Ziekenhuizen overtreden massaal de privacy-wetten door op hun websites ongevraagd patiënten te volgen via cookies. Dat blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP). Bij bijna de helft van de Nederlandse ziekenhuizen wordt informatie van bezoekers van de ziekenhuiswebsites via tracking cookies doorgegeven aan derden, vaak zijn dat commerciële partijen. Dat is in strijd met de geldende privacywetgeving.
De toezichthouder constateert dat bij 39 van de 85 onderzochte ziekenhuizen commerciële derde partijen tracking cookies op de apparatuur van bezoekers van de ziekenhuiswebsites plaatsen. De AP heeft 39 ziekenhuizen en de brancheorganisaties van de ziekenhuizen NVZ en NFU inmiddels gewezen op de overtredingen. Over zes weken worden de websites van alle onderzochte ziekenhuizen opnieuw gecontroleerd. Als de AP dan weer overtredingen constateert, volgen maatregelen tegen de individuele overtreders.
Vice-voorzitter van de AP Wilbert Tomesen licht toe: ‘Als iemand de webpagina over de afdeling cardiologie bezoekt, dan heeft hij het recht vervolgens niet her en der benaderd te worden als mogelijk hartpatiënt. Patiënten moeten erop kunnen vertrouwen dat informatie over hun bezoek van een ziekenhuiswebsite niet bij andere partijen terechtkomt. Dat is nou eenmaal vast onderdeel van goede zorg.’
De AP heeft onderzocht in hoeverre bij bezoek aan websites van de Nederlandse ziekenhuizen zogeheten tracking cookies worden geplaatst op apparatuur van bezoekers van die websites. Hiervoor heeft de AP de websites van alle algemene en academische ziekenhuizen onderzocht. De toezichthouder constateert dat bij 39 van de 85 onderzochte ziekenhuizen commerciële derde partijen tracking cookies op de apparatuur van bezoekers van de ziekenhuiswebsites plaatsen. De cookies worden geplaatst op de apparatuur van de bezoekers van de website zonder dat zij daarvoor toestemming hebben gegeven. Dat is in strijd met de wet.
Cookies
De toezichthouder benadrukt dat het bezoek aan de website van een ziekenhuis iets kan zeggen over de gezondheid van iemand. ‘Bij de onderzochte ziekenhuiswebsites gaat het niet alleen om de homepage, maar ook om de achterliggende pagina’s met informatie over specifieke aandoeningen of specialistische afdelingen. Bij het plaatsen van tracking cookies bij bezoek aan meer specifieke pagina’s kan sprake zijn van verwerking van persoonsgegevens over de gezondheid. Deze mogen in beginsel niet verwerkt worden zonder uitdrukkelijke toestemming van de persoon om wie het gaat’, aldus AP.
CBP
De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de wettelijke regels voor bescherming van persoonsgegevens en adviseert over nieuwe regelgeving. Per 1 januari 2016 is de naam van het College bescherming persoonsgegevens (CBP) veranderd in Autoriteit Persoonsgegevens.
