Onderzoek met bronnen
Facebook ziet elke zwangerschapstest in je mandje
of Lees het onderzoek bij De Groene Amsterdammer
Als een consument een zwangerschapstest in diens online winkelmandje doet, dan sturen webshops van Nederlandse drogisten de informatie door naar tech-bedrijven als Google, Meta en Tiktok.
Stel, je probeert zwanger te worden. Je hebt even geen tijd om naar de drogist te gaan voor een zwangerschapstest, dus bestelt online bij bijvoorbeeld DA of gooit er eentje in je online mandje bij de supermarkt. In de weken erna krijg je op sociale media ineens allerlei advertenties voor luiers en babyspeelgoed.
De online drogist stuurde namelijk elke klik die je op zijn website deed door naar Facebook, Instagram, Google of Tiktok. Welke test je koos, voor welke prijs, hoe je voedingssupplementen voor zwangeren in je mandje deed, die toch weer verwijderde, afrekende, en soms zelfs welke naam je invulde voor de bezorging.
En dat geldt niet alleen voor een zwangerschapstest, maar ook voor andere gevoelige aankopen als een morning afterpil of een voordeelverpakking condooms. Zo kan het dat je je omgeving misschien nog helemaal niet hebt verteld dat je aan kinderen denkt, maar Google en Instagram allang op de hoogte zijn.
Alle grote Nederlandse drogisten sturen intieme informatie over je gezondheid en seksualiteit linea recta door naar de grote Amerikaanse of Chinese techbedrijven, blijkt uit onderzoek van Investico met De Groene Amsterdammer en tv-programma Radar.1 Alle twintig drogisten die we onderzochten, van Kruidvat tot deonlinedrogist.nl, sturen informatie over jou en je klikgedrag naar Google.2 De helft van de drogisten, waaronder Etos en Albert Heijn, doet dit ook naar Meta, het moederbedrijf van Facebook en Instagram3, en drie laten ook aan Tiktok weten dat je een zwangerschapstest in je mandje doet.4 Dit mag volgens de privacywet niet zonder uitdrukkelijke toestemming.
Terwijl er steeds meer aandacht voor online tracking komt, zoeken online drogisten bovendien een omweg. De helft van de onderzochte drogisten gebruikt namelijk een nieuwe methode voor het volgen van websitebezoekers die veel minder zichtbaar is.5 Het is alsof de drogist doorbelt dat je naar zwangerschapstesten kijkt.
Word nu Vriend van Investico en versterk de onderzoeksjournalistiek in Nederland
In 2018 wordt Facebook-topman Mark Zuckerberg ondervraagd in het Amerikaanse congres.6 Het is de tijd van Russia Gate en Cambridge Analytica: Facebook zou zijn gebruikt om de Amerikaanse verkiezingen te beïnvloeden in het voordeel van Donald Trump. Als een 84-jarige senator uit Utah vraagt hoe Zuckerberg het voor elkaar krijgt om zoveel geld te verdienen met een dienst waar gebruikers niet voor hoeven te betalen, is de normaal zo stoïcijnse Facebook-topman even uit het veld geslagen. Hij glimlacht, en antwoordt: ‘Senator, we run ads!’.7
Om die ads - reclames - effectief te laten zijn, volgen bedrijven als Facebook en Google potentiële consumenten over het internet, door op allerlei websites cookies te plaatsen.8 Deze cookies werken als een achterdeurtje in de website, waardoor bij elke klik een klein beetje informatie naar de techbedrijven kan sijpelen.9 Het vereist maar een klein beetje knowhow over hoe je browser werkt om te zien wie er allemaal meekijkt op een website: binnen drie klikken kun je vinden wie er cookies plaatst en welke gegevens ze doorsturen.10 Bijna alle websites sturen bijvoorbeeld naar Google op welke locatie, op welk apparaat en in welke browser je hen bezoekt.
