Volgens het onderzoek van de belangenorganisatie plaatst bijna de helft (48 procent) van de onderzochte websites over geloof, jeugd, medische onderwerpen en geaardheid, zonder toestemming van de bezoeker, één of meer advertentiecookies, bijna altijd van Google.
In maart en april 2019 zochten medewerkers van de Consumentenbond op onderwerpen binnen de categorieën geloof, jeugd, medisch en geaardheid. Via zoekvragen over onder meer depressie, verslaving, seksuele geaardheid en kanker kwamen zij op 106 websites. ‘Bijna de helft (48 procent) van die sites plaatste bij bezoek direct advertentiecookies zonder dat de bezoeker daar toestemming voor geeft. Een schokkende constatering volgens de bond.
‘Websites als CIP.nl, Refoweb.nl en scholieren.com plaatsten er zelfs tientallen. Ouders.nl maakte het helemaal bont en plaatste maar liefst 37 cookies. Ook een flink aantal instellingen voor geestelijke gezondheidszorg viel op. Onder andere ggzdrenthe.nl, connection-sggz.nl, parnassiagroep.nl en lentis.nl volgden ongevraagd het surfgedrag van hun bezoekers en speelden deze informatie door naar Google’, aldus de onderzoekers.
Onderzoek Autoriteit Persoonsgegevens
‘De websites zijn geïnformeerd en de meesten beloven beterschap’, schrijft de bond, maar voor Olof King, directeur belangenbehartiging Consumentenbond, is daarmee de zaak niet afgedaan: ‘De privacywet AVG is nu een jaar van kracht en het is zorgwekkend hoe slecht de wet wordt nageleefd. Google verrijkt jouw profiel met deze informatie en het is volstrekt onduidelijk wat er daarna mee gebeurt. Dat juist dit soort sites – met potentieel zeer gevoelige informatie – zo slordig met je gegevens omspringt, is dan ook ronduit schokkend. De Autoriteit Persoonsgegevens moet ingrijpen’.
In een reactie laat de Autoriteit Persoonsgegevens weten op korte termijn zelf een onderzoek te starten naar de naleving van privacyregels op websites.
In 2017 stelde de Consumentenbond ook al vast dat medische sites slordig omgaan met de privacy van hun bezoekers. Een aantal van de toen onderzochte sites, zoals Gezondheidsnet.nl en dokterdokter.nl, plaatsen nu pas cookies nadat de bezoeker daar toestemming voor heeft gegeven.
‘Die toestemming dwingen ze echter wel af met behulp van een zogenoemde cookie-muur en daarmee handelen ze nog steeds in strijd met de AVG’, aldus de Consumentenbond. Volgens toezichthouder AP moeten openbare websites ook bij het weigeren van tracking cookies toegankelijk zijn.
Reacties
Het is eigenlijk schokkend dat de Consumentenbond dit schokkend vindt.
Sinds decennia is de teneur binnen de (semi-)gezondheidszorg immers 'We doen dit in uw belang, en we bedoelen het zo goed'. In dat kader acht men bijna alles geoorloofd, tot vérgaande nalatigheden en privacy-inbreuken aan toe.
Naast letterlijk op straat liggende patientdossiers zijn cookies wérkelijk het minste van onze zorgen.
De pest is dat je geen website kunt bezoeken of je wordt geconfronteerd met allerlei privacy schendende tracking cookies en P.J. Westerhof vergeet dat hier niet alleen een commercieel doel achter zit. Een patiëntendossier dat per ongeluk op straat komt te liggen is fout maar schadelijker is stilletjes bijzondere persoonsgegevens middels tracking cookies en sociale media buttons verzamelen en verrijken om allerlei profileringen te kunnen doen.
Cambridge Analytica leerde dat profileringen niet alleen vanuit een commercieel doel gedaan worden. Hoe moeilijk is het om mensen die blijkens tracking cookies twijfels hebben over bijvoorbeeld een inenting te overtuigen om hun kinderen niet te laten inenten?
