! Je browser is verouderd.

Update je browser voor meer veiligheid en snelheid om deze site optimaal te kunnen gebruiken.

Klik hier om te lezen welke browsers geschikt zijn

icon-menu logo_footer preds symbol-afrader symbol-bestekoop symbol-besteuittest
mediapool-zeker-online-1200x800px

Zeker Online

Meer weten over privacy en digitale veiligheid? Schrijf je in voor de nieuwsbrief!

Online-supermarkten slordig met klantgegevens

Wel 9 van de 13 online-supermarkten gaan slordig om met gegevens van hun klanten. Bij 5 zijn zelfs wachtwoorden niet veilig. De winkels beloven beterschap, al zien we dat maar beperkt terug in de eerste hertest.

Peter Kulche

Peter Kulche , Expert Elektronica Gepubliceerd op:21 december 2020

Prijspeiling supermarkten

13 supers onderzocht 

We onderzochten in november hoe goed 13 Nederlandse supermarktketens gegevens van klanten beschermen. We deden dit met het onderzoeksprogramma van de Privacymeter. Dit programma checkt op tientallen punten of online diensten voldoen aan de privacywet. En of zij niet onnodig gegevens delen met andere bedrijven. 

Bij dit onderzoek keken we ook naar de wachtwoordbeveiliging en het netwerkverkeer vanuit de apps.

Het aantal gevonden problemen bepaalt of een dienst goed, matig of slecht scoort.

Veel matige scores

Wel 9 supermarkten scoorden door privacyproblemen matig in de privacytest:

  • Coop
  • Deen
  • Deka
  • Dirk
  • Hoogvliet
  • Jan Linders
  • Picnic
  • Plus
  • Spar

Wachtwoorden niet veilig

Het belangrijkste probleem trad bij 5 van de supers op. Er zat geen limiet op het raden van het wachtwoord van klanten. Dat was bij Coop, Dirk, Jan Linders, Plus en Spar het geval. Met speciale software konden wij ongelimiteerd verschillende wachtwoorden proberen bij e-mailadressen van bestaande klanten. 

Plus supermarkt appAls een crimineel toegang heeft tot iemands supermarkt-account, is daar niet direct veel schade mee aan te richten (op dit moment). Het risico is wel dat hij het wachtwoord ook bij honderden andere diensten kan proberen om daar toegang te krijgen. Veel mensen hergebruiken wachtwoorden, hoe onverstandig dat ook is.

Klanten opzoeken

Een ander probleem was dat we bij 6 supermarkten konden opzoeken wie er klant was. We vuurden een lange lijst e-mailadressen op de servers van de supermarkten af en kregen een afwijkende reactie als het e-mailadres bekend was. Dit was mogelijk bij Coop, Hoogvliet, Jan Linders, Picnic, Plus en Spar. 

Coop, Jan Linders, Plus en Spar hadden een gevaarlijke combinatie van bovenstaande kwetsbaarheden: je kon klanten vinden én daar de wachtwoorden bij proberen. 

Advertentiecookies

De websites van Coop, Deen, Deka, Dirk, Hoogvliet, Jan Linders, Picnic en Spar plaatsten zonder toestemming advertentiecookies. De enige manier om je te beschermen tegen deze privacyschending is een adblocker

Bovendien vroegen alle 8 niet (helemaal) op de juiste wijze om toestemming voor cookies, door een verwarrend cookiemenu. Of ze boden een keuzemenu waarin geen keuze mogelijk was (een cookiemuur). Ook dat is niet volgens de AVG.

Communicatie met Facebook

We bestudeerden het netwerkverkeer van de apps van Coop, Deen, Jumbo, Jan Linders en Spar. Zij communiceerden met Facebook, zonder je daarover ‘aan de voorkant’ te informeren. Zo kan Facebook registreren wie bij welke supermarkt shopt, wanneer dat gebeurt en met welke telefoon. 

AH, Aldi en Lidl nagenoeg foutloos

De apps en websites van Albert Heijn, Aldi en Lidl kwamen nagenoeg foutloos door de privacytest. Alleen in de iOS-versie van de AH-app zat een foutje:  je kon aangepaste cookie-instellingen niet opslaan.

Hertest 

Begin december deden we een hertest, een paar weken nadat we de supermarkten van de problemen op de hoogte hadden gebracht. Tegenvaller: geen enkele van de 5 supermarkten bleek de wachtwoordproblemen te hebben gefixt. We hebben de supers nogmaals op hun verantwoordelijkheid voor een goede beveiliging gewezen. Enkelen reageerden dat ze pas later in actie konden komen, door corona en kerstdrukte.

Goed nieuws: Deka en Picnic hebben hun advertentiecookieproblemen opgelost en Coop en Picnic haalden het stiekeme Facebookverkeer uit hun apps.

Picnic en Deka waren de enige die door hun aanpassingen een hogere privacyscore kregen. Zij scoren nu 'goed'. 

Resultaten hertest

De resultaten van de hertest op een rij. We noemen alleen de gevonden problemen:

Smaakt naar meer?

De Consumentengids is hét tijdschrift voor kritische consumenten. Ontdek welke producten en diensten goed uit onze tests komen. En wat je rechten zijn als consument.

Lees meer artikelen

consumentengids-inhoudsopgave

Lees verder

Nieuw & interessant

  • tracking-cookies
    5 mrt.

    Nog veel cookies zonder toestemming

    Ook bijna 3 jaar na invoering van de AVG plaatst de helft van de websites nog steeds cookies zonder toestemming, of stuurt je richting ‘alles accepteren’. Dit blijkt uit een cookiescan die we in januari uitvoerden bij 100 populaire sites.
  • tracking-cookies
    Nieuws | 3 mrt.

    Websites hebben nog altijd lak aan privacyregels

    Drie jaar na invoering van de AVG blijken veel websites zich nog altijd niet aan de privacyregels te houden. Dat concludeert de Consumentenbond na een uitgebreide steekproef.
  • Webwinkel bestelfraude
    Nieuws | 20 feb.

    Klarna beschermt klant onvoldoende tegen identiteitsfraude

    Klantenaccounts van de betaalservice Klarna kunnen worden misbruikt door derden. Dat blijkt uit onderzoek van de Consumentenbond.
  • Sfeerbeeld voedingsapp
    17 feb.

    5 voedingsapps getest op privacy

    Bij onze privacytest van 5 populaire voedingsapps ontdekten we meerdere problemen. We zagen bijvoorbeeld dat Mijn Eetmeter van Voedingscentrum wachtwoorden niet voldoende beschermde.