Wat zijn cookies? Eenvoudig uitgelegd
Cookies zijn kleine tekstbestanden die een website in je browser opslaat. Dat klinkt onschuldig — en dat was het oorspronkelijk ook. Ontdekt in 1994 door Lou Montulli bij Netscape. Het probleem dat ze moesten oplossen was simpel: HTTP, het protocol van het web, heeft geen geheugen. Elke pagina-oproep is voor de server een compleet nieuwe bezoeker. Zonder cookies zou een website niet kunnen onthouden dat je ingelogd bent, wat er in je winkelwagen ligt of welke taal je prefereert. Zo werken ze: je bezoekt een website. De server stuurt samen met de pagina een klein cookie — bijvoorbeeld session_id=abc123. Je browser slaat deze informatie op. Bij elk volgend bezoek stuurt je browser het cookie automatisch mee, en herkent de server je weer. Dat is heel nuttig en voor veel webfuncties onmisbaar. Zonder cookies zou je je bij elke pagina opnieuw moeten inloggen. Online shoppen zou onmogelijk zijn, omdat de winkelwagen bij elke klik leeg zou zijn. Persoonlijke instellingen zoals taal of thema kunnen niet worden opgeslagen. Cookies zelf zijn noch goed noch slecht. Het zijn simpelweg gegevensopslag. Het probleem ontstaat pas door de manier waarop ze worden gebruikt — vooral door third-party cookies, dus cookies van derden die je nooit direct hebt bezocht. En hier wordt het verhaal ingewikkeld. Want het kleine tekstbestand dat je login zou moeten opslaan, werd het krachtigste surveillancesysteem van het commerciële internet.
First-party vs third-party cookies
Het belangrijkste verschil ligt in wie het cookie plaatst. First-party cookies komen van de website die je nu bezoekt. Je bent op shop.de, en shop.de slaat een cookie op in je browser. Dat is een first-party cookie. Het dient meestal om je ingelogd te houden, je winkelwagen te bewaren of je voorkeuren te onthouden. Deze cookies zijn meestal onschuldig en vaak noodzakelijk. Third-party cookies komen van een andere domein dan dat van de website die je bezoekt. Je bent op shop.de, maar op de achtergrond laadt de pagina een advertentiebanner van ads.advertentienetwerk.com. Dit advertentienetwerk plaatst nu ook een cookie in je browser — het third-party cookie. Het komt niet van shop.de, maar van een derde partij die je nooit bewust hebt bezocht. Waarom is dat problematisch? Omdat hetzelfde advertentienetwerk op duizenden websites is ingebouwd. Als je morgen news.de bezoekt en daar hetzelfde advertentienetwerk actief is, herkent het je weer — via het third-party cookie. Het weet nu dat je gisteren op shop.de was en vandaag op news.de. Zo ontstaat een cross-site profiel. Het advertentienetwerk volgt je over de helft van het internet, zonder dat je het doorhebt. Het weet welke producten je bekijkt, welke nieuwsberichten je leest, welke reizen je plant en welke symptomen je googelt. Het wordt nog ingewikkelder: een enkele website laadt vaak inhoud van 20-50 verschillende third-party domeinen. Elk kan cookies plaatsen. Elk bouwt zijn eigen profiel op. En veel delen deze data onderling uit — in een systeem dat bekend staat als Real-Time Bidding en je profiel in milliseconden veilt aan honderden adverteerders.
Hoe third-party cookies je volgen op het web
Laten we het volgen door een concreet voorbeeld doorlopen. Maandag: Je zoekt op Google naar „Hardloopschoenen". Je klikt op een online winkel. De winkel heeft Google Ads, Facebook Pixel en drie andere advertentienetwerken geïntegreerd. Vijf third-party cookies komen in je browser terecht. Je koopt niets en sluit het tabblad. Dinsdag: Je leest een artikel op een nieuwssite. De site heeft dezelfde advertentienetwerken ingebouwd. Ze herkennen je via de cookies van de vorige dag. Plots zie je advertenties voor hardloopschoenen. Geen toeval — dat heet retargeting. Woensdag: Je bezoekt een reisportaal. Weer zijn dezelfde netwerken actief. Je profiel wordt uitgebreid: iemand is geïnteresseerd in hardloopschoenen EN plant blijkbaar een reis. De advertenties worden nog gerichter. Donderdag: Je googelt op een gezondheidsymptoom. Je belandt op een medisch portaal. Ook hier: trackers. Je profiel bevat nu gezondheidsinformatie — zonder dat je daar ooit toestemming voor hebt gegeven. Dit gebeurt bij elke pagina, op elke website, elke dag. De grote advertentienetwerken — Google, Facebook, Amazon — zijn op meer dan 80% van alle websites op internet ingebouwd. Ze zien praktisch alles wat je online doet. Het resulterende profiel is schokkend gedetailleerd: demografische gegevens, koopintenties, politieke interesses, gezondheidsstatus, relatiestatus, financiële situatie. En dit profiel wordt in realtime veilingen verkocht — letterlijk in de milliseconden die een website nodig heeft om te laden. Cookie-banners zouden hiertegen moeten beschermen. In de praktijk klikken 90% van de gebruikers op „Accepteren", omdat de banner de inhoud bedekt en de optie „Weigeren" vaak opzettelijk moeilijk te vinden is. Consent-managementplatforms zijn uitgegroeid tot een eigen industrie — die ironisch genoeg zelf tracking-cookies plaatst.
