Quantcast

Het is bijna onmogelijk om soa-informatie te vinden zonder getrackt te worden

Zelfs op meerdere GGD-sites wordt informatie over bezoekers gedeeld met derde partijen.

Wie weten er behalve, jij, je dokter en (hopelijk) je sekspartner(s) nog meer dat je een soa hebt?

Bij een gek geurtje, een raar bobbeltje, een irritant gevoel, een vieze afscheiding of het vage vermoeden dat je niet de enige bent waarmee je date het bed gedeeld heeft, ga je al gauw even Googlen. Slecht idee natuurlijk, want Google weet dan dat je waarschijnlijk een soa hebt. Gelukkig bestaan er daarom overheidssites van bijvoorbeeld de GGD waar je anoniem rond kan klikken op zoek naar een oplossing voor je geslachtskwaaltje. De volgende vraag voel je wellicht al aankomen: OF NIET?

De vraag of je iets te verbergen hebt, komt in het geval van soa's ineens heel dicht op de huid (lol). Het is dus met name met dit soort voorbeelden in het achterhoofd belangrijk dat er vanuit de media steeds meer kritische aandacht gaat naar sites en instellingen die zich niet aan de regels houden. Het overgrote deel van het internet is namelijk een advertentiemachine die zo veel mogelijk van je data probeert op te slurpen en om te zetten in knaken.

Trackers, cookies en andere meer geniepige manieren om je gedrag en gegevens bij te houden tieren welig op vrijwel alle sites – vaak zonder dat de desbetreffende sites zich van dat kwaad bewust zijn. Trackers zijn vaak vermomd als dingen die het leven van sitebouwers makkelijker maken, bijvoorbeeld een handige gratis widget waarmee je in een keer alle sociale mediaknoppen onder een artikel hebt, of een gratis tool waarmee je makkelijk het gedrag van bezoekers op je site kan bijhouden. Maar onder dat onschuldige uiterlijk schuilt vaak het commerciële mechanisme dat het meestal mogelijk maakt dat iets gratis is: data die verzameld, verpakt en verkocht wordt. Jij bent het product, zoals het volledig juiste cliché luidt.

Een advertentie krijgen voor een crème tegen genitale wratten als je je Facebook opent is gewoon niet zo chill. Vooral niet als er iemand naast je zit.

Gelukkig bestaan er regels die dit enigszins proberen te beperken. Sites moeten verplicht aangeven wanneer ze cookies of trackers gebruiken en eigenlijk ook expliciet vragen of de bezoeker akkoord is met het gebruik van trackers. In het geval van overheidssites moet het zelfs verplicht mogelijk zijn om van de hele site gebruik te maken zonder getrackt te worden.

Er gaat nogal eens wat mis bij websites die cookies gebruiken: het komt te vaak voor dat gebruikers getracked worden, zonder dat zij daar toestemming voor gegeven hebben. Ondanks dat dit hoe dan ook niet oké is, is het extra niet oké wanneer dit gebeurt bij overheidsinstellingen. Overheidsinstellingen als de GGD bijvoorbeeld, waar je in alle privacy rond hoopt te kunnen kijken of je nou genitale wratten hebt of niet, zonder dat allerlei derde partijen van die interesse weten.

Voordat we verdergaan, is het belangrijk om een aantal dingen helder te krijgen. De GGD is een overheidsinstelling met verschillende regio's, en deze regio's hebben weer verschillende websites. Niet alle websites hebben dezelfde lay-out, wat waarschijnlijk komt doordat de regio's verscheidene webdesigners hebben ingehuurd om een websiteje de lucht in te gooien. Dat de regio's verschillende websitebouwers in hebben gehuurd, betekent dat zij waarschijnlijk ook meerdere mensen hun cookiegebeuren hebben laten regelen. En dat was dom. Want het moge duidelijk zijn dat de ene regio z'n cookies en daarmee het houden aan de wet prima op orde heeft, terwijl een andere regio tien vingers in de lucht gooit en 'kut' roept.

Wanneer cookies slechts in worden gezet om te kunnen analyseren, en met de gegevens vervolgens een betere website gecreëerd kan worden, is het toegestaan om zonder toestemming te tracken. Voorbeelden hiervan zijn analyserende trackers als Piwik en Google Analytics. Bij de regio's Amsterdam, Leeuwarden, Hollands Midden, Rotterdam-Rijnmond is dit het geval, waarmee ze zich gewoon netjes aan de wet houden. Mag ook gezegd worden. Hier moet overigens wel bij worden vermeldt dat trackers als Google Analytics behoorlijk verraderlijk kunnen zijn en zooi kunnen bevatten die vervolgens weer níét wettelijk oké is zonder toestemming.

Volgens David Korteweg van Bits of Freedom is dit niet alleen een principekwestie maar kan er ook sprake zijn van overtreding van de wet.

Een regio die zich wel schuldig maakt aan dingen die de cookiewet verboden heeft, is de regio Groningen: zij vragen niet of de gebruiker het goed vindt dat er gebruik wordt gemaakt van cookies, en vervolgens worden er widgets ingeladen als de Google AJAX Search API en de Twitter Button; allebei van een derde partij die onder andere persoonlijke informatie verzamelt en deelt met weer andere partijen.

