Supermarkten die een applicatie en website hebben, blijken hun zaakjes niet goed op orde te hebben. Veel apps en websites blijken onvoldoende te zijn beveiligd. Daarnaast schenden ze de privacy van hun klanten doordat ze gegevens doorspelen aan Facebook zonder hen hierover vooraf te informeren. Dat blijkt uit onderzoek van de Consumentenbond. Die belangenorganisatie legde dertien grote supermarktketens langs hun Privacymeter. Deze tool kijkt op tientallen punten of organisaties zich aan de Europese privacywetgeving houden en niet onnodig gegevens delen met andere bedrijven.
Een groot aantal van de onderzochte applicaties en websites ging de mist in. Zo plaatsen de sites van Coop, Deen, Deka, Dirk, Hoogvliet, Jan Linders, Picnic en Spar advertentiecookies op computers zonder daar vooraf toestemming voor te vragen. Tevens hadden de acht supermarktketens volgens de Consumentenbond een verwarrend cookiemenu, of ze wierpen een cookiemuur op waardoor bezoekers de site niet konden bezoeken.
Sinds de invoering van de cookiewet in mei 2011, zijn website-eigenaren en adverteerders in Europa verplicht om vooraf toestemming te vragen om commerciële, niet-functionele cookies te mogen plaatsen. Ook moeten ze bezoekers van tevoren informeren over de cookies die ze willen plaatsen en welk doel deze dienen. Het blokkeren van informatie door het opwerpen van een cookiemuur is volgens deze wetgeving niet toegestaan.
Uit onderzoek van de Consumentenbond blijkt ook dat de beveiliging niet op orde is. Bij Coop, Dirk, Jan Linders, Plus en Spar kunnen aanvallers eindeloos e-mailadressen en wachtwoorden invullen, totdat er een match is. Dit is een geautomatiseerd proces dat ook wel brute force attack wordt genoemd.
De belangenorganisatie erkent dat hackers vrij weinig schade kunnen aanrichten als ze het wachtwoord raden van een klant. Wellicht omdat er weinig tot geen gevoelige persoonsgegevens zijn opgeslagen. Het wordt een ander verhaal als deze klant hetzelfde wachtwoord voor andere online accounts gebruikt. Ondanks dat beveiligingsdeskundigen al jaren adviseren om hetzelfde wachtwoord niet voor meerdere diensten te gebruiken, recyclen velen echter hun wachtwoorden.
Tot slot is de privacy bij de meeste supermarkten ook een zorgkindje. Bij Coop. Hoogvliet, Jan Linders, Picnik, Plus en Spar was het mogelijk om te achterhalen wie er klant is bij deze supermarkt. De Consumentenbond vuurde een lange lijst van e-mailadressen af naar de servers van de supermarkten. Als het e-mailadres bekend was, kreeg de belangenvereniging een afwijkende reactie.
Tevens onderzocht de Consumentenbond het netwerkverkeer van diverse apps. Daaruit bleek dat Coop, Deen, Jumbo, Jan Linders en Spar informatie doorspeelden naar Facebook, zonder klanten hier van tevoren over in te lichten. Voor Facebook is deze informatie interessant: het platform weet dan precies waar je je dagelijkse boodschappen doet en kan je op basis van deze informatie gepersonaliseerde advertenties voorschotelen. Een minder prettige is dat Facebook ook weet wanneer je boodschappen doet en welke smartphone je hebt.
De apps en websites van Albert Heijn, Aldi en Lidl kwamen als beste uit de privacytest. Alleen in de iOS-app van Albert Heijn ontdekte de belangenorganisatie een kleine fout: daar was het niet mogelijk om aangepaste cookie-instellingen op te slaan.
Naar aanleiding van dit onderzoek stelde de Consumentenbond de supermarkten op de hoogte van de bevindingen. Begin december voerde de Bond het onderzoek nogmaals uit, om te kijken of ze supermarktketens hun zaakjes nu wel op orde hadden. Dat bleek helaas niet het geval te zijn. Alle vijf de supermarkten waar een wachtwoordprobleem werd vastgesteld, hadden dit euvel niet opgelost. In een reactie zeiden ze dat dit door de kerstdrukte en het coronavirus kwam en dat ze zodoende op een later tijdstip in actie komen.
Deka en Picnic plaatsen na de waarschuwing van de Consumentenbond niet langer advertentiecookies op computers zonder vooraf eerst om toestemming te vragen. Coop en Jan Linders communiceren niet langer met Facebook via hun apps. Andere supermarkten laten weten deze maand of begin volgend jaar aanpassingen door te voeren.
Sandra Molenaar, directeur van de Consumentenbond, is naar eigen zeggen niet te spreken over de ‘lakse houding’ van de supermarkten. Ze vindt de ‘laconieke reactie’ van de supermarkten ‘ronduit zorgelijk’. “Het is relatief eenvoudig om technische maatregelen te treffen die een brute force attack onmogelijk maken, maar toch kiezen de supermarkten ervoor om dat niet te doen. Terwijl we weten dat veel consumenten op verschillende plekken hetzelfde wachtwoord gebruiken. Door niets te doen, stellen de supermarkten hun klanten willens en wetens bloot aan het risico om gehackt te worden. Met mogelijk verstrekkende gevolgen. Dat vind ik heel kwalijk”, aldus Molenaar.
