De Week

Ziekenhuizen verraden hun websitebezoekers: geen toegang zonder tracking

Gokje: het internetfilter is van tafel

Uit onderzoek blijkt dat bijna de helft van de Nederlandse ziekenhuizen zonder jouw toestemming je surfgedrag volgt met hulp van externe commerciële partijen. Terwijl jij op hun websites op zoek bent naar informatie over een medische behandeling, kijken die commerciële partijen via tracking cookies over je schouders mee.

De Autoriteit Persoonsgegevens, die toeziet op naleving van de privacyregels, concludeerde terecht dat deze ziekenhuizen hiermee de wet overtreden. Als je mensen online wilt volgen met behulp van cookies van derden, dan ben je verplicht vooraf toestemming te vragen (en te krijgen!). Dit hebben de ziekenhuizen nagelaten. Zij hebben nu enkele weken de tijd om hun leven te beteren voordat de toezichthouder verdere maatregelen (boetes?) gaat treffen.

Ziekenhuizen zijn wat hoogleraar Bart Jacobs ‘klantverraders‘ zou noemen. De ziekenhuizen geven met je surfgedrag gevoelige medische informatie door aan externe partijen. Dat is informatie die je meestal juist voor jezelf wilt houden. Wat deze externe partijen vervolgens met jouw gegevens doen, is vaak onduidelijk. Dat in een uitzending van Zembla van vorig jaar bleek dat buitenlandse databrokers beschikken over lijsten met medische gegevens van Nederlanders stelt niet gerust.

Geen toegang zonder tracking
Maar wat als je straks geen toegang krijgt tot de website van een ziekenhuis als je geen toestemming geeft om andere partijen mee te laten kijken? Er zijn nu al heel veel websites die een zogenaamde cookiewall opgetrokken hebben. De verkregen toestemming wordt hierdoor natuurlijk wel een farce. Want waar moet je als patiënt dan terecht als je niet wil dat andere partijen aan de haal gaan met je surfgedrag op de website van je ziekenhuis?

Niet voor niets is het accepteren van volgtechnieken, zoals tracking cookies, als voorwaarde voor toegang tot websites van publieke instellingen, zoals gemeenten of universiteiten, niet toegestaan. Publieke instellingen (in juristentaal: krachtens publiekrecht ingestelde rechtspersonen) moeten je de mogelijkheid bieden om hun website te bezoeken zonder dat je surfgedrag door allerlei andere partijen in de gaten wordt gehouden. Dit geldt ook voor de apps die zij aanbieden. Voor private partijen, waar een groot deel van de ziekenhuizen ook onder valt, geldt dit verbod niet.

Dat onderscheid tussen publiek en privaat is in principe wel te begrijpen. Publieke instellingen voeren immers een publieke taak uit en als burger heb je vaak geen andere keus dan van hun website en online diensten gebruik te maken. Bij private partijen ligt dit veelal anders.

Maar wat als deze private partijen belangrijke publieke functies uitoefenen zoals zorgverlening? Wat ons betreft moeten de regels voor ziekenhuizen veranderen. Je moet op z’n minst toegang kunnen krijgen tot de website van een ziekenhuis zonder dat informatie over je surfgedrag wordt doorgegeven aan derden. Toegang zonder tracking moet mogelijk zijn. En eigenlijk zouden ziekenhuizen en andere zorgverleners zich überhaupt moeten afvragen waarom zij externe partijen toestaan om hun websitebezoekers te volgen.

Symptoom van breder probleem
Waar nu de aandacht zich richt op ziekenhuizen, is het probleem eigenlijk veel groter. Met een tool zoals Lightbeam of Privacybadger kan je vrij eenvoudig in kaart brengen welke trackers van externe partijen op een website actief zijn.

Een snelle inventarisatie laat zien dat bijvoorbeeld de Belastingdienst ook gebruik maakt van trackers van externe commerciële partijen zonder vooraf je toestemming te vragen. Zo maakt de website van de Belastingdienst (op 30 juni) onder andere gebruik van: usabilla.com; scorecardresearch.com; cumulus-cloud.com en sitestat.com.

Voor de dienstverlening van de Belastingdienst is dit absoluut niet noodzakelijk dus waarom wordt het surfgedrag met behulp van externe partijen in kaart gebracht? Zijn er straks ook databrokers te vinden waar je gegevens kan kopen over Nederlanders die interesse hebben in bepaalde toeslagen? En welke andere publieke instellingen geven eigenlijk je surfgedrag door aan commerciële partijen?

Gelukkig zijn er tools waarmee je jezelf hiertegen beter kan beschermen. Check hiervoor onze Internetvrijheid Toolbox. De groeiende populariteit van deze tools laat zien dat mensen weliswaar het heft steeds vaker in eigen handen nemen. Toch is de inzet van uitsluitend technische middelen onvoldoende. Er zullen ook duidelijke, wettelijke grenzen moeten worden gesteld.

