Je meest persoonlijke aankopen liggen op straat
Uit nieuw onderzoek blijkt dat drogisterijen massaal gevoelige data delen met techreuzen en advertentienetwerken.
Published on February 23, 2026
Team IO+ selecteert en brengt de belangrijkste nieuwsverhalen over innovatie en technologie, zorgvuldig samengesteld door onze redactie.
Het bestellen van een zelftest voor een geslachtsziekte, een zwangerschapstest of medicatie tegen schimmelinfecties is voor velen een moment van kwetsbaarheid. Je kiest voor een online bestelling in de veronderstelling dat dit discreet gebeurt. Die aanname blijkt onterecht. Terwijl jij afrekent, kijken er tientallen digitale ogen mee over je schouder. Je medische situatie wordt direct omgezet in handelswaar. Zo blijkt uit uitgebreid onderzoek van Radar en Investico, in samenwerking met De Groene Amsterdammer.
Het lek is groter dan je denkt
De resultaten van het onderzoek liegen er niet om. De journalisten onderzochten twintig grote online drogisterijen en webshops, waaronder bekende namen als Kruidvat, Etos en Bol.com. Het resultaat is onthutsend: alle twintig de partijen delen gevoelige informatie met Google. Bij de helft van de winkels kijkt ook Meta, het moederbedrijf van Facebook en Instagram, direct mee in je winkelmandje. Het blijft niet beperkt tot anonieme kliks. In sommige gevallen, zoals bij DA, Plus en flitsbezorger Flink, worden zelfs naw-gegevens, e-mailadressen en telefoonnummers doorgestuurd naar de advertentieplatforms.. Dit koppelt jouw intieme medische aankoop direct aan je fysieke identiteit. De techbedrijven weten dus niet alleen *dat* er een zwangerschapstest is verkocht, maar ook precies *wie* deze heeft gekocht en waar diegene woont. Zelfs als je als consument bewust cookies weigert in de hoop je privacy te beschermen, gaat de datastroom bij vijftien van de twintig webshops gewoon door. De belofte van privacy in de cookiebanner blijkt in de praktijk vaak een wassen neus.
Een wereldwijd web van meekijkers
Het is verleidelijk om enkel naar de grote Amerikaanse techreuzen uit Silicon Valley te wijzen. De realiteit is echter complexer en diffuser. Het ecosysteem van datagariërs is veel breder dan alleen Google en Facebook. Uit het onderzoek blijkt dat ook het Chinese platform TikTok data ontvangt van Nederlandse winkels als DA en Plein.nl. Maar daar stopt het niet. Wie de technische infrastructuur van sites als Plein.nl analyseert, ziet dat er nog veel meer partijen aan de poort rammelen. Zo worden er cookies geplaatst door Pinterest, waardoor ook dit platform inzicht krijgt in je interesses en aankopen. Het is dus niet louter een Amerikaans of Chinees probleem. Het is een fundamenteel probleem van de moderne e-commerce. Verschillende technieken geven een enorme hoeveelheid partijen de kans om mee te kijken. Je data verdwijnt niet inéén kluis, maar wordt verspreid over een ondoorzichtig netwerk van advertentiemakelaars, sociale media en mediabedrijven.
De techniek achter de schermen: Server Side Tracking
Voorheen kon je jezelf als consument nog redelijk beschermen. Je installeerde een adblocker of weigerde tracking-cookies in je browser. Die tijd is voorbij. Webwinkels zetten steeds vaker geavanceerde methoden in om deze blokkades te omzeilen. Een populaire techniek is 'Server Side Tracking' (SST). Hierbij worden de gegevens niet vanuit jouw laptop of telefoon naar Facebook gestuurd. In plaats daarvan stuurt de webwinkel de data rechtstreeks vanaf hun eigen server door naar de techbedrijven. Jij ziet dit niet gebeuren. Je browser ziet het niet. Je adblocker kan er niet bij. Het is een onzichtbare datatunnel die volledig buiten jouw controle omgaat. Nederlandse bedrijven spelen hier handig op in.
Juridisch gezien begeven deze webwinkels zich op glad ijs. Of beter gezegd: ze zijn er al doorheen gezakt. Volgens de Algemene Verordening Gegevensbescherming (AVG) zijn gegevens over gezondheid 'bijzondere persoonsgegevens'. Voor het verwerken hiervan geldt een streng verbod, tenzij er een wettelijke uitzondering is. De enige relevante uitzondering hier is uitdrukkelijke toestemming. Een simpel vinkje bij een onduidelijke cookiebanner volstaat absoluut niet. De Autoriteit Persoonsgegevens (AP) is hier helder over: er is een 'verzwaarde vorm van toestemming' nodig. De consument moet precies weten dat zijn aankoop van aambeienzalf gedeeld wordt met een advertentiebedrijf. Dat gebeurt nu niet. De huidige banners zijn vaag en misleidend. Professor Frederik Zuiderveen Borgesius stelt in het onderzoek dat deze praktijken onwettig zijn. Toch nemen bedrijven de gok. De datahandel is dermate winstgevend dat een eventuele boete wordt ingecalculeerd. Zelfs eerdere sancties, zoals tegen Kruidvat in 2024, dwongen nog geen koerswijziging af.
Waarom dit jou raakt
Je vraagt je misschien af: wat maakt het uit dat Google weet dat ik paracetamol koop? Het probleem ligt in de accumulatie van data. Eén aankoop zegt weinig. Maar een historie van aankopen vertelt een compleet verhaal. Het onthult of je chronisch ziek bent. Het toont of je probeert zwanger te worden. Het laat zien of je worstelt met depressie. Deze data wordt gebruikt om profielen samen te stellen. Microsoft hanteerde in het verleden al meer dan 650.000 labels om mensen in hokjes te plaatsen. Deze profielen kunnen verstrekkende gevolgen hebben. Denk aan gerichte advertenties op je zwakste momenten. Maar de risico's gaan verder. Verzekeraars kunnen interesse hebben in deze data. In de VS wordt data van techbedrijven al gebruikt door justitie. Europese privacywetgeving blijkt in de praktijk een papieren tijger. Zolang de winstmarges op data hoger zijn dan de boetes, blijft jouw medisch dossier vogelvrij.