Online drogisterijen en webshops delen gevoelige gezondheidsdata met Big Tech

Stichting Privacy First vindt het schokkend wat er gebeurt. Online winkels, waaronder grote drogisterijen, sturen wanneer je hun websites bezoekt en aankopen doet gevoelige klantgegevens door aan techbedrijven zoals Facebook, Google en TikTok. Soms worden zelfs e-mailadressen en andere identificerende gegevens meegestuurd. Dit gebeurt onder meer via zogenaamde server-side tracking. Het gaat niet om onschuldige klikjes, maar om informatie over bijvoorbeeld zwangerschapstesten, morning-afterpillen of erectiemiddelen.

En het wordt nog erger. Zelfs als je cookies weigert, blijken data via server-side tracking alsnog te worden doorgestuurd. Expliciete toestemming voor het delen van gevoelige (medische of seksuele) informatie wordt niet apart gevraagd, terwijl dat wettelijk wel moet bij dergelijke bijzondere persoonsgegevens. “Cookies weigeren” geeft dus vaak een vals gevoel van controle.

Dit gebeurt terwijl de Autoriteit Persoonsgegevens (AP) in 2024 nog een boete van 600.000[1] euro oplegde aan Kruidvat (na bezwaar van Kruidvat werd dit 50.000 euro)[2] vanwege het gebruik van trackingcookies op hun website zonder de toestemming van bezoekers. Juist bij een drogisterij zijn de risico’s groot. Aankopen zoals zwangerschapstesten of medicatie, gecombineerd met locatiegegevens, kunnen namelijk leiden tot extreem specifieke en invasieve profielen. Van “lessons learned” lijkt er geen sprake te zijn als je naar de onderzoeksresultaten van Investico kijkt.

Waarom is dit problematisch?

Waarom dit zo problematisch is, heeft te maken met het feit dat de risico’s allesbehalve theoretisch zijn. De risico’s zijn reëel en ernstig met als gevolg dat er totaal geen privacygevoel meer is, het vertrouwen weg is en er ook nog juridische gevolgen aan verbonden kunnen worden. Hieronder volgen enkele voorbeelden van wat er met de verzamelde gegevens kan gebeuren:

• Profilering en doorverkoop: er worden zeer gedetailleerde profielen opgebouwd en doorverkocht in een ondoorzichtig advertentie-ecosysteem.
• Zeer specifieke kenmerken: die profielen kunnen zo specifiek zijn dat ze iemands seksuele voorkeuren of medische situatie (impliciet) blootleggen.
• Strafrechtelijke risico’s: in de Verenigde Staten zagen en zien we dat aankoopdata en locatiegegevens (en social media gegevens) gebruikt kunnen worden in (strafrechtelijke) onderzoeken, bijvoorbeeld rond abortus[3] en visa[4].
• Regimeverandering: gegevens die in het huidige politieke klimaat onschuldig lijken, kunnen onder een ander regime ineens tegen burgers worden ingezet. Wat vandaag marketingdata is, kan morgen bewijsstuk zijn.
• Datalekken en chantage: het datalek bij Ashley Madison[5] liet zien hoe verstrekkend de gevolgen kunnen zijn wanneer gevoelige informatie openbaar wordt. Mensen verloren hun baan, hun relatie, sommigen pleegden zelfs zelfmoord. Moreel kun je van overspel iets vinden, maar het is niet strafbaar. Publiekelijk werden mensen wel veroordeeld via gelekte data.
• Onjuiste koppelingen: soms worden e-mailadressen of gegevens gebruikt waarvan niet zeker is dat ze correct zijn. Bij een datalek kunnen gegevens ten onrechte aan iemand worden gekoppeld met reputatieschade tot gevolg.
• Minderjarigen: als dit soort tracking ook minderjarigen raakt, zijn de risico’s nog ernstiger.

Dit is geen abstract privacydebat. Dit gaat over machtsverhoudingen, over controle, over kwetsbaarheid.

Wie moet de consumenten beschermen?

