Als een bezoeker een zwangerschapstest in diens online winkelmandje doet, dan sturen de webshops van Nederlandse drogisten die informatie door naar tech-bedrijven als Google, Meta en Tiktok. Dat blijkt uit onderzoek van Investico, in samenwerking met De Groene Amsterdammer en tv-programma Radar.

Alle twintig onderzochte drogisten, waaronder Kruidvat, Etos en Trekpleister deonlinedrogist.nl sturen informatie over de gebruiker en diens klikgedrag naar Google. De helft van de drogisten doet dit ook naar Meta, het moederbedrijf van Facebook. Drogist DA, flitsbezorger Flink en online drogist plein.nl sturen zelfs informatie naar het Chinese Tiktok.

‘Een webshop moet een gebruiker heel expliciet vertellen wat er met de informatie over bijvoorbeeld een zwangerschapstest gebeurt, omdat het hier over je gezondheid of seksleven gaat.’ zegt Frederik Zuiderveen Borgesius, professor ICT en Recht aan de Radboud Universiteit. Dat moet via de zogenoemde ‘cookiebanner’, de popup die vraagt of de gebruiker cookies accepteert of niet. Borgesius las voor Investico de banners van alle onderzochte drogisten en beoordeelt ze allemaal als onvoldoende. ‘En zelfs als iemand op ‘accepteren’ klikt is diegene zich er natuurlijk totaal niet van bewust dat elke aankoop van een zwangerschapstest of morning afterpil wordt doorgebriefd naar Facebook.’

De drogisten hebben zogenoemde ‘tracking cookies’ op hun website staan, waarmee Google, Meta en Tiktok gebruikers van de homepage tot in het winkelmandje kunnen volgen. ‘Die cookies bevatten codes die uniek zijn voor jouw computer of browser’, zegt Güneş Acar, computerwetenschapper aan de Radboud Universiteit. ‘Als je ergens bent ingelogd bij bijvoorbeeld Google, Youtube, Facebook of Instagram, kunnen ze de zwangerschapstest meteen linken aan de rest van de informatie die ze over je hebben. Zo volgen ze je over het hele internet.’ Drogist DA, supermarkt Plus en bezorgservice Flink gaan het verst, blijkt uit ons onderzoek: zij sturen ook nog los nog je naam, adres en telefoonnummer door naar Meta.

De helft van de onderzochte drogisten websites doet bovendien ook aan deze nieuwe vorm van data delen die veel minder zichtbaar is, die als ‘Server Side Tracking’ bekend staat. ‘Deze manier van tracken komt steeds vaker voor, en is veel moeilijker te controleren,’ zegt Radboud-onderzoeker Acar. ‘Websites sturen gegevens over hun klanten niet direct door naar de Amerikaanse tech-bedrijven, maar gebruiken eerst hun eigen server als een soort tussenstop.’ Daardoor is het minder transparant wat er met de gegevens van klanten gebeurt.

In een reactie op onze bevindingen stelt de Autoriteit Persoonsgegevens (AP) dat de bezoeker van een website meteen in de cookie banner moet worden geïnformeerd als er medische gegevens worden doorgestuurd. ‘Het is onvoldoende om enkel te stellen dat tracking cookies geplaatst worden voor betere advertenties.’ Op specifieke onderzoeksbevindingen kan de toezichthouder niet ingaan.

Nadat wij onze bevindingen voorlegden aan de onderzochte drogisten, lieten supermarkt Jumbo, bezorgdienst Flink en deonlinedrogist.nl weten hun website meteen aan te passen en de meest vergaande vormen van tracking te verwijderen. Verschillende kleine online drogisten zeggen een onderzoek in te stellen naar de werking van hun website. Aan de andere kant zeggen drogisten als DA, Etos, Albert Heijn en PLUS dat het doorsturen van gegevens over zwangerschapstesten wel degelijk in overeenstemming met de privacywet is. De aankoop van een zwangerschapstest zegt namelijk niet altijd wat over de gezondheid van een bezoeker, zeggen zij. ‘Een product kan ook voor iemand anders worden aangeschaft’, schrijft PLUS bijvoorbeeld.

Zie ‘Verantwoording’ voor een volledige onderzoeksverantwoording en de reacties van alle onderzochte drogisten.