Er is nog een andere, invasievere manier die breed wordt toegepast door Nederlandse online drogisten: cookies die je klikgedrag kunnen koppelen aan je Facebook- of Google-account.11 ‘Die cookies bevatten codes die uniek zijn voor jouw computer of browser’, zegt Güneş Acar, computerwetenschapper aan de Radboud Universiteit. Hij deed vorig jaar met vier collega’s ook onderzoek naar online drogisten in Europa en vond toen vergelijkbare resultaten.12 ‘Als je ergens bent ingelogd bij bijvoorbeeld Google, Youtube, Facebook of Instagram, kunnen ze de zwangerschapstest linken aan de rest van de informatie die ze over je hebben. Zo volgen ze je over het hele internet.’
Online drogist DA, supermarkt Plus en bezorgservice Flink gaan zelfs nog verder, en sturen los nog je naam, adres en telefoonnummer door naar Facebook.13
‘Een webshop moet een gebruiker heel expliciet vertellen wat er met de informatie over bijvoorbeeld een zwangerschapstest gebeurt, omdat het hier over je gezondheid of seksleven gaat.’ zegt Frederik Zuiderveen Borgesius, professor ICT en Recht aan de Radboud Universiteit. ‘Dat soort “bijzondere persoonsgegevens” zijn extra beschermd in de wet.’14
De gebruiker moet toestemming geven voor het delen van informatie via de zogenoemde ‘cookiebanner’: de popup die vraagt of je cookies accepteert of niet. Borgesius las voor Investico en De Groene de banners van alle onderzochte drogisten15, en beoordeelt ze eigenlijk allemaal onvoldoende. ‘Alleen Etos en Albert Heijn maken duidelijk dat de producten die je bekijkt invloed hebben op de advertenties die je te zien krijgt. Daar staat iets als: “Zoek je bijvoorbeeld op shampoo, dan kun je een advertentie over shampoo te zien krijgen.” Misschien is dat net genoeg om aan de privacywet te voldoen’, zegt Borgesius. ‘Maar ik vind de uitleg nog niet goed genoeg, zeker omdat ze ook hele gevoelige gegevens als de aankoop van een zwangerschapstest doorsturen.’
Wanneer je in die cookiebanner op ‘weigeren’ klikt, zou dat moeten betekenen dat er al helemaal geen informatie meer naar derden wordt gestuurd. We zien dat dit doorgaans ook werkt: nog maar één drogist stuurt bijvoorbeeld nog informatie naar Facebook als we de cookies afwijzen.16 Google-cookies zijn nog op driekwart van de websites aanwezig, maar Google ontvangt in de meeste gevallen wel minder gegevens over de gebruikers.17
‘Maar iemand die op ‘accepteren’ klikt is zich er natuurlijk totaal niet van bewust dat elke aankoop van een zwangerschapstest of morning afterpil wordt doorgebriefd naar Facebook’, zegt Borgesius. Hij vindt het ‘heel onverstandig en onbeleefd’ en vraagt zich af waarom deze drogisten dit doen. ‘Of het nu vergaande slordigheid is, of dat ze marketing belangrijker vinden dan de privacy, dat maakt niet uit. Ze mogen dit soort gegevens gewoon niet delen als ze niet heel uitdrukkelijk toestemming vragen.’
In verschillende Europese landen werden drogisten de afgelopen jaren op de vingers getikt voor het delen van gegevens met Google en Meta. Zo kregen Zweedse18 en Finse19 online apotheken de afgelopen jaren boetes voor het doorsturen van medische informatie naar Meta en Google. De Nederlandse Autoriteit Persoonsgegevens deelde in de zomer van 2024 een boete uit aan Kruidvat, omdat de drogist in 2020 ‘bezoekers volgde met tracking cookies, zonder dat zij dat wisten of daarvoor toestemming hadden gegeven.’20
Uit ons onderzoek blijkt echter dat Kruidvat nog steeds aan Google doorstuurt of gebruikers zwangerschapstests in hun mandje doen. Bovendien maakt de drogist gebruik van een nieuwe trend in cookieland, die nog niet op de radar staat van de toezichthouders: Server Side Tracking, oftewel SST.21
‘Deze manier van tracken komt steeds vaker voor, en is veel moeilijker te controleren,’ ziet Radboud-onderzoeker Acar. ‘Websites sturen gegevens over hun klanten niet direct door naar de tech-bedrijven, maar gebruiken eerst hun eigen server als een soort tussenstop.’ Op de plek waar je normaal zou zien dat een cookie iets naar Google, Meta of Tiktok stuurt, zie je bij de nieuwe volgwijze de eigen webshops als verzender én ontvanger van de verstuurde data.
