Ziekenhuizen verraden hun websitebezoekers: geen toegang zonder tracking
Uit onderzoek blijkt dat bijna de helft van de Nederlandse ziekenhuizen zonder jouw toestemming je surfgedrag volgt met hulp van externe commerciële partijen. Terwijl jij op hun websites op zoek bent naar informatie over een medische behandeling, kijken die commerciële partijen via tracking cookies over je schouders mee.
De Autoriteit Persoonsgegevens, die toeziet op naleving van de privacyregels, concludeerde terecht dat deze ziekenhuizen hiermee de wet overtreden. Als je mensen online wilt volgen met behulp van cookies van derden, dan ben je verplicht vooraf toestemming te vragen (en te krijgen!). Dit hebben de ziekenhuizen nagelaten. Zij hebben nu enkele weken de tijd om hun leven te beteren voordat de toezichthouder verdere maatregelen (boetes?) gaat treffen.
Ziekenhuizen zijn wat hoogleraar Bart Jacobs ‘klantverraders‘ zou noemen. De ziekenhuizen geven met je surfgedrag gevoelige medische informatie door aan externe partijen. Dat is informatie die je meestal juist voor jezelf wilt houden. Wat deze externe partijen vervolgens met jouw gegevens doen, is vaak onduidelijk. Dat in een uitzending van Zembla van vorig jaar bleek dat buitenlandse databrokers beschikken over lijsten met medische gegevens van Nederlanders stelt niet gerust.
Geen toegang zonder tracking
Maar wat als je straks geen toegang krijgt tot de website van een ziekenhuis als je geen toestemming geeft om andere partijen mee te laten kijken? Er zijn nu al heel veel websites die een zogenaamde cookiewall opgetrokken hebben. De verkregen toestemming wordt hierdoor natuurlijk wel een farce. Want waar moet je als patiënt dan terecht als je niet wil dat andere partijen aan de haal gaan met je surfgedrag op de website van je ziekenhuis?
Niet voor niets is het accepteren van volgtechnieken, zoals tracking cookies, als voorwaarde voor toegang tot websites van publieke instellingen, zoals gemeenten of universiteiten, niet toegestaan. Publieke instellingen (in juristentaal: krachtens publiekrecht ingestelde rechtspersonen) moeten je de mogelijkheid bieden om hun website te bezoeken zonder dat je surfgedrag door allerlei andere partijen in de gaten wordt gehouden. Dit geldt ook voor de apps die zij aanbieden. Voor private partijen, waar een groot deel van de ziekenhuizen ook onder valt, geldt dit verbod niet.
Dat onderscheid tussen publiek en privaat is in principe wel te begrijpen. Publieke instellingen voeren immers een publieke taak uit en als burger heb je vaak geen andere keus dan van hun website en online diensten gebruik te maken. Bij private partijen ligt dit veelal anders.
Maar wat als deze private partijen belangrijke publieke functies uitoefenen zoals zorgverlening? Wat ons betreft moeten de regels voor ziekenhuizen veranderen. Je moet op z’n minst toegang kunnen krijgen tot de website van een ziekenhuis zonder dat informatie over je surfgedrag wordt doorgegeven aan derden. Toegang zonder tracking moet mogelijk zijn. En eigenlijk zouden ziekenhuizen en andere zorgverleners zich überhaupt moeten afvragen waarom zij externe partijen toestaan om hun websitebezoekers te volgen.
Symptoom van breder probleem
Waar nu de aandacht zich richt op ziekenhuizen, is het probleem eigenlijk veel groter. Met een tool zoals Lightbeam of Privacybadger kan je vrij eenvoudig in kaart brengen welke trackers van externe partijen op een website actief zijn.
Een snelle inventarisatie laat zien dat bijvoorbeeld de Belastingdienst ook gebruik maakt van trackers van externe commerciële partijen zonder vooraf je toestemming te vragen. Zo maakt de website van de Belastingdienst (op 30 juni) onder andere gebruik van: usabilla.com; scorecardresearch.com; cumulus-cloud.com en sitestat.com.
Voor de dienstverlening van de Belastingdienst is dit absoluut niet noodzakelijk dus waarom wordt het surfgedrag met behulp van externe partijen in kaart gebracht? Zijn er straks ook databrokers te vinden waar je gegevens kan kopen over Nederlanders die interesse hebben in bepaalde toeslagen? En welke andere publieke instellingen geven eigenlijk je surfgedrag door aan commerciële partijen?
Gelukkig zijn er tools waarmee je jezelf hiertegen beter kan beschermen. Check hiervoor onze Internetvrijheid Toolbox. De groeiende populariteit van deze tools laat zien dat mensen weliswaar het heft steeds vaker in eigen handen nemen. Toch is de inzet van uitsluitend technische middelen onvoldoende. Er zullen ook duidelijke, wettelijke grenzen moeten worden gesteld.
De Europese regels waarop onze cookiewet is gebaseerd, worden als het goed is binnenkort herzien. Dit biedt de kans om ervoor te zorgen dat we niet overal online worden gevolgd en geprofileerd. Dat geldt zeker voor websites en online diensten van publieke instellingen, en wat ons betreft ook voor ziekenhuizen.
We horen graag hoe jullie hierover denken!