Bijna de helft van de Nederlandse ziekenhuizen geeft informatie van bezoekers van hun websites door aan derde partijen via tracking cookies. Dit is in strijd met de geldende privacywetgeving, concludeert de Autoriteit Persoonsgegevens (AP) na onderzoek. De AP heeft 39 ziekenhuizen en de brancheorganisaties van de ziekenhuizen NVZ en NFU inmiddels gewezen op de overtredingen.
“Als iemand de webpagina over de afdeling cardiologie bezoekt, dan heeft hij het recht vervolgens niet her en der benaderd te worden als mogelijk hartpatiënt,” aldus vicevoorzitter van de AP Wilbert Tomesen. “Patiënten moeten erop kunnen vertrouwen dat informatie over hun bezoek van een ziekenhuiswebsite niet bij andere partijen terechtkomt. Dat is nou eenmaal vast onderdeel van goede zorg.”De toezichthouder constateert dat bij 39 van de 85 onderzochte ziekenhuizen commerciële derde partijen tracking cookies op de apparatuur van bezoekers van de ziekenhuiswebsites plaatsen. De cookies worden geplaatst op de apparatuur van de bezoekers van de website zonder dat zij daarvoor toestemming hebben gegeven. Dat is in strijd met de wet.
Handhavende maatregelen over 6 weken
De privacy-toezichthouder heeft aangekondigd over 6 weken de websites van alle onderzochte ziekenhuizen opnieuw te controleren. Als de AP dan nog overtredingen constateert, zal het richting de individuele ziekenhuizen handhavende maatregelen nemen.Wanneer organisaties tracking cookies op apparatuur zoals een pc of of smartphone plaatsen, kunnen zij bijhouden welke internetpagina’s iemand bezoekt. Uit de informatie over deze websitebezoeken kunnen bedrijven afleiden wat iemands voorkeuren en interesses zijn. Op basis daarvan kunnen zij bijvoorbeeld persoonlijke aanbiedingen doen.
Bezoek aan de website van een ziekenhuis kan iets zeggen over de gezondheid van een bezoeker. Bij de onderzochte ziekenhuiswebsites gaat het behalve om de homepage ook om achterliggende pagina’s met informatie over specifieke aandoeningen of specialistische afdelingen. Bij het plaatsen van tracking cookies bij bezoek aan meer specifieke pagina’s kan sprake zijn van verwerking van persoonsgegevens over de gezondheid. Deze mogen in beginsel niet verwerkt worden zonder uitdrukkelijke toestemming van de persoon om wie het gaat.