image

Ziekenhuiswebsites schenden privacywet door trackingcookies

donderdag 23 juni 2016, 10:00 door Redactie, 13 reacties

Websites van ziekenhuizen schenden de Nederlandse privacywetgeving doordat ze via trackingcookies bezoekers volgen, zo laat de Autoriteit Persoonsgegevens vandaag weten. Bij bijna de helft van de ziekenhuiswebsites wordt informatie van bezoekers via trackingcookies aan derde partijen doorgegeven.

De toezichthouder constateert dat bij 39 van de 85 onderzochte ziekenhuizen commerciële derde partijen trackingcookies op de apparatuur van bezoekers van de ziekenhuiswebsites plaatsen zonder dat zij daarvoor toestemming hebben gegeven. Dat is in strijd met de privacywetgeving. De Autoriteit Persoonsgegevens stelt dat het bezoek aan de website van een ziekenhuis iets kan zeggen over de gezondheid van iemand.

Bij de onderzochte ziekenhuiswebsites gaat het niet alleen om de homepage, maar ook om de achterliggende pagina’s met informatie over specifieke aandoeningen of specialistische afdelingen. Bij het plaatsen van trackingcookies bij bezoek aan meer specifieke pagina’s kan sprake zijn van verwerking van persoonsgegevens over de gezondheid. "Deze mogen in beginsel niet verwerkt worden zonder uitdrukkelijke toestemming van de persoon om wie het gaat", aldus de toezichthouder.

De Autoriteit Persoonsgegevens heeft 39 ziekenhuizen en de brancheorganisaties van de ziekenhuizen NVZ en NFU inmiddels op de overtredingen gewezen. "Als iemand de webpagina over de afdeling cardiologie bezoekt, dan heeft hij het recht vervolgens niet her en der benaderd te worden als mogelijk hartpatiënt", zegt vicevoorzitter van de AP Wilbert Tomesen. De Autoriteit Persoonsgegevens heeft aangekondigd na zes weken de websites van alle onderzochte ziekenhuizen opnieuw te controleren. Worden er dan nog steeds overtredingen geconstateerd, dan worden er handhavende maatregelen genomen.

Reacties (13)
23-06-2016, 10:13 door Anoniem
Dat zou je toch niet mogen verwachten, he?
How low can you go!!
23-06-2016, 11:12 door Reinder
Weet iemand waarom die cookies uberhaupt op zo'n site staan? Bij een commerciele partij begrijp ik de redenen, maar bij een organisatie als een ziekenhuis niet. Dat ze voor het kunnen optimaliseren van de site willen weten hoe mensen door de site heen klikken, op welke wijze ze bepaalde informatie vinden e.d. snap ik ook nog, maar dat hoeft toch niet te gebeuren door third-party tracking cookies, dat kan toch prima binnen het eigen content management systeem blijven.
Iemand enig idee? Is het onkunde, onwetendheid, misplaatst winstbejag?
23-06-2016, 11:19 door ph-cofi
Het zou mij niet verbazen als bedoelde ziekenhuizen de websites bij enkele commerciele partijen hebben ingekocht, waarbij ergens in de zorgketen de benefits landen van het klikgedrag van bezoekers.
23-06-2016, 11:59 door MathFox
Door Reinder: Weet iemand waarom die cookies uberhaupt op zo'n site staan? Bij een commerciele partij begrijp ik de redenen, maar bij een organisatie als een ziekenhuis niet. Dat ze voor het kunnen optimaliseren van de site willen weten hoe mensen door de site heen klikken, op welke wijze ze bepaalde informatie vinden e.d. snap ik ook nog, maar dat hoeft toch niet te gebeuren door third-party tracking cookies, dat kan toch prima binnen het eigen content management systeem blijven.
Iemand enig idee? Is het onkunde, onwetendheid, misplaatst winstbejag?

Waarom moeilijk in ingekocht CMS bijhouden (waarvan we al blij zijn dat het niet iedere week omvalt) als Google analytics "gratis" is? De privacyschade is toch voor de patient!
23-06-2016, 12:58 door Reinder
Door MathFox:Waarom moeilijk in ingekocht CMS bijhouden (waarvan we al blij zijn dat het niet iedere week omvalt) als Google analytics "gratis" is? De privacyschade is toch voor de patient!

Nou ja, omdat een ziekenhuis een miljardenbedrijf is, en je mag verwachten dat er een security-officer is die op dit soort dingen toeziet.
23-06-2016, 13:03 door [Account Verwijderd]
[Verwijderd]
23-06-2016, 14:12 door karma4 - Bijgewerkt: 23-06-2016, 17:10
Door ph-cofi: Het zou mij niet verbazen als bedoelde ziekenhuizen de websites bij enkele commerciele partijen hebben ingekocht, waarbij ergens in de zorgketen de benefits landen van het klikgedrag van bezoekers.
Er zij op de de epd markt met zo' n 40 ziekenhuizen nog maar twee grote partijen over. Epic en hix van chipsoft. Beiden bieden Internetaccess zo van de plank. Of er een relatie met een van beide paketten is zou een heel interessant gegeven zijn.