We doen dit in uw belang, we bedoelen het goed.....
Nee hoor, P.J. Westerhof vergeet helemaal niets.
En hij maakt al helemaal geen onjuist onderscheid naar al dan niet commerciële doeleinden.
Iedere enigzins privacy-bewuste internetter kan eenvoudig maatregelen nemen tegen ongewenste cookies en tracking.
Maar er is geen kruid gewassen tegen klungelende of ronduit kwaadwillende (semi-)zorginstanties.
We doen dit in uw belang, we bedoelen het goed..... of u het nu wilt of niet en of het nu verboden is of niet.
Wanneer het klaarblijklijk nodig is om met reklame via de websites van zorginstellingen de financiering rond te krijgen is er iets fundamenteel verkeerd.
Reklame hoort niet op dat soort websites.
Google heeft zich inmiddels zo diep "ingevroten" in het web dat het een (privacy-)gevaar is voor iedereen.
Toch accepteren we Google-fonts, Google-analytics, Google-maps, Google-etc.etc. bij het opzetten van websites.
En natuurlijk GMail ook als daar een deel van je e-mail niet aankomt vanwege Google's twijfelachtige filters.
Dat krijg je als gratis en makkelijk gaan voor het inschakelen van je grijze celletjes.
Mijn inziens mag daar de overheid een behoorlijke straf geven, er zijn namelijk wel degelijk alternatieven voor de meeste "diensten" van Google. Fonts kun je op je eigen webserver zetten, Matomo is wel GDPR-konform, OSM laat ook je lokatie op een kaart zien.
@JvL : volstrekt correcte constateringen.
Echter, in de hype van privatisering in de 80/90-er jaren mochten (moesten) allerlei overheidsdiensten en semi-overheden plotseling 'hun eigen broek ophouden'. 'Dienen van publiek belang' werd plotseling 'lekker centjes verdienen'. Met topsalarissen overeenkomstig multinationals, want 'de verantwoordelijkheden waren immers aanzienlijk toegenomen'.
Dat 'lekker centjes verdienen' kwam ook tot uitdrukking in de mogelijkheid van allerlei aanvullende commerciële inkomsten. Dus ook reclame-inkomsten.
Dat het financieringsstelsel van deze instellingen achteraf niet bleek - en blijkt - te deugen moet men mede de politiek aanrekenen.
De vercommercialisering ('lekker centjes verdienen') had inderdaad ook zijn invloed op de IT-kant van deze organisaties.
Het managementstandpunt was dat IT ingewikkeld was en vooral niet teveel mocht kosten.
Dat standpunt is vandaag de dag nauwelijks anders. Ondanks nieuwe wet- en regelgeving zijn besluitvormers persoonlijk nauwelijks verantwoordelijk te houden voor stupiditeiten.
Naast een vendor-lock-in met SAP, Microsoft, et al is het resultaat van die management-invloed goed terug te vinden in websites en de bouw daarvan.
Sinds jaar en dag maken web-ontwikkelaars het zichzelf makkelijk met tooltjes en extern aangeroepen functieblokken. Platform-gericht ontwerpen voor Microsoft en smartphone, met maximaal gebruik van Google-services, is de norm. Dergelijke script-kiddies hebben doorgaans geen benul van webstandaarden, laat staan van functionele testen of pen-testen.
De opdrachtgever heeft al helemaal geen benul, en boeit het ook niet 'zolang het maar werkt en leuk smoelt'.
Het door de AVG geëiste 'Data protection by design and by default' laat bij deze groepen dan ook geen enkele indruk achter.
Met de nieuwste ontwikkelingen rond GPS-tracing, device fingerprinting, Wifi-tracking, IoT, etc. zal met de komende 'ePrivacy Regulation' de geschiedenis zich gewoon herhalen.