De Europese regels waarop onze cookiewet is gebaseerd, worden als het goed is binnenkort herzien. Dit biedt de kans om ervoor te zorgen dat we niet overal online worden gevolgd en geprofileerd. Dat geldt zeker voor websites en online diensten van publieke instellingen, en wat ons betreft ook voor ziekenhuizen.

We horen graag hoe jullie hierover denken!

  1. (Anoniem)

    Er zijn ook psychiatrische ziekenhuizen in Nederland die een Google map op hun voorpagina zetten, waardoor Google op de hoogte is van ieder bezoek aan die website.

  2. Yes, I know I'm commenting anonymously

    En hoe zit het met commerciële bedrijven die taken voor de overheid uitvoeren?
    Zo kan ik niet vinden wanneer het oud papier wordt opgehaald zonder allerlei tracking toe te moeten staan. 🙁

    • David Korteweg

      Dat klinkt als een voorbeeld van publiek-private samenwerking waar bij de uitvoering van overheidstaken de norm die voor overheidsinstellingen geldt, wordt omzeild door de inzet van private partijen. De websites van overheidsinstellingen moeten toegankelijk zijn zonder dat je, bijvoorbeeld via een cookiewall, gedwongen wordt om je surfgedrag te laten monitoren. Dit is wettelijk geregeld (artikel 11.7a lid 5 Telecommunicatiewet).

      Private partijen zijn niet aan deze norm gebonden en kunnen in principe de toegang tot hun website blokkeren als je bijvoorbeeld niet akkoord gaat met het plaatsen van tracking cookies.

      Toch zou je kunnen zeggen dat de geest van bovenstaande norm wel wordt geschonden als overheidstaken worden uitbesteed aan private partijen die zich niet hieraan houden.

  3. Marien

    Het lijkt er dus op dat je zoekacties naar persoonlijke informatie – gezondheid, geldzaken, godsdienst – standaard met je Tor browser moet doen. En misschien ook meteen maar je DigiD langs die weg gebruiken.

  4. DemiGoth

    De oplossing is heel simpel – PRIVATE WINDOW BROWSING (zoals ik nu ook doe). Ze kunnen cookies plaatsen wat ze willen, maar op het moment dat je de browser afsluit zijn die cookies ook weg. Ik heb eigenlijk maar een paar sites die ik in een normale browser bekijk (die vertrouw ik), en de hele rest is in een private window…

    • Jemoeder

      Dan kunnen ze je nogsteeds achterhalen. Profiling op basis van ip, user agent string etc… Als je dan ook nog hebt gebrowsed zonder private window, weet google helemaal al wie je bent

    • Anoniem

      Dit is geen oplossing. Dit is at best een tijdelijke hack. Er zijn veel meer manieren om iemand (of een browser specifiek) te volgen dan cookies. Zie bijvoorbeeld https://panopticlick.eff.org/. De oplossing moet eerder gezocht worden in policy en handhaving bij publiek en semi-publieke organisaties.

  5. Beniknaief?

    Ik ben niet heel erg argwanend van nature.
    Wat is hier mis mee: http://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/niet_in_enig_menu/prive/privacy
    Met name wat onder Gebruik van anonieme bezoekersgegevens staat vermeld?

    • Maartje

      Dit. De belastingdienst gebruikt die gegevens om de website te verbeteren. Daar is volgens mij weinig mis mee. Het gaat mis als de belastingdienst (of de partij die die gegevens voor de belastingdienst verzamelt) jouw gegevens gaat delen met anderen. Maar dat lijkt hier niet aan de orde.
      Hoe dat met die ziekenhuizen zit ligt er dus ook maar net aan. Gebruiken ze Google Analytics? Ja, dan betalen ze voor die ‘gratis’ dienst met jouw data. Maar als ze dat op een nettere manier doen, kan dat ook zonder je data uit te wisselen.

  6. oei

    Wat mij het meeste stoort is dat een overheid die ons zoveel mogelijk zou moeten beschermen tegen inbreuk van onze privacy, steeds vaker deze privacy schendt of dit faciliteren. Steeds meer worden mensen gedwongen mobiele apps en internet te gebruiken waarbij ze in zee gaan met bedenkelijke partijen. Ook mijn bank, verzameld via deze partijen gegevens tijdens mijn telebankieren sessies. Uitzetten is niet mogelijk. Het zou de regel moeten zijn geen data te verzamelen op straffe van hoge boetes. Alleen het recht verstrekken als de absolute noodzaak is aangetoond. Onze overheid staat aan de verkeerde kant van de lijn.

    • Ellen

      Helemaal mee eens! Overheid is de grootste security bedreiging voor de burger, onder meer door gedachtenloos met ongecontroleerde data verzamelaars zoals Google zaken te doen.

  7. Freek

    Beetje off-topic, maar om een inzicht te krijgen hoe dat handelen in persoonsgevens in zijn werk gaat, lees dit eens. In dit geval een multi-tenant datacenter dat een “advertisement exchange ecosystem” heeft gebouwd. Zoiets als een aandelen exchange, maar dan zodat jouw persoonsgegevens binnen enkele milliseconden nadat je een site heb bezocht worden doorverhandeld.

    https://blog.equinix.com/blog/2013/10/07/in-good-company-equinixs-ad-ix-ecosystem-cuts-milliseconds-adds-business-opportunities/

    Ik denk dat het naief is om te veronderstellen dat een industrietak waar al zoveel in geïnvesteerd is, en waar zoveel geld in omgaat, even met een paar technische maatregelen om zeep kan worden geholpen.

    • David Korteweg

      Dank voor deze link. Je hebt gelijk dat er veel geld omgaat in deze sector. De financiële belangen zijn inderdaad groot, maar dat magt er niet toe leiden dat de rechten van gebruikers en andere belangen hieraan ondergeschikt worden gesteld.

  8. Marcel

    Wat ik wel interessant vind om te weten is waarom er in hemelsnaam op elke website trackers staan. In het geval van een commerciële site kan ik me dat wel voorstellen, aangezien de verkoop van data/advertenties hun bron van inkomsten is. Maar waarom doet een ziekenhuis of overheidsinstantie dit? Iemand heeft besloten dat het een goed idee was. Wat was de redenering?

    • David Korteweg

      Dat zijn terechte vragen die bij ons ook opkwamen.
      Ben je zelf nog websites tegengekomen van publieke instellingen waar ongevraagd gebruik wordt gemaakt van trackers van derden? We horen het graag!

    • Johan Vromans

      Iedere informatieaanbieder wil graag weten hoe vaak een site wordt bezocht, en welke pagina’s het meest worden bekeken. Dat is legitieme informatie.
      Het gaat fout wanneer (onnadenkend?) 3e partijen worden ingeschakeld om dit te doen. Die 3e partijen maken op hun beurt ook weer vaak gebruik van anderen en zo kan het gemakkelijk dat er tientallen derden meeluisteren en meekijken met jouw gesurf.
      Overheidssites, banken e.d. (en BoF) hebben dit heel goed begrepen en op hun sites vindt je geen verdachte zaken. Maar er is nog veel werk te verrichten.

      Er is een tendens gaande om alles via https te doen ipv http. Dat zou veiliger en betrouwbaarder moeten zijn. Het gebruik van trackers en ander ongein draait elke mogelijke toegevoegde veiligheid en betrouwbaarheid meteen weer de nek om.

  9. Ton Sonneveldt

    Zeer terecht dat jullie dit aan de orde stellen. De regels voor de overheid zouden ook moeten gelden voor semi-private organisaties als ziekenhuizen die betaald worden uit verplicht door burgers opgebrachte premie- en belastinginkomsten. Voor ziekenhuizen komt daar nog bij dat alle medische gegevens extra privacygevoelig zijn en die dus alleen al daarom niet in handen van derde partijen horen te komen. Ook de IGZ (Inspectie Gezondheidszorg) en de beroepsverenigingen van artsen en andere behandelaars zouden hierover een duidelijk standpunt over in moeten nemen.

  10. J. Swagerman

    N.a.v. een uitzending van Zembla heb ik mijn ziekenhuis een uitgebreide mail met uitleg over hun trackercookies gestuurd.
    Ik gaf aan dat de relatie arts-patiënt er een is van wederzijds vertrouwen en dat ik niet wilde dat er een al dan niet anonieme derde commerciële partij tussen gaat zitten.
    Ik heb hen o.a. geadviseerd om de add-on Gosthery maar een los te laten op hun eigen site. Dan zouden ze het aantal cookies op hun website wel zien.
    Na twee maanden had ik nog geen reactie ontvangen, alleen dat mijn mail naar de betreffende afdeling zou worden gestuurd.
    Ik heb het ziekenhuis daarop maar opnieuw een mail hierover gestuurd.
    Toen kwamen ze ineens heel snel in actie. Ik kreeg een uitgebreid verhaal van de IT-er die hierover gaat met de belofte dat ze binnen een week alles zouden hebben aangepast.
    Alleen de cookies die nodig zijn voor websitestatistieken laten ze geanonimiseerd staan, dit om de werking van hun website te verbeteren. Daar was eigenlijk ik nog niet echt gelukkig mee, maar was al blij dat mijn verzoek zo vriendelijk én gemotiveerd werd gehonoreerd! Een en ander werd gecoördineerd door de klachtenfunctionaris van het ziekenhuis.
    Inderdaad: het ziekenhuis is zijn belofte nagekomen!

  11. Pocahontas

    Hoe kan ik zien welke ambtenaar er in mijn DigiD gegevens heeft gerommeld, wanneer dat was, en met welke rede. Waar die ambtenaar zich bevind, hoe ik hem kan bereiken enz. ?

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.