Zowel de GGD regio Utrecht als de regio Brabant-Zuidoost laden een AddThis-widget op de website, zonder om toestemming te vragen. AddThis is zo'n gebruiksgemakwidget, waarmee een site in een keer alle deelknoppen heeft voor de grotere sociale netwerken. Op zich goed, want dankzij AddThis gaat de data niet meteen naar alle individuele sociale netwerken, maar zelf verzamelt de widget ook allerlei data, waaronder persoonlijke informatie als naam, adres, enz. Ze zeggen zelf alleen geanonimiseerde data te delen met derden, maar ook anoniem in de categorie soa-lijder te worden ingedeeld is niet zo chill. De adverteerder weet dan niet wie je bent, maar een advertentie krijgen voor een crème tegen genitale wratten als je je Facebook opent is gewoon niet zo chill. Vooral niet als er iemand naast je zit.

Tenslotte heb je nog GGD West-Brabant, die Hotjar gebruikt. Dit is een analysetool die op zich oké lijkt, maar eigenlijk data deelt met derde partijen die op hun beurt weer niet oké zijn. Toen Motherboard het CDA aansprak op het gebruik van Hotjar op hun site, verwijderden ze deze meteen van de site, wat op zich genoeg zegt.

Volgens David Korteweg van Bits of Freedom is dit niet alleen een principekwestie maar kan er ook sprake zijn van overtreding van de wet. Het is bijvoorbeeld bij de regio Utrecht en Groningen namelijk onmogelijk om informatie op te zoeken, zonder dat derden daar weet van hebben. Die derden zouden vervolgens een profiel kunnen maken van de bezoeker en als diegene vaker soa-sites bezoekt, zou hij of zij in een risicogroep terecht kunnen komen. Dat is volgens Korteweg problematisch omdat het hier kan gaan om het doorgeven van gezondheidsgegevens en hiervoor gelden strikte regels. "Wanneer derden zien dat er consistent een en dezelfde pagina bezocht wordt, zouden derden op basis hiervan kunnen concluderen dat het aannemelijk is dat je bijvoorbeeld een soa hebt, iets waarvan niemand wil dat anderen dit zomaar komen te weten," aldus Korteweg.

Korteweg denkt dat het bij de GGD waarschijnlijk voortkomt uit naïviteit, dat ze geen idee hebben dat websitegegevens met derden gedeeld worden, en wat er precies verboden is. Bovendien zou het waarschijnlijk een stukje gebruiksgemak zijn.

Kwalijker zijn fouten bij nationale sites die te maken hebben met soa's; sites als SENSE ("Voor al je vragen over seks") en JouwGGD ("Alles over gezondheid voor jongeren"), die in ieder geval deels door de overheid zijn opgezet en onder de eerste resultaten op Google verschijnen als je zoekt naar soa's. Meer mensen – waaronder veel jongeren – komen daar terecht en hun data zou goed beschermd moeten worden.

Op SENSE, een product van Soa Aids, Rutgers, GGD en het ministerie van Volksgezondheid, Welzijn en Sport, worden zonder enige vorm van waarschuwing tien trackers ingeladen. Hiervan geven er zeven informatie door aan derde partijen. Op JouwGGD is het niet veel beter gesteld. Daar worden zes trackers gedetecteerd, waaronder oude bekende AddThis, maar ook twee aparte Twitter-trackers die gevoelige informatie delen. Niet oké.

Op Soa Aids, een non-profitorganisatie die zich inzet voor de preventie van hiv, aids en soa's, wordt op de homepage zonder toestemming Google's advertentietracker DoubleClick geladen. Maar hoewel dat ook verboden is, valt dat nog te overzien omdat je er waarschijnlijk via een zoekopdracht op Google terecht gekomen bent en Google dan toch al weet dat je er graag achter wil komen wat die gekke afscheiding uit je geslachtsdeel nou eigenlijk is.

En laten we het dan al helemaal niet hebben over alle commerciële sites die opduiken als je googled op soa's of symptomen van soa's. Bij gezondheidsnet.nl, die redelijk hoog in de resultaten wordt weergegeven, worden bijvoorbeeld 28 cookies – waarvan er 23 van adverteerders komen – ingeladen nog voor je op akkoord klikt. Dat zijn dus sowieso 23 partijen die allerlei info van jou, gekoppeld aan je interesse in chlamydia, opslaan en verkopen aan de hoogste bieder.

Het hele verhaal komt erop neer dat het bijzonder moeilijk is om informatie te verkrijgen over iets dat zo persoonlijk is als een soa, zonder dat andere partijen weten dat je die informatie zoekt. Natuurlijk kun je cookieblockers of de incognitomodus van je browser gebruiken, maar het zou in ieder geval via de overheid mogelijk moeten zijn voor mensen om volledig anoniem dit soort informatie op te zoeken. Je wil tenslotte niet dat dit soort informatie over jou bekend is, en al helemaal niet dat het verhandeld wordt. Je hebt namelijk, zoals de titel van het nieuwe boek van Correspondenten Dimitri Tokzometzis en Maurits Martijn zegt, wél iets te verbergen (behalve voor je potentieel besmette sekspartners natuurlijk).

Volg ons voor meer advies over hoe je advertenties voor genitale wratten voorkomt: