De Amerikaanse ggz-aanbieder Cerebral heeft de persoonlijke informatie van ruim 3,1 miljoen patiënten met adverteerders gedeeld, zo heeft het bedrijf zelf bekendgemaakt (pdf). Dit gebeurde via een trackingpixel waardoor data naar Google, Meta, TikTok en andere derde partijen ging. Cerebral biedt online therapie voor allerlei psychische klachten, waaronder depressie.

Sinds het bedrijf eind 2019 startte gebruikte het op de eigen platforms trackingpixels en andere trackingtechnologieën waardoor gebruikersdata naar de eerder genoemde techbedrijven en andere derde partijen werd gestuurd. Het gaat om naam, telefoonnummer, e-mailadres, geboortedatum, ip-adres, klantnummer en andere demografische informatie. Wanneer gebruikers ook een self-assessment deden gaat het ook om de betreffende gekozen dienst en bepaalde gezondheidsinformatie