‘Dat omzeilt ook adblockers, die mensen installeren om een hoop cookies van derden tegen te houden’, zegt Acar. ‘En zo kunnen webshops vervolgens, buiten het zicht van de consument, de gegevens doorsturen naar welke externe partij ze maar willen.’ Het is bovendien een geitenpaadje om zelfs als de bezoeker op ‘weigeren’ klikt informatie door te blijven sturen. De helft van de online drogisterijen die Investico onderzocht, gebruikt deze nieuwe volgmethode, waaronder Etos en Trekpleister.22
Bij DA, en de online drogisten Plein.nl en Leef.nl zien we hetzelfde bedrijfje langskomen dat hen helpt om hun klanten zo te volgen: TAGGRS, een startup uit Heerenveen.23 Het bedrijf bestaat nog maar vier jaar, maar heeft naar eigen zeggen al 10 duizend klanten, en haalde in 2024 een investering van ruim 2 miljoen binnen. Het motto op hun website laat weinig aan de verbeelding over: ‘Alles wat je nodig hebt om succesvol te tracken.’24
De verantwoordelijkheid om dit op een juiste manier te doen, ligt bij de webshops zelf, zegt mede-oprichter van TAGGRS Niek Schlepers: ‘Wij proberen onze klanten zo goed mogelijk te adviseren, maar we bemoeien ons niet met de implementatie. Je hoopt dat ze alles netjes in hun cookiebanner vermelden, maar wat er met de data gebeurt blijft een beetje een zwart gat, dat ben ik met jullie eens.’
Uiteindelijk belandt er dus via allerlei wegen een enorme hoeveelheid - medische informatie bij Google en Meta, die de bedrijven weer kunnen matchen aan alle informatie die ze toch al over je hebben. ‘Maar hoe ze dat doen, is niet transparant’ zegt Anouk Ruhaak, voorzitter van Stichting Databescherming Nederland. ‘Meta zegt zelf dat ze gevoelige informatie eruit filtert en niet gebruikt voor gerichte advertenties, maar er is geen manier om dat te controleren. Tegelijkertijd weten we van vergelijkbare marketing-bedrijven dat ze gigantische lijsten met categorieën hebben waar ze mensen in plaatsen.’
Zo vond tech-nieuwssite The Markup in 2023 een lijst die Microsoft gebruikte om advertenties te versturen, met daarin meer dan 650 duizend labels die je opgeplakt kan krijgen als online consument.25 Die labels lopen uiteen van ‘vermogende millenials’ tot ‘frozen pizza buyers’ maar er zijn ook labels voor je mening over abortus, je burgelijke stand, seksualiteit en etniciteit. Voor zwangerschap zijn er categorieën die variëren van ‘trying to become pregnant’ tot ‘new moms with 2+ kids’. De kans is groot dat Google en Facebook soortgelijke profielen aanleggen met de informatie die drogisten naar ze doorsturen’, denkt Ruhaak.
Ruhaak krijgt vaak de vraag hoe erg het nu echt is dat deze bedrijven zoveel van je weten. ‘Maar we zien de afgelopen tijd dat de Amerikaanse immigratiepolitie ICE dit soort data gebruikt om mensen op te sporen.26 Daarnaast waarschuwen experts al jaren dat data van apps waarin je je menstruatiecyclus kunt bijhouden kan worden gebruikt om anti-abortuswetten te handhaven.27 Juist informatie over of iemand zwanger denkt te zijn, kan politiek worden ingezet.’
In een reactie op onze bevindingen zegt de Autoriteit Persoonsgegevens (AP) dat er wettelijk een ‘verzwaarde vorm van toestemming’ geldt als er medische gegevens worden doorgestuurd.28 De bezoeker moet daar meteen in de cookie banner over worden geïnformeerd, zegt de AP, en moet kunnen inzien wat de mogelijke gevolgen zijn van dat doorsturen. ‘Het is onvoldoende om enkel te stellen dat er tracking cookies geplaatst worden voor betere advertenties.’ Op specifieke onderzoeksbevindingen kan de toezichthouder niet ingaan.
We legden onze bevindingen voor aan de twintig onderzochte drogisten.29 Een aantal van hen, zoals supermarkt Jumbo, bezorgdienst Flink en deonlinedrogist.nl reageerden geschrokken dat ze inderdaad te veel gegevens over hun bezoekers delen, en verwijderden de tracking-cookies vervolgens van hun website. Jumbo zegt dit ook te hebben gemeld bij de Autoriteit Persoonsgegevens. Verschillende kleinere online-drogisten zeggen een onderzoek in te stellen naar de werking van hun website.
Aan de andere kant zeggen drogisten als DA, Etos, Albert Heijn en PLUS dat het doorsturen van gegevens over zwangerschapstesten wel degelijk in overeenstemming met de privacywet is. De aankoop van een zwangerschapstest zegt namelijk niet altijd wat over de gezondheid van een bezoeker, zeggen zij. ‘Een product kan ook voor iemand anders worden aangeschaft’, schrijft PLUS bijvoorbeeld.
-
De overheid houdt bij welke bedrijven medicijnen of medische hulpmiddelen mogen verkopen. Die aanbiederslijst is hier te vinden. We hebben vervolgens de apotheken uit die lijst gefilterd, door de categorieën UR (Uitsluitend Recept) en UA (Uitsluitend Apotheek) weg te laten. Ten slotte hebben we gekeken welke van de overige winkels en webshops zwangerschapstests verkoopt.
Dat leverde een lijst van 68 drogisten en webshops op. Daar hebben we vervolgens een selectie van 20 uit gemaakt. Die bevat sowieso alle drogisten met fysieke vestigingen, aangevuld met supermarkten en grote online webshops. De drogisten die we uiteindelijk hebben onderzocht zijn Etos, Albert Heijn, PLUS, Flink, bol.com, Trekpleister, Kruidvat, Boots, DA, Jumbo, internetdrogist.nl, plein.nl, drogist.nl, internetdrogisterij.nl, koopjesdrogisterij.nl, deonlinedrogist.nl, drogisterij.nl, adviesdrogisterij.nl, leef.nl en drogistsolo.nl.
In navolging van Moti et al (2025) surften we naar de homepage, zochten op een zwangerschapstest, deden die in ons winkelmandje, vulden een fictieve naam, adres en telefoonnummer in, totdat we uiteindelijk moesten betalen. We deden dit zowel met cookies geaccepteerd, als met niet-noodzakelijke cookies geweigerd. Via de Network tab van de browser bekeken we vervolgens welke cookies geplaatst werden.
Zie ‘Verantwoording’ voor een volledige onderzoeksverantwoording en een overzicht van de resultaten. ↩
-
Dat wil zeggen dat er Google-cookies geplaatst werden die in ieder geval meesturen welk product er in het mandje werd gedaan. Google kent een grote verscheidenheid aan cookies. Google Analytics-cookies komen vrijwel overal voor, zowel met cookies geaccepteerd als afgewezen. Zeker als de gebruiker cookies accepteert worden er in veel gevallen ook Google-cookies geplaatst die expliciet voor marketing zijn bedoeld. Zie de onderzoeksverantwoording voor de gedetailleerde resultaten. ↩
-
Dat wil zeggen dat er Facebook-cookies geplaatst worden die in ieder geval meesturen welk product er in het mandje wordt gedaan. Het gaat dan altijd om de zogenoemde Facebook Pixel, die een code bevat die jou meteen kan linken aan je Facebook- (of Instagram-, of Threads-)profiel als je in diezelfde browser bent ingelogd. De 11 drogisten die wij Facebook-cookies zagen plaatsen zijn: Etos, Albert Heijn, PLUS, Flink, bol.com, internetdrogist.nl, DA, plein.nl, Jumbo, drogist.nl en koopjesdrogisterij.nl. ↩
-
Dat wil zeggen dat er Tiktok-cookies geplaatst worden die in ieder geval meesturen welk product er in het mandje wordt gedaan. Het gaat dan altijd om de zogenoemde Tiktok Pixel, die een code bevat die jou meteen kan linken aan je Tiktok-profiel als je in diezelfde browser bent ingelogd. De drie drogisten die wij Tiktok-cookies zagen plaatsen zijn Flink, DA en plein.nl. ↩
-
De drogisten die Server Side Tracking (de naam van de nieuwe volgmethode) gebruiken zijn: Etos, PLUS, Trekpleister, Kruidvat, DA, plein.nl, drogist.nl, koopjesdrogisterij.nl, deonlinedrogist.nl en leef.nl ↩
-
Zuckerberg werd opgeroepen voor een gemeenschappelijke hoorzitting van de Judiciary and Commerce Committees van de Amerikaanse Senaat, en de Energy and Commerce Committee van het Amerikaanse Huis van Afgevaardigden. Zijn tekst is terug te lezen in dit artikel van Vox. ↩
-
De bewuste uitspraak is terug te kijken in deze Youtube-video van NBC News. ↩
-
Lees bijvoorbeeld dit artikel op tech-site The Markup over hoe wijdverbreid Facebook-cookies zijn. ↩
-
Lees meer over verschillende cookies op bijvoorbeeld deze uitleg van De Consumentenbond. ↩
-
In alle veel gebruikte browsers werkt het grofweg hetzelfde. Klik met de rechtermuisknop ergens in het scherm en kies ‘Inspecteren’ of ‘Inspecteer element’ in het menu, kies vervolgens de tab ‘Netwerk’. Als je dan de pagina ververst, zie je alle cookies voorbij komen die worden geplaatst en naar wie de informatie wordt verstuurd. Veel cookies zijn doorgaans van de eigen server van een website, bijvoorbeeld om afbeeldingen of andere informatie op te halen, maar waarschijnlijk zitten er ook verzoeken van bijvoorbeeld Google en Facebook tussen. Door vervolgens een individuele cookie te selecteren kun je bij de Headers en/of Payload zien welke gegevens worden meegestuurd. ↩
-
De meeste ad-blockers blokkeren het weglekken van dit soort informatie naar derde partijen als Google en Facebook. In Safari en Firefox kun je ook aanzetten dat trackers in het geheel worden tegengehouden. Op je telefoon is het echter lastiger om zulke ad blockers te gebruiken. ↩
-
Lees het paper van Acar en zijn collega’s Zahra Moti, Kimberley Frings, Christine Utz, Frederik Zuiderveen Borgesius hier terug. ↩
-
Ze doen dat niet direct, maar via een zogenoemde hash: een versleutelde manier van versturen die altijd op dezelfde manier gebeurt. Op het eerste gezicht lijkt de informatie daardoor geheim, maar aangezien de tech-bedrijven weten wat de algemene vorm van de tekst is (10 cijfers voor een telefoonnummer bijvoorbeeld), en ze doorgaans al veel andere informatie over je hebben, is het volgens experts niet ingewikkeld om die hash te ontsleutelen. ↩
-
Dit staat in artikel 9 van de AVG, hier terug te vinden. In dit artikel staat dat verwerking van onder andere ‘gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid’ verboden is, tenzij de betrokkene ‘uitdrukkelijke toestemming’ heeft gegeven. ↩
-
Zie Verantwoording voor een volledig overzicht van alle cookie banners. ↩
-
Het gaat specifiek om internetdrogist.nl ↩
-
Op de websites van Etos, Flink, bol.com, Kruidvat en Boots verdwenen alle Google-cookies als we op ‘weigeren’ klikten. Op de websites van de andere 15 onderzochte drogisten waren dus nog wel verschillende Google-cookies aanwezig, die allemaal in meer of mindere mate de consument kunnen volgen. In alle gevallen ging het om cookies van Google Analytics, in 8 gevallen plaatsten de websites ook andere Google-cookies (Syndication, IDE, gcl_au) die volgens experts meer voor marketing bedoeld zijn, en gemakkelijker aan het profiel van een gebruiker te koppelen zijn. ↩
-
In Zweden legde de toezichthouder de apotheken Apoteket AB en SEK boetes op van respectievelijk 37 miljoen en 8 miljoen Zweedse kronen omdat ze gebruik maakten van een Facebookpixel. Lees er hier meer over in de Zweedse media. ↩
-
In Finland legde de toezichthouder de Yliopiston Apteekki een boete van 1,1 miljoen euro op omdat die cookies had gebruikt waarin ‘de interacties tussen gebruikers en de winkel gerelateerd aan medicijnen op recept en medicijnen zonder recept’ werden doorgestuurd naar Google en Meta. Lees er hier meer over in de Finse media. ↩
-
Deze zaak hing er vooral op dat in de cookie banner van de Kruidvat ‘de vakjes om akkoord te gaan met het plaatsen van volgsoftware standaard staan aangevinkt. Dat mag niet.’ De AP legde aanvankelijk een boete op van 600 duizend euro, maar verlaagde die later naar 50 duizend euro. Lees er hier meer over op de website van de AP. ↩
-
Marketingbedrijf TAGGRS (meer daarover lager in het stuk) heeft een uitstekende uitleg van Server Side Tracking op hun website staan. Een van de pluspunten volgens hun uitleg is dat de gebruiker van hun software veel ↩
-
Het gaat om Etos, PLUS, Trekpleister, Kruidvat, DA, plein.nl, drogist.nl, koopjesdrogisterij.nl, deonlinedrogist.nl en leef.nl. We zien bijvoorbeeld dat DA een lijst gegevens naar hun eigen domein stuurt (inc.da.nl) waar ook identificatiecodes bij zitten die Facebook en Google gebruiken. Ook als de gebruiker cookies afwijst blijven deze bedrijven SST-cookies plaatsen, hoewel het wel varieert hoeveel gegevens na het afwijzen nog worden doorgestuurd. ↩
-
Door een zogenoemde ‘Reverse DNS Lookup’ te doen op de IP-adressen van de interne servers die de cookies plaatsen, konden we vinden wie deze servers beheert. In deze drie gevallen was dat dus TAGGRS. ↩
-
Lees meer over TAGGRS op hun website, en in dit artikel dat Quote over hen schreef. ↩
-
Het artikel is hier terug te lezen. Het bevat ook een zoekbox waarin je termen kunt typen om te zien wat voor categorieën er allemaal zijn. ↩
-
Lees er meer over in bijvoorbeeld dit artikel van de Seattle Times. ↩
-
Zie bijvoorbeeld dit artikel van Privacy International. ↩
-
De AP zegt verder dat het ‘zeer aannemelijk’ is dat er bijzondere persoonsgegevens worden verwerkt als een gebruiker een zwangerschapstest koopt. De enige situaties waarin dat niet zo is, is als die gebruiker de test bijvoorbeeld voor iemand anders koopt. ↩
-
Zie Verantwoording voor een overzicht van alle reacties van de onderzochte drogisten. ↩
Wilt u onafhankelijke onderzoeksjournalistiek ondersteunen? Word Vriend van Investico