Het post-cookie tijdperk — fingerprinting & nieuwe trackingmethoden
Het goede nieuws: Third-party cookies sterven langzaam uit. Safari en Firefox blokkeren ze al standaard. Google heeft na jaren van heen en weer gestoei de blokkering in Chrome in aangepaste vorm geïmplementeerd. Het tijdperk van eenvoudige cookie-tracking is voorbij. Het slechte nieuws: De trackingindustrie heeft al lang alternatieven ontwikkeld die soms nog moeilijker te detecteren en te blokkeren zijn. Browser fingerprinting is de bekendste optie. Je browser geeft bij elk bezoek tientallen technische gegevens prijs: schermresolutie, geïnstalleerde lettertypen, tijdzone, taal, besturingssysteem, GPU-model, WebGL-renderingresultaten en meer. Samengevoegd vormen deze datapunten een bijna unieke vingerafdruk. Studies tonen aan dat meer dan 90% van de browsers eenduidig identificeerbaar is — helemaal zonder cookies. Server-side tracking verplaatst het volgen van de browser naar de server. In plaats van een Facebook-pixel in de browser te laden, stuurt de webserver de gegevens direct naar Facebook. Voor je browser is dat onzichtbaar, omdat de communicatie tussen de servers plaatsvindt. First-party tracking-domeinen zijn een slimme truc: in plaats van cookies van tracker.werbenetwerk.com te plaatsen, configureert de website een subdomein zoals analytics.shop.de, dat naar de tracker-server wijst. Technisch is dat een first-party cookie, praktisch is het derde partij tracking. Inloggen-gebaseerd tracking omzeilt cookies volledig. Als je bij Google, Facebook of Amazon ingelogd bent, hebben deze diensten geen cookies nodig — ze herkennen je via je account. ETags, LocalStorage, IndexedDB en andere browserspeicher kunnen vergelijkbaar met cookies worden gebruikt voor identificatie. Sommige zijn moeilijker te verwijderen dan klassieke cookies. De trackingindustrie is creatief. Voor elke deur die wordt gesloten, openen ze twee nieuwe.
Hoe je jezelf echt beschermt tegen tracking
Als cookies slechts een deel van het probleem zijn, moet de oplossing uitgebreider zijn. Hier is een realistische strategie voor 2026: In de browser: Gebruik Safari, Firefox of Brave — alle drie blokkeren ze standaard third-party cookies. Schakel de strengste trackingbescherming in die je browser biedt. Installeer uBlock Origin (niet beschikbaar voor Safari, maar voor Firefox en Brave niet nodig). Verwijder regelmatig cookies en browsergegevens. Gebruik verschillende browsers of containers voor verschillende activiteiten — bankieren gescheiden van sociale media, gescheiden van winkelen. Op DNS-niveau: Gebruik een privacyvriendelijke DNS-resolver zoals NextDNS of Quad9. Deze blokkeren bekende tracking-domeinen voordat de verbinding überhaupt tot stand komt. Dit werkt browser- en app-overstijgend. Op app-niveau — en hier wordt het cruciaal: Je browser is slechts een van de vele apps op je Mac. Elke andere app kan ook tracking-gegevens verzenden, en dat doen er veel. Een per-app-firewall zoals NetMute bewaakt al het netwerkverkeer van je Mac, niet alleen de browser. NetMutes Tracker-Shield blokkeert automatisch meer dan 624 bekende tracking-domeinen — voor alle apps tegelijk. Of Spotify Analytics pingt, je teksteditor gebruiksgegevens verzendt of een vergeten app op de achtergrond Facebook contacteert: NetMute herkent en blokkeert het. De App-X-Ray toont je de Privacy-score van elke app, gebaseerd op het daadwerkelijke netwerkgedrag. Zo zie je meteen welke apps problematisch zijn — en kun je ze gericht blokkeren of vervangen door betere alternatieven. Gedragsveranderingen: Log uit bij Google en Facebook als je ze niet actief gebruikt. Gebruik een apart e-mailadres voor online winkels. Vraag elke app die je installeert kritisch af. Minder apps betekent minder tracking-interfaces. Geen enkel hulpmiddel lost het trackingprobleem op. Maar een combinatie van een privacyvriendelijke browser, systeemwijde tracker-blokkering en bewust gedrag brengt je zo dicht mogelijk bij echte privacy, zoals in 2026 mogelijk is.