De liefdadigheidsinstelling Privacy International onderzocht meer dan honderd websites voor geestelijke gezondheid in Frankrijk, Duitsland en het Verenigd Koninkrijk. Ze vonden dat gebruikersdata daar vaak gedeeld werd met derde partijen, waaronder adverteerders en techgiganten. De manier waarop die informatie verkocht werd, was daarbij "noch transparant, noch eerlijk en vaak zonder een duidelijke wettelijke basis", aldus het rapport. De websites zouden op die manier in overtreding kunnen zijn met de Europese privacyregels.

Het onderzoek van Privacy International draait onder meer om de cookies die op de websites staan. De groep gebruikte de Webxray tool om te analyseren welke gegevens de websites verzamelden. Ze onderzochten daarbij 136 populaire sites rond psychische gezondheid, en enkele veelgebruikte online depressietesten. Daaruit blijkt dat driekwart van de cookies op deze sites voor marketing- en adverteringsdoeleinden werden gebruikt. Gemiddeld had een Franse gezondheidssite 44 cookies, tegenover 12 in het VK en 7 in Duitsland. Van de sites had 85% tot 92% een Google tracker aan boord, ook Facebook trackers zijn populair op gezondheidssites: 49% van de Franse websites had er eentje, 49% in het VK en 23% in Duitsland. Via die cookies kunnen techgiganten als Google, Facebook en Amazon gerichte advertenties naar de gebruikers sturen.

Op zich is dat allemaal 'business as usual' voor het web, maar een en ander ligt natuurlijk gevoeliger wanneer het gaat om geestelijke gezondheid. "Het wordt steeds moeilijker voor mensen om informatie over mentale gezondheid te zoeken, en bijvoorbeeld een 'depressietest' af te nemen, zonder dat er ontelbaar veel derde partijen meekijken," vat Frederike Kaltheuner van Privacy International het probleem samen.

De bevindingen van Privacy International lijken alvast te suggereren dat deze websites in strijd zijn met de Europese privacyregulering. De GDPR geeft aan dat websites toestemming moeten vragen om gegevens te verzamelen, en klaar en duidelijk moeten communiceren wat er met die data gebeurt. In het geval van gevoelige data, zoals gezondheidsinformatie, moet die toestemming bovendien expliciet gebeuren, zoals in 'is het ok als we jouw gezondheidsinformatie met deze lijst aan adverteerders delen'. Een 'neen' op die vraag zou bovendien niet mogen hinderen dat je de website blijft gebruiken. Dat is bij de sites in de studie echter vaak niet het geval, schrijft PI in haar rapport. Sommige websites hadden geen toestemmingsformulier, terwijl anderen een generiek scherm gebruikten. Een deel van de cookies, zo schrijft PI, werden ook geïnstalleerd voordat de gebruiker toestemming kon geven of weigeren.