'Nederlandse drogisten delen via cookies gevoelige data van klanten met Big Tech'
Nederlandse drogisten delen gegevens over aankopen van zwangerschapstesten met techbedrijven als Google, Meta en TikTok. Alle twintig onderzochte webshops, waaronder Kruidvat, Etos en Trekpleister, delen informatie over gebruikers en hun klikgedrag met Google. De helft van de drogisten doet dit ook met Meta, het moederbedrijf van Facebook. Drogist DA, flitsbezorger Flink en online drogist plein.nl sturen gegevens door naar TikTok.
Dit blijkt uit onderzoek van Investico, De Groene Amsterdammer en tv-programma Radar. Als een bezoeker een zwangerschapstest in diens online winkelmandje doet, dan sturen de webshops van Nederlandse drogisten die informatie door naar tech-bedrijven als Google, Meta en TikTok. Volgens Frederik Zuiderveen Borgesius, professor ICT en Recht aan de Radboud Universiteit, moeten webshops gebruikers expliciet informeren over het delen van dergelijke gegevens, omdat het gaat om medische en seksuele informatie. Dit zou moeten gebeuren via de cookiebanner. Borgesius beoordeelt de banners van alle onderzochte drogisten als onvoldoende: "En zelfs als iemand op ‘accepteren’ klikt is diegene zich er natuurlijk totaal niet van bewust dat elke aankoop van een zwangerschapstest of morning afterpil wordt doorgebriefd naar Facebook."
Tracking cookies
De webshops maken gebruik van tracking cookies, waarmee techbedrijven gebruikers van de homepage tot in het winkelmandje kunnen volgen. "Die cookies bevatten codes die uniek zijn voor jouw computer of browser", zegt Güneş Acar, computerwetenschapper aan de Radboud Universiteit. "Als je ergens bent ingelogd bij bijvoorbeeld Google, Youtube, Facebook of Instagram, kunnen ze de zwangerschapstest meteen linken aan de rest van de informatie die ze over je hebben. Zo volgen ze je over het hele internet."
Drogist DA, supermarkt Plus en bezorgservice Flink gaan het verst: zij sturen naast klikgedrag ook naam, adres en telefoonnummer door naar Meta. Daarnaast maakt de helft van de onderzochte drogisten gebruik van Server Side Tracking, een minder zichtbare methode om gegevens te delen. "Deze manier van tracken komt steeds vaker voor, en is veel moeilijker te controleren", zegt Radboud-onderzoeker Acar. "Websites sturen gegevens over hun klanten niet direct door naar de Amerikaanse tech-bedrijven, maar gebruiken eerst hun eigen server als een soort tussenstop."
AP: 'Bezoekers in cookiebanner informeren'
De Autoriteit Persoonsgegevens (AP) stelt dat bezoekers in de cookiebanner moeten worden geïnformeerd als medische gegevens worden doorgestuurd. "Het is onvoldoende om enkel te stellen dat tracking cookies geplaatst worden voor betere advertenties", zegt de toezichthouder in een reactie aan Investico.
Na de bevindingen hebben Jumbo, Flink en deonlinedrogist.nl hun websites aangepast en de meest vergaande vormen van tracking verwijderd. Kleine online drogisten zeggen onderzoek te doen naar hun websites. Drogisten als DA, Etos, Albert Heijn en PLUS benadrukken dat het doorsturen van gegevens over zwangerschapstesten voldoet aan de privacywet.
Meer over privacy
Over Wouter Hoeffnagel
