cookie-manager voor Firefox en Chrome
• http://www.editthiscookie.com/
  EditThisCookie voor Chrome
• http://tejji.com/browser/chrome/extensions/
  Cookie Manager voor Chrome

Nadat je bepaald hebt wélke cookies gebruikt worden is het van belang om te weten te komen wat voor soort cookies het betreft. Als het goed is weet je dit als ontwikkelaar precies. Wij gebruiken voor ons onderzoek bijvoorbeeld Cookiepedia of Cookiemetrix om te bepalen wat voor soort cookie gebruikt wordt.

Om te onderzoeken of de gebruikte cookies goed beveiligd zijn, kun je de site testen via bijvoorbeeld https://observatory.mozilla.org. Onder 'Veiligheid en controles' vind je meer informatie over deze en andere tools.

Algemene tips

• Gebruik alleen cookies die echt nodig zijn
• Als er een dringende noodzaak is om tracking cookies te gebruiken, moet hiervoor toestemming gevraagd worden
• Zorg er voor dat de volledige functionaliteit van de website beschikbaar blijft, ook als een gebruiker geen toestemming geeft voor het gebruik van tracking cookies
• Als je wel analytische gegevens wilt verzamelen maar geen gebruik wilt maken van Google Analytics, kunnen wij wellicht een alternatief bieden. Neem daarvoor contact met ons op
• Als je door middel van cookies persoonsgegevens verzamelt, moet dit worden geregistreerd in het verwerkingsregister van de gemeente

Verbetering van de beveiliging van cookies

• De naamgeving: gebruik de voorvoegsels __Secure- en __Host- om te voorkomen dat cookies worden overschreven door onveilige bronnen;
  •  __Host- gebruik je voor alle cookies die alleen nodig zijn voor een specifiek domein (geen subdomeinen) waarbij het Path is ingesteld op /';
  • __Secure-  gebruik je voor alle andere cookies die vanuit veilige bronnen worden verzonden (zoals HTTPS);
• Secure: alle cookies moeten worden ingesteld met de secure flag, waarmee wordt aangegeven dat ze alleen via HTTPS mogen worden verzonden;
• HttpOnly: cookies waarvoor geen toegang tot JavaScript vereist is, moeten worden ingesteld met HttpOnly;
• Expiration: cookies moeten zo snel mogelijk verlopen. Vooral sessie-id's moeten snel vervallen;
  • Expires: Stelt een absolute vervaldatum in voor een bepaald cookie;
  • Max-age: Stelt een relatieve vervaldatum in voor een bepaald cookie;
• Domein: Stel je alleen in als cookies op een ander domein beschikbaar moeten zijn. Gebruik dan het meest restrictieve domein;
• Path: Cookies moeten worden ingesteld op het meest restrictieve pad dat mogelijk is, maar voor de meeste toepassingen zal dit de hoofdmap zijn;
• SameSite: verbiedt het verzenden van een cookie via cross-origin-verzoeken (zoals van <img> tags, etc.). Dit is een krachtige anti-CSRF-maatregel;
  • SameSite = Strict: verzendt het cookie alleen wanneer er rechtstreeks naar de site wordt genavigeerd;
  • SameSite = Lax: verzendt het cookie wanneer je vanaf een andere site naar de site gaat;