Niet de consument zelf. Het idee dat je “veilig” bent door cookies te weigeren is achterhaald. In eerste instantie zijn online drogisterijen zelf verantwoordelijk voor het (laten) plaatsen van de trackers. Zij bepalen welke trackers op hun website staan. De grote platforms zijn medeverantwoordelijk. Hun pixels en advertentienetwerken maken deze tracking mogelijk en winstgevend. Zij zijn ook herhaaldelijk op de vingers getikt. Toch blijven deze praktijken bestaan, vaak verscholen achter complexe technische infrastructuren. Tot slot moet de AP toezicht (blijven) houden, voorlichten en handhaven. De AP heeft voldoende degelijke instrumenten om dit te kunnen doen. Het instrumentarium strekt zich van onderzoeken doen, waarschuwen of berispen tot aan boetes opleggen, verwerkingen stilleggen en gegevens laten wissen.

Afgelopen jaren heeft de AP veel informatie gedeeld over cookies en zegt strenger te controleren. De boete voor Kruidvat laat zien dat optreden mogelijk en nodig is. Maar handhaving is vaak achteraf en versnipperd. Tegen de tijd dat er een boete ligt, zijn er al duizenden, zo niet miljoenen profielen gemaakt en verspreid.

Bovendien vindt Privacy First dat cookiebanners niet de echte oplossing zijn. Ze zijn vaak onduidelijk of misleidend. Mensen zijn “cookiemoe” en klikken snel op “accepteren”, zonder enig overzicht van wat er met hun gegevens gebeurt of in welke databases ze belanden. Je weet als consument niet in welk profiel je zit, welke labels aan je zijn geplakt, of wie daar toegang toe heeft.

Hoe moet dit worden opgelost?

Privacy First vindt dat de tijd van “nuance en coulance” voorbij is. Bedrijven verzamelen elke dag meer data omdat het winst oplevert, totdat ze worden teruggefloten. Als maatschappij moeten we duidelijker aangeven waar de grens ligt.

• De oplossing begint bij dat bedrijven zich aan de wet moeten houden. Privacy by design moet de norm zijn, zeker bij gevoelige producten.
• Techbedrijven moeten hun verantwoordelijkheid nemen. Er moet geen tracking plaatsvinden op basis van bijzondere persoonsgegevens. Punt.
• Strengere en snellere handhaving is nodig, ondanks dat de AP een beweging wil maken naar een helpende, ondersteunende organisatie en boetetrajecten als zwaar en tijdrovend ervaart. De AP heeft de bevoegdheden en die moeten ook stevig worden ingezet.
• Meer transparantie over cookies en bewustwording blijft een aandachtspunt. Als in een cookiebanner staat dat aankopen van koffie worden gedeeld met partners, dan geldt dat ook voor zwangerschapstesten en medicatie. Dat besef moet indalen. Verder moeten mensen kunnen zien in welk profiel zij zijn ingedeeld en welke labels aan hen zijn toegekend. Zonder inzicht geen effectieve uitoefening van rechten.
• Tot slot moeten we serieus blijven nadenken over een verbod op tracking van gevoelige persoonsgegevens en praktische implementatie ervan. Zeker als het gaat om gezondheid en seksualiteit.

Conclusie

We kunnen niet langer doen alsof dit een technisch detail is. Het doorspelen van gevoelige gezondheidsdata aan advertentieplatforms is een fundamentele aantasting van de persoonlijke levenssfeer.

Consumenten beschermen tegen dit soort datadoorgifte is geen individuele verantwoordelijkheid maar een collectieve opdracht. Voor webwinkels en drogisterijen. Voor techplatforms. Voor de toezichthouder. En uiteindelijk voor de wetgever. Gevoelige gezondheidsdata horen niet thuis in advertentieprofielen. Dat zou geen discussie meer mogen zijn.

Bekijk HIER de televisiereportage en lees HIER het bijbehorende artikel bij Radar.  

[1] https://autoriteitpersoonsgegevens.nl/documenten/besluit-boete-as-watson-kruidvat

[2] https://autoriteitpersoonsgegevens.nl/documenten/besluit-op-bezwaar-as-watson-kruidvat

[3] https://www.americanprogress.org/article/stopping-the-abuse-of-tech-in-surveilling-and-criminalizing-abortion/

[4] https://www.bbc.com/news/articles/c1dz0g2ykpeo

[5] https://www.reuters.com/article/technology/two-people-may-have-committed-suicide-after-ashley-madison-hack-police-idUSKCN0QT1O6/