Flestir netnotendur hafa sennilega upplifað það, oftar en ekki, að fá beiðni um að samþykkja eða hafna svokölluðum vafrakökum þegar vefsíður eru heimsóttar. En hvað eru vafrakökur (einnig oft kallaðar vefkökur) og hvaða upplýsingar innihalda þær?
Uppfinning vafrakökunnar
Vafrakakan var fundin upp af forritaranum Lou Montulli árið 1994 þegar hann starfaði hjá Netscape. Upphaflegur tilgangur með uppfinningu hennar var að búa til nokkurs konar minni fyrir vefsíður, svo þær gætu munað hvaða efni notendur hefðu skoðað og jafnframt að festa í minni innskráningarupplýsingar þeirra. Á þessum tíma var engin tækni til sem gat munað innskráningarupplýsingar og haldið notendum innskráðum á vafri á milli forsíðu og undirsíðna.
Í áhugaverðu viðtali sem tekið var við Lou Montulli vorið 2023, í tengslum við ráðstefnuna Heroes of Data & Privacy, upplýsti hann að tilgangur með hönnun vefkökunnar hafi verið að gera það kleift að bera kennsl á vafra, án þess að skerða friðhelgi notenda. Því hafi markmiðið verið að nota aðeins netauðkenni innan viðkomandi vefsíðu, en ekki á milli vefsíðna. Tilgangurinn hafi aldrei verið sá að búa til rakningartól, heldur hafi vafrakakan átt að vera hvati fyrir vaxandi hagkerfi á Netinu.
Á þessum tíma voru fyrstu hugmyndir að verslun á Netinu í þróun og voru starfsmenn Netscape því með mörg járn í eldinum. HTTPS staðallinn er ein þeirra afurða sem teymið hannaði í þágu netverslunar og öruggari netsamskipta.
Virkni vafrakökunnar
Vafrakökur eru yfirleitt litlar textaskrár með dulkóðuðum upplýsingum sem vefþjónn býr til og sendir í vafra notanda. Þær innihalda stafastreng sem samanstendur jafnan af nafni, gildi og eiginleikum eins og fyrningardagsetningu, léni og slóð. Þau gildi sem vafrakökur geyma geta innihaldið persónuupplýsingar eins og IP- tölu, notendanafn, einstakt auðkenni eða netfang.
Vafrar geyma vafrakökur í tiltekinni skrá á tækjum notenda, ýmist í fyrirfram ákveðinn tíma sem kallast þá viðvarandi vafrakökur eða á meðan notandi notar viðkomandi vefsíðu og nefnast þær lotukökur eða setukökur. Lotukökum er eytt varanlega þegar vefsíðu er lokað og heimsókn lýkur. Þegar um viðvarandi vafrakökur er að ræða og notandi heimsækir vefsíðu sem hann hefur áður skoðað, þá les vefþjónninn þær upplýsingar sem vafrakakan hefur að geyma. Viðvarandi vafrakökur geyma þannig upplýsingar um athafnir notenda á milli heimsókna á tiltekna vefsíðu.
Vafrakökur gera vefsíðum mögulegt að sérsníða notendaupplifun. Þannig nota netverslanir vafrakökur til að muna hvaða vörur notendur hafa sett í innkaupakörfurnar sínar og bókunarsíður muna upplýsingar um bókun á meðan vafrað er á vefsvæðinu. Þá eru sumar vafrakökur nauðsynlegar í öryggisskyni, til dæmis til að auðkenna notendur og aðrar eru notaðar til að muna kjörstillingar notenda eins og val á tungumáli.
Nauðsynlegar vafrakökur safna ekki persónuupplýsingum og rekja ekki athafnir notenda. Vafrakökur eru ýmist svokallaðar fyrstu aðila vafrakökur sem verða til á þeim vef sem er verið að skoða og tilheyra viðkomandi léni, eða þriðju aðila vafrakökur sem eiga uppruna sinn á öðrum vefsvæðum og tilheyra þeim lénum. Þriðju aðila vafrakökur hafa ákveðna virkni á því vefsvæði sem er verið að skoða, þó uppruni þeirra sé annars staðar frá. Vegna þessa geta svokallaðar rakningarkökur frá þriðja aðila, fylgst með nethegðun sama notanda á mörgum vefsíðum og jafnvel miðlað þeim upplýsingum á milli landa.
Vafrakökur og persónuvernd
Sá eiginleiki vafrakaka að geyma upplýsingar um einstaklinga og fylgjast þannig með nethegðun þeirra á milli vefsvæða, gerir þær að ákveðnu tóli til rakningar og persónugreiningar. Þar kemur persónuverndin til sögunnar. GDPR-reglugerðin kveður á um það að einstaklingur teljist persónugreinanlegur ef hægt er að persónugreina hann með tilvísun í netauðkenni. Af því leiðir, að þeir aðilar sem reka vefsíður þurfa að uppfylla ýmsar skyldur samkvæmt reglugerðinni svo notkun á vafrakökum sé lögmæt. Hvaða skyldur það eru, verður umfjöllunarefni næstu greinar.
Þar til næst…