Software wordt zo veel mogelijk ingekocht niet zelf gemaakt. Het argument daarbij is dat van die lastige interne ICT af bent en de leverancier alles wel oplost. Ook de privacy data governance waar jij op aangesproken wordt. Fout maar gebeurt en wordt door controle instanties gebruikt om geen controles te doe.

Hoe het met website bouw zit weet ik niet. Wordt vermoedelijk ook uitbesteed aan bedrijfjes die de marketingwereld hoog hebben. Trackingcookies niet bepaald iets nieuws waar je mee op moet passen. Is het al twee jaar verboden in de EU?
Het past in her kader ict wegzetten als privacymafia.
23-06-2016, 14:41 door Anoniem
Door Reinder: Weet iemand waarom die cookies uberhaupt op zo'n site staan? Bij een commerciele partij begrijp ik de redenen, maar bij een organisatie als een ziekenhuis niet. ... Is het onkunde, onwetendheid, misplaatst winstbejag?

Ziekehuizen zijn toch geprivatiseerd, maw het zijn commerciele instellingen.

Winstbejag is daardoor niet misplaatst.
23-06-2016, 14:55 door Anoniem
alleen cookies?? wat te denken van de zwakke certificaten ?
zie https://www.ssllabs.com/ssltest/analyze.html?d=pim.umcutrecht.nl
23-06-2016, 15:23 door Anoniem
Door karma4:
Door ph-cofi: Het zou mij niet verbazen als bedoelde ziekenhuizen de websites bij enkele commerciele partijen hebben ingekocht, waarbij ergens in de zorgketen de benefits landen van het klikgedrag van bezoekers.
Er zij op de de epd markt met zo' n 40 ziekenhuizen nog maar twee grote partijen over. Epic en hix van chipsoft. Beiden bieden Internetaccess zo van de plank. Of er een relatie met een van beide paketten is zou een heel interessant gegeven zijn.......................................Trackingcookies niet bepaald iets nieuws waar be mee op moet passen. Is het al twee jaar verboden in de EU?
Het past in her kader ict wegzetten als privacymafia.

Er is wel een verschil tussen de website van het ziekenhuis en hun EPD portal...
De EPD portal wordt vaak nog gescreend door de security jongens van de overheid, wegens digid... de website van het ziekenhuis zelf, dat is vaak nergens aan gebonden en ik heb er nog geen een gevonden die niet (al dan niet opzettelijke) backdoors had.
24-06-2016, 08:37 door Anoniem
Door Reinder:
Door MathFox:Waarom moeilijk in ingekocht CMS bijhouden (waarvan we al blij zijn dat het niet iedere week omvalt) als Google analytics "gratis" is? De privacyschade is toch voor de patient!

Nou ja, omdat een ziekenhuis een miljardenbedrijf is, en je mag verwachten dat er een security-officer is die op dit soort dingen toeziet.

Omdat het een miljardenbedrijf is, gebeurt er zo veel dat de enkele security specialist niet alles in de gaten kan houden. Die heeft het al druk genoeg met de applicaties die primair bedoeld zijn voor het verwerken van (bijzondere) persoonsgegevens, zoals het DPD.

Daarnaast is de website de verantwoordelijkheid van de marketing afdeling en en die is in ziekenhuizen, net als de meeste andere bedrijven, oppermachtig.

Peter
24-06-2016, 10:01 door Anoniem
Überhaupt is het vreemd dat de gezondheidszorg koekjes aanbiedt en ongemerkt laat nuttigen terwijl ze tegelijkertijd proberen ons minder suiker te laten gebruiken en obesitas terug te dringen. Zo zorg je voor business ...
28-06-2016, 23:03 door Anoniem
Los van de vraag of het netjes is dat deze informatie wordt doorgegeven.... en al of niet voldoen aan de cookiewetgeving.


"Bij het plaatsen van tracking cookies bij bezoek aan meer specifieke pagina’s kan sprake zijn van verwerking van persoonsgegevens over de gezondheid. Deze mogen in beginsel niet verwerkt worden zonder uitdrukkelijke toestemming van de persoon om wie het gaat."

Voor een ziekenhuiswebsite is de bezoeker een ip-adres. Wat ik mis in het onderzoek en rapport is de onderbouwing of er sprake is van het verwerken van persoonsgegevens.Is een ip-adres een persoonsgegeven?
Zie: https://www.security.nl/posting/38567/Juridische+vraag%3A+is+een+IP-adres+een+persoonsgegeven%3F

Wie toetst de uitspraken van de toezichthouder?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.