Als je op websites je e-mailadres of andere informatie invult, kunnen adverteerders en andere partijen meekijken. Dat blijkt uit onderzoek van de Radboud Universiteit, de KU Leuven en de universiteit van Lausanne. De onderzoekers vonden duizenden websites die, zonder dat gebruikers dat weten en zelfs voordat ze op ‘verzenden’ klikken, hun e-mailadressen doorsturen naar tracking-netwerken, bedrijven die gespecialiseerd zijn in het volgen van internetgebruikers. Die bedrijven brengen hun interesses in kaart voor bijvoorbeeld gepersonaliseerde content of gepersonaliseerde advertenties. In sommige gevallen werden zelfs wachtwoorden verstuurd. “Het gaat om grote websites die miljoenen bezoekers trekken”, zegt hoofdonderzoeker Asuman Senol. Dat zijn vooral sites van buiten Nederland, maar die natuurlijk wel door Nederlanders kunnen worden bezocht. Niet alle websites zijn zich ervan bewust dat de gegevens worden doorgestuurd, maar andere doen het doelbewust. “Door de e-mailadressen te verzamelen kunnen ze je activiteit op meerdere plekken aan elkaar koppelen”, zegt haar collega Gunes Acar. Als je thuis en op je werk met hetzelfde e-mailadres inlogt, weten de bedrijven dat je webactiviteit op beide plaatsen kan worden gekoppeld. Dat helpt weer bij het tonen van gepersonaliseerde advertenties. De onderzoekers vonden 1850 websites die data van Europese gebruikers doorsturen naar ‘volgbedrijven’, en 2950 websites die dat voor Amerikanen doen. “We vinden het heel plausibel dat dat verschil komt doordat de Europese privacywet AVG werkt”, zegt privacyjurist Frederik Zuiderveen Borgesius, ook betrokken bij het onderzoek. “Maar de minder optimistische conclusie is dat 1850 websites dat ook voor Europese gebruikers doen, terwijl dat helemaal niet zomaar mag.” Voor gebruikers moet namelijk duidelijk zijn wat er met hun persoonsgegevens, zoals een e-mailadres, gebeurt. Maar dat is het in de praktijk niet: zelfs nog voordat je je e-mailadres naar een website hebt verzonden, is het al doorgestuurd naar de ‘volgbedrijven’. Terwijl je het intypt kijken ze mee, stelden de onderzoekers vast. In sommige gevallen worden de data gepseudonimiseerd verstuurd, onder het mom van privacybescherming. Dat betekent dat ze aan elkaar kunnen worden gekoppeld, maar dat de e-mailadressen niet leesbaar zijn voor de bedrijven die ze verzamelen. “We denken dat ook andere gegevens zoals geboortedatum en naam worden doorgestuurd, maar we hadden nu geen tijd om dat ook te onderzoeken”, zegt Senol. Onder de gevonden websites zitten maar vier sites die op .nl eindigen, waaronder die van Bruna en de Vogelbescherming. De onderzoekers hebben zich echter niet specifiek op Nederlandse websites gericht. Bruna stelt dat het ging om een partij die tegen de afspraken handelde. “De gegevens zijn niet te herleiden tot personen, maar we gaan toch melding maken bij de Autoriteit Persoonsgegevens van een datalek”, laat een woordvoerder weten. De Vogelbescherming laat weten dat de e-mailadressen worden verstuurd naar een vertrouwde partij waar afspraken mee zijn gemaakt. “Dat doen we voor het tonen van gepersonaliseerde content, en dus niet voor bijvoorbeeld advertenties”, laat compliance officer Gerald Derksen weten. Dankzij de e-mailadressen kan de organisatie een websitebezoeker koppelen aan al eerder over hem verzamelde informatie. “Dan weten we bijvoorbeeld of een bezoeker deel heeft genomen aan een excursie of de tuinvogeltelling.” Ook delen meerdere websites waar Nederlanders op terecht kunnen komen persoonlijke gegevens, zoals de todo-app Trello, webshop-platform Shopify en hotelketen Marriott. Ook Amerikaanse nieuwssites sturen gegevens door. In een deel van de gevallen is dat aangepast nadat de onderzoekers contact opnamen. “Dit zijn geen wenselijke praktijken”, zegt Martijn Poulus, hoofd juridische zaken bij DDMA, de brancheorganisatie van online-marketingbedrijven. “Voor zover ik weet gebeurt dit niet onder onze achterban, en we zouden dat ook absoluut niet aanraden.” Dat dit vaker gebeurt met Amerikaanse bezoekers zou inderdaad kunnen betekenen dat de AVG doet wat hij moet doen, zegt Poulus. In het verleden hebben advertentie- en techbedrijven juist gelobbyd tegen de privacywet. De gegevens van de webformulieren gaat naar allerlei volgbedrijven, voornamelijk naar bedrijven die onder consumenten niet bekend zijn als Taboola, TowerData en Bounce Exchange. Maar soms ging het ook om Facebook en TikTok. “Facebook belooft dat trouwens pas te doen als de inhoud van een formulier is verzonden, maar in de praktijk werden de e-mailadressen al verzameld als je ergens op de pagina klikte”, zegt Zuiderveen Borgesius. Onduidelijk is of het daarbij om een programmeerfout ging. Na afloop van het onderzoek vonden de onderzoekers nog 7300 websites die e-mailadressen ongemerkt naar Facebook doorsluisden, maar die resultaten kwamen te laat om nog in het onderzoek te verwerken. Facebook en TikTok waren nog niet in staat om inhoudelijk te reageren. De onderzoekers gingen te werk door 100.000 websites geautomatiseerd te onderzoeken. Op de helft daarvan konden ze geautomatiseerd een e-mailadres invullen. Vanaf een Amerikaans IP-adres stuurden 5500 websites de e-mailadressen door, waarvan in 2950 gevallen naar adverteerders. In Europa ging het om 4395 websites, waaronder 1850 naar volgbedrijven. In zo’n 50 gevallen werden de ingevulde wachtwoorden van gebruikers doorgestuurd, vooral naar de Russische zoekmachine Yandex. Daarbij zou het gaan om een fout aan de kant van Yandex, die inmiddels is hersteld, zeggen de onderzoekers. De onderzoekers hebben een plug-in ontwikkeld waarmee gebruikers kunnen zien of een website ongemerkt de inhoud van formulieren doorsluist. De plug-in werkt op dit moment alleen met Mozilla Firefox, omdat het niet aan de voorwaarden van de Chrome webstore voldoet.