Gegevens over medische zelftests, e-mailadressen en telefoonnummers van klanten komen via online drogisterijen terecht bij Google, Meta en andere techbedrijven. Dat blijkt uit onderzoek van Investico, Radar en De Groene Amsterdammer. ‘Er gaat hier zo veel fout, dit kun je niet afschuiven op de gebruiker.’
is nieuwsverslaggever van de Volkskrant, met tech als specialisme.
Wat is er precies aan de hand?
Investico, Radar en De Groene Amsterdammer bekeken twintig online drogisterijen en supermarkten, waaronder Jumbo, Bol en Etos. Alle twintig deelden volgens het onderzoek gevoelige medische gegevens met Google. Een kleinere groep stuurde ook klantengegevens naar Meta (het moederbedrijf van WhatsApp, Instagram en Facebook), TikTok of Pinterest.
Het gaat bijvoorbeeld om informatie over producten die consumenten bekeken of kochten, zoals zwangerschapstesten. In sommige gevallen gaven de online winkels ook adresgegevens, telefoonnummers en e-mailadressen van klanten door aan de Amerikaanse techbedrijven.
Dit gebeurde wanneer gebruikers bij de cookies-popup op ‘accepteren’ klikten, maar óók wanneer ze cookies weigerden: ‘Wie cookies weigert, voorkomt datadeling met Facebook, maar vijftien drogisterijen sturen medisch gevoelige informatie in dat geval nog altijd door naar Google’, schrijft Radar.
Webwinkels kunnen gericht adverteren via bijvoorbeeld Facebook of Google. Door die techbedrijven te laten zien welke producten een klant interessant vindt, kunnen de webwinkels gerichter adverteren.
Mag dit zomaar?
Nee, zegt Frederik Zuiderveen Borgesius, hoogleraar ict en recht aan de Radboud Universiteit. Hij bekeek voor Investico de cookiebanners van de onderzochte partijen en zag verschillende juridische problemen.
Ten eerste wordt in veel cookiepopups onvoldoende uitgelegd wat er met persoonsgegevens van bezoekers gaat gebeuren. De Europese Algemene Verordening Gegevensbescherming (AVG) verplicht websites bezoekers voldoende te informeren over hun cookiebeleid en toestemming te vragen voor advertentie-cookies.
‘In het beste geval werd er geschreven: accepteer je deze cookies, dan kun je, als je shampoo koopt, elders advertenties voor shampoo te zien krijgen.’ Maar, zegt de hoogleraar: ‘Ik vind dat de webwinkels dit veel beter hadden kunnen uitleggen, bijvoorbeeld dat ze ook gegevens kunnen delen over gevoeligere producten dan shampoo.’
Voor het delen van gevoeligere data zoals medische gegevens zijn de regels nog strenger. Dat gegevens – denk aan bestellingen van medicijnen – werden gelekt als bezoekers geen toestemming hadden gegeven, noemt Zuiderveen Borgesius ‘ook illegaal’.
Interesse in een product is één ding, maar waarom wordt er ook contactinformatie meegestuurd?
Ook dat gaat uiteindelijk waarschijnlijk over het personaliseren van reclames, denkt privacyexpert Floor Terra van Privacy Company. In tegenstelling tot een identificatienummer van een cookie verandert een e-mailadres niet snel. Het is daarom waardevolle informatie om bijvoorbeeld iemands Facebookaccount te kunnen vinden – bij Facebook is je telefoonnummer immers ook bekend. Terra: ‘Het koppelen van de overhandigde gegevens met die van je Facebookaccount maakt online tracking nog effectiever.’
Het gaat bedrijven daarbij om ‘retargeting’. ‘Stel, je bekijkt een duur horloge, maar koopt het niet’, zegt Terra. ‘De webwinkel geeft jouw gegevens dan aan Facebook, om je reclames voor dat horloge te laten zien, in de hoop dat je je bedenkt.’
Hoe kan ik voorkomen dat websites mijn persoonlijke gegevens op deze manier doorsluizen?
Het onderzoek laat volgens Terra zien dat internetgebruikers onvoldoende worden beschermd tegen privacyschendingen: cookies weigeren helpt vaak, maar niet altijd. ‘Er gaat hier zo veel fout, dit kun je niet afschuiven op de gebruiker’, zegt hij.
In zijn eigen onderzoek ziet Terra vaak dezelfde fouten terugkomen, die bijvoorbeeld ontstaan doordat programmeurs van websites vaak niet op de hoogte zijn van juridische valkuilen. ‘Zij zetten bijvoorbeeld een YouTube-filmpje op de site, die weer allerlei cookies binnenhaalt waarvoor de gebruiker geen toestemming had gegeven.’
Om jezelf te beschermen, zijn er wel programma’s te downloaden die cookies of tracking blokkeren. Maar, zegt Terra: ‘De verantwoordelijkheid ligt bij websites en trackingbedrijven.’
Hoe kijken de online winkels hier zelf naar?
In een reactie bevestigt Jumbo dat er geanonimiseerde gezondheidsproductinformatie is gedeeld met Google, Facebook en Pinterest. ‘Dit had niet mogen gebeuren en was ook niet onze bedoeling’, zegt een woordvoerder. Het delen van data is uitgezet totdat Jumbo ‘zeker weet’ dat de medische productdata is uitgezonderd.
Bol ontkent met verwijzing naar het privacy- en cookiebeleid dat er zonder toestemming van gebruikers gevoelige informatie is gedeeld met Google, TikTok of Meta. Albert Heijn en Etos zeggen zich ook ‘niet te herkennen in het beeld dat er zonder toestemming persoonsgegevens zijn gedeeld met derde partijen’.
Wat moet er nu gebeuren?
De wet zelf is duidelijk, vindt zowel Zuiderveen Borgesius als Terra. Dat er veel fout gaat, komt doordat websites en trackingbedrijven zich niet aan de wet houden en er te weinig wordt gehandhaafd door de Autoriteit Persoonsgegevens. Terra: ‘De AP doet door capaciteitsproblemen te weinig proactief onderzoek. Als het dat wél doet, blijft het te veel aan de oppervlakte.’ Zuiderveen Borgesius is het daarmee eens. De AP deelt volgens hem te weinig boetes uit, waardoor bedrijven zich niet genoodzaakt voelen iets aan hun cookiebeleid te veranderen.
Een woordvoerder van de AP zegt dat de toezichthouder sinds 2024 strenger controleert op cookies. ‘De AP monitort constant Nederlandse websites en selecteert daaruit organisaties die waarschijnlijk de wet overtreden met hun cookiebanner. Vorig jaar heeft de AP zo’n tweehonderd organisaties gewaarschuwd. Zij moesten of stoppen met indringende volgsoftware of hun misleidende cookiebanner aanpassen.’ Driekwart van de organisaties heeft de cookiebanner daarop aangepast, naar de overige organisaties is de AP een onderzoek gestart.
De AP kan niet zonder zelf onderzoek te hebben gedaan, beoordelen of de door Radar en Investico genoemde drogisterijen, webshops en supermarkten de AVG hebben overtreden.
Luister hieronder naar onze podcast de Volkskrant Elke Dag. Kijk voor al onze podcasts op volkskrant.nl/podcasts.
Geselecteerd door de redactie
Source: Volkskrant