Ziekenhuizen verraden hun websitebezoekers: geen toegang zonder tracking
Uit onderzoek blijkt dat bijna de helft van de Nederlandse ziekenhuizen zonder jouw toestemming je surfgedrag volgt met hulp van externe commerciële partijen. Terwijl jij op hun websites op zoek bent naar informatie over een medische behandeling, kijken die commerciële partijen via tracking cookies over je schouders mee.
De Autoriteit Persoonsgegevens, die toeziet op naleving van de privacyregels, concludeerde terecht dat deze ziekenhuizen hiermee de wet overtreden. Als je mensen online wilt volgen met behulp van cookies van derden, dan ben je verplicht vooraf toestemming te vragen (en te krijgen!). Dit hebben de ziekenhuizen nagelaten. Zij hebben nu enkele weken de tijd om hun leven te beteren voordat de toezichthouder verdere maatregelen (boetes?) gaat treffen.
Ziekenhuizen zijn wat hoogleraar Bart Jacobs ‘klantverraders‘ zou noemen. De ziekenhuizen geven met je surfgedrag gevoelige medische informatie door aan externe partijen. Dat is informatie die je meestal juist voor jezelf wilt houden. Wat deze externe partijen vervolgens met jouw gegevens doen, is vaak onduidelijk. Dat in een uitzending van Zembla van vorig jaar bleek dat buitenlandse databrokers beschikken over lijsten met medische gegevens van Nederlanders stelt niet gerust.
Geen toegang zonder tracking
Maar wat als je straks geen toegang krijgt tot de website van een ziekenhuis als je geen toestemming geeft om andere partijen mee te laten kijken? Er zijn nu al heel veel websites die een zogenaamde cookiewall opgetrokken hebben. De verkregen toestemming wordt hierdoor natuurlijk wel een farce. Want waar moet je als patiënt dan terecht als je niet wil dat andere partijen aan de haal gaan met je surfgedrag op de website van je ziekenhuis?
Niet voor niets is het accepteren van volgtechnieken, zoals tracking cookies, als voorwaarde voor toegang tot websites van publieke instellingen, zoals gemeenten of universiteiten, niet toegestaan. Publieke instellingen (in juristentaal: krachtens publiekrecht ingestelde rechtspersonen) moeten je de mogelijkheid bieden om hun website te bezoeken zonder dat je surfgedrag door allerlei andere partijen in de gaten wordt gehouden. Dit geldt ook voor de apps die zij aanbieden. Voor private partijen, waar een groot deel van de ziekenhuizen ook onder valt, geldt dit verbod niet.
Dat onderscheid tussen publiek en privaat is in principe wel te begrijpen. Publieke instellingen voeren immers een publieke taak uit en als burger heb je vaak geen andere keus dan van hun website en online diensten gebruik te maken. Bij private partijen ligt dit veelal anders.
Maar wat als deze private partijen belangrijke publieke functies uitoefenen zoals zorgverlening? Wat ons betreft moeten de regels voor ziekenhuizen veranderen. Je moet op z’n minst toegang kunnen krijgen tot de website van een ziekenhuis zonder dat informatie over je surfgedrag wordt doorgegeven aan derden. Toegang zonder tracking moet mogelijk zijn. En eigenlijk zouden ziekenhuizen en andere zorgverleners zich überhaupt moeten afvragen waarom zij externe partijen toestaan om hun websitebezoekers te volgen.
Symptoom van breder probleem
Waar nu de aandacht zich richt op ziekenhuizen, is het probleem eigenlijk veel groter. Met een tool zoals Lightbeam of Privacybadger kan je vrij eenvoudig in kaart brengen welke trackers van externe partijen op een website actief zijn.
Een snelle inventarisatie laat zien dat bijvoorbeeld de Belastingdienst ook gebruik maakt van trackers van externe commerciële partijen zonder vooraf je toestemming te vragen. Zo maakt de website van de Belastingdienst (op 30 juni) onder andere gebruik van: usabilla.com; scorecardresearch.com; cumulus-cloud.com en sitestat.com.
Voor de dienstverlening van de Belastingdienst is dit absoluut niet noodzakelijk dus waarom wordt het surfgedrag met behulp van externe partijen in kaart gebracht? Zijn er straks ook databrokers te vinden waar je gegevens kan kopen over Nederlanders die interesse hebben in bepaalde toeslagen? En welke andere publieke instellingen geven eigenlijk je surfgedrag door aan commerciële partijen?
Gelukkig zijn er tools waarmee je jezelf hiertegen beter kan beschermen. Check hiervoor onze Internetvrijheid Toolbox. De groeiende populariteit van deze tools laat zien dat mensen weliswaar het heft steeds vaker in eigen handen nemen. Toch is de inzet van uitsluitend technische middelen onvoldoende. Er zullen ook duidelijke, wettelijke grenzen moeten worden gesteld.
De Europese regels waarop onze cookiewet is gebaseerd, worden als het goed is binnenkort herzien. Dit biedt de kans om ervoor te zorgen dat we niet overal online worden gevolgd en geprofileerd. Dat geldt zeker voor websites en online diensten van publieke instellingen, en wat ons betreft ook voor ziekenhuizen.
We horen graag hoe jullie hierover denken!
(Anoniem)
Er zijn ook psychiatrische ziekenhuizen in Nederland die een Google map op hun voorpagina zetten, waardoor Google op de hoogte is van ieder bezoek aan die website.
Yes, I know I'm commenting anonymously
En hoe zit het met commerciële bedrijven die taken voor de overheid uitvoeren?
Zo kan ik niet vinden wanneer het oud papier wordt opgehaald zonder allerlei tracking toe te moeten staan. 🙁
David Korteweg
Dat klinkt als een voorbeeld van publiek-private samenwerking waar bij de uitvoering van overheidstaken de norm die voor overheidsinstellingen geldt, wordt omzeild door de inzet van private partijen. De websites van overheidsinstellingen moeten toegankelijk zijn zonder dat je, bijvoorbeeld via een cookiewall, gedwongen wordt om je surfgedrag te laten monitoren. Dit is wettelijk geregeld (artikel 11.7a lid 5 Telecommunicatiewet).
Private partijen zijn niet aan deze norm gebonden en kunnen in principe de toegang tot hun website blokkeren als je bijvoorbeeld niet akkoord gaat met het plaatsen van tracking cookies.
Toch zou je kunnen zeggen dat de geest van bovenstaande norm wel wordt geschonden als overheidstaken worden uitbesteed aan private partijen die zich niet hieraan houden.
Marien
Het lijkt er dus op dat je zoekacties naar persoonlijke informatie – gezondheid, geldzaken, godsdienst – standaard met je Tor browser moet doen. En misschien ook meteen maar je DigiD langs die weg gebruiken.
David Korteweg
De website van DigiD (https://www.digid.nl/) bevat overigens geen trackers. Een overheidswebsite zonder trackers kan dus wel!
DemiGoth
De oplossing is heel simpel – PRIVATE WINDOW BROWSING (zoals ik nu ook doe). Ze kunnen cookies plaatsen wat ze willen, maar op het moment dat je de browser afsluit zijn die cookies ook weg. Ik heb eigenlijk maar een paar sites die ik in een normale browser bekijk (die vertrouw ik), en de hele rest is in een private window…
Jemoeder
Dan kunnen ze je nogsteeds achterhalen. Profiling op basis van ip, user agent string etc… Als je dan ook nog hebt gebrowsed zonder private window, weet google helemaal al wie je bent
Anoniem
Dit is geen oplossing. Dit is at best een tijdelijke hack. Er zijn veel meer manieren om iemand (of een browser specifiek) te volgen dan cookies. Zie bijvoorbeeld https://panopticlick.eff.org/. De oplossing moet eerder gezocht worden in policy en handhaving bij publiek en semi-publieke organisaties.
Beniknaief?
Ik ben niet heel erg argwanend van nature.
Wat is hier mis mee: http://www.belastingdienst.nl/wps/wcm/connect/bldcontentnl/niet_in_enig_menu/prive/privacy
Met name wat onder Gebruik van anonieme bezoekersgegevens staat vermeld?
Maartje
Dit. De belastingdienst gebruikt die gegevens om de website te verbeteren. Daar is volgens mij weinig mis mee. Het gaat mis als de belastingdienst (of de partij die die gegevens voor de belastingdienst verzamelt) jouw gegevens gaat delen met anderen. Maar dat lijkt hier niet aan de orde.
Hoe dat met die ziekenhuizen zit ligt er dus ook maar net aan. Gebruiken ze Google Analytics? Ja, dan betalen ze voor die ‘gratis’ dienst met jouw data. Maar als ze dat op een nettere manier doen, kan dat ook zonder je data uit te wisselen.
oei
Wat mij het meeste stoort is dat een overheid die ons zoveel mogelijk zou moeten beschermen tegen inbreuk van onze privacy, steeds vaker deze privacy schendt of dit faciliteren. Steeds meer worden mensen gedwongen mobiele apps en internet te gebruiken waarbij ze in zee gaan met bedenkelijke partijen. Ook mijn bank, verzameld via deze partijen gegevens tijdens mijn telebankieren sessies. Uitzetten is niet mogelijk. Het zou de regel moeten zijn geen data te verzamelen op straffe van hoge boetes. Alleen het recht verstrekken als de absolute noodzaak is aangetoond. Onze overheid staat aan de verkeerde kant van de lijn.
Ellen
Helemaal mee eens! Overheid is de grootste security bedreiging voor de burger, onder meer door gedachtenloos met ongecontroleerde data verzamelaars zoals Google zaken te doen.
Freek
Beetje off-topic, maar om een inzicht te krijgen hoe dat handelen in persoonsgevens in zijn werk gaat, lees dit eens. In dit geval een multi-tenant datacenter dat een “advertisement exchange ecosystem” heeft gebouwd. Zoiets als een aandelen exchange, maar dan zodat jouw persoonsgegevens binnen enkele milliseconden nadat je een site heb bezocht worden doorverhandeld.
https://blog.equinix.com/blog/2013/10/07/in-good-company-equinixs-ad-ix-ecosystem-cuts-milliseconds-adds-business-opportunities/
Ik denk dat het naief is om te veronderstellen dat een industrietak waar al zoveel in geïnvesteerd is, en waar zoveel geld in omgaat, even met een paar technische maatregelen om zeep kan worden geholpen.
David Korteweg
Dank voor deze link. Je hebt gelijk dat er veel geld omgaat in deze sector. De financiële belangen zijn inderdaad groot, maar dat magt er niet toe leiden dat de rechten van gebruikers en andere belangen hieraan ondergeschikt worden gesteld.
Marcel
Wat ik wel interessant vind om te weten is waarom er in hemelsnaam op elke website trackers staan. In het geval van een commerciële site kan ik me dat wel voorstellen, aangezien de verkoop van data/advertenties hun bron van inkomsten is. Maar waarom doet een ziekenhuis of overheidsinstantie dit? Iemand heeft besloten dat het een goed idee was. Wat was de redenering?
David Korteweg
Dat zijn terechte vragen die bij ons ook opkwamen.
Ben je zelf nog websites tegengekomen van publieke instellingen waar ongevraagd gebruik wordt gemaakt van trackers van derden? We horen het graag!
Johan Vromans
Iedere informatieaanbieder wil graag weten hoe vaak een site wordt bezocht, en welke pagina’s het meest worden bekeken. Dat is legitieme informatie.
Het gaat fout wanneer (onnadenkend?) 3e partijen worden ingeschakeld om dit te doen. Die 3e partijen maken op hun beurt ook weer vaak gebruik van anderen en zo kan het gemakkelijk dat er tientallen derden meeluisteren en meekijken met jouw gesurf.
Overheidssites, banken e.d. (en BoF) hebben dit heel goed begrepen en op hun sites vindt je geen verdachte zaken. Maar er is nog veel werk te verrichten.
Er is een tendens gaande om alles via https te doen ipv http. Dat zou veiliger en betrouwbaarder moeten zijn. Het gebruik van trackers en ander ongein draait elke mogelijke toegevoegde veiligheid en betrouwbaarheid meteen weer de nek om.
Ton Sonneveldt
Zeer terecht dat jullie dit aan de orde stellen. De regels voor de overheid zouden ook moeten gelden voor semi-private organisaties als ziekenhuizen die betaald worden uit verplicht door burgers opgebrachte premie- en belastinginkomsten. Voor ziekenhuizen komt daar nog bij dat alle medische gegevens extra privacygevoelig zijn en die dus alleen al daarom niet in handen van derde partijen horen te komen. Ook de IGZ (Inspectie Gezondheidszorg) en de beroepsverenigingen van artsen en andere behandelaars zouden hierover een duidelijk standpunt over in moeten nemen.
J. Swagerman
N.a.v. een uitzending van Zembla heb ik mijn ziekenhuis een uitgebreide mail met uitleg over hun trackercookies gestuurd.
Ik gaf aan dat de relatie arts-patiënt er een is van wederzijds vertrouwen en dat ik niet wilde dat er een al dan niet anonieme derde commerciële partij tussen gaat zitten.
Ik heb hen o.a. geadviseerd om de add-on Gosthery maar een los te laten op hun eigen site. Dan zouden ze het aantal cookies op hun website wel zien.
Na twee maanden had ik nog geen reactie ontvangen, alleen dat mijn mail naar de betreffende afdeling zou worden gestuurd.
Ik heb het ziekenhuis daarop maar opnieuw een mail hierover gestuurd.
Toen kwamen ze ineens heel snel in actie. Ik kreeg een uitgebreid verhaal van de IT-er die hierover gaat met de belofte dat ze binnen een week alles zouden hebben aangepast.
Alleen de cookies die nodig zijn voor websitestatistieken laten ze geanonimiseerd staan, dit om de werking van hun website te verbeteren. Daar was eigenlijk ik nog niet echt gelukkig mee, maar was al blij dat mijn verzoek zo vriendelijk én gemotiveerd werd gehonoreerd! Een en ander werd gecoördineerd door de klachtenfunctionaris van het ziekenhuis.
Inderdaad: het ziekenhuis is zijn belofte nagekomen!
Pocahontas
Hoe kan ik zien welke ambtenaar er in mijn DigiD gegevens heeft gerommeld, wanneer dat was, en met welke rede. Waar die ambtenaar zich bevind, hoe ik hem kan bereiken enz. ?
Johan
Ik moet naar een specialist dus eerst naar mijn huisarts, waar ik een papieren verwijzing kon ophalen met allerlei instructies om desgewenst via een zorgportaal mijn afspraak direct met het ziekenhuis te kunnen regelen, inderdaad handig…( omslachtige instructies, account gedoe en weer je DigiD WW opzoeken etc. waar ik geen zin meer in heb) bellen gaat sneller dat kan nu nog wel. Erna ontving ik mail voor een vragenlijst ter voorbereiding op mijn afspraak. Nu zocht ik even verder en …ja hoor die specialist is eigenaar v.e. zorg IT Consultancy om in hun vakgebied z.g. “handige vragenlijsten” te verwerken, “Groot voorvechter van mogelijkheden van ‘big data’ binnen het specialisme” ) Ga ik dan op die site verder zoeken dan blijkt dat er toch wel derde partijen bij zijn betrokken. Indertijd is door mw. Schipper toen een hele industrie op poten gezet i.s.m. met Amerika herinner ik me, veel subsidiegeld is hiermee gemoeid. Dit alles om het voor ons makkelijker te maken, maar nu kan ik het allemaal nog wel volgen (57) maar merk wel dat ik het punt bereik dat ik het niet meer wil, opeens is daar mijn zorgdossier wat wordt aangesloten op het zorgportaal zonder dat ik hiervoor toestemming heb gegeven, nee het is gewoon via DigiD al te bereiken, ik heb meerdere keren gevraagd om niet mijn gegevens online aan te sluiten op dit portaal, ‘dan gebruikt u het toch niet?’ Dit soort slikken of stikken benadering is gewoon geworden. Ook al is jouw dossier niet actief nog, dan blijkt zodra je een keer gebruik maakt van een afspraak tool, je stap voor stap je gegevens gaat delen, want dit portaal wordt opgenomen in de tentakels van weer andere systemen. Dat het via het slotje en DigiD en andere tools beveiligd is zegt mij niets. Patiëntendossiers aan het internet via slotjes en DigiD is niet veilig genoeg. En dit individueel af sluiten kan dus niet, daarbij zijn er inmiddels zoveel zorgpiraten betrokken die allemaal een stukje van jouw ‘geanonimiseerde’ data eisen omdat het hun verdienmodel is. Ik kan mij voorstellen dat ouderen die het niet meer zo volgen als ik er de brui aan geven.
De derde partijen soms uit Amerika die toen dankzij mw. Schippers een samenwerking zijn aangegaan waarbij is afgesproken toen dat Nederland als proeftuin voor hen interessant is. Het delen via derden en derden etc. met ellenlange privacy reglementen natuurlijk. Deze inktvis is zo groot ondoenlijk voor gebruikers, precies wat men wil. Dit valt niet te stoppen helaas, wel alert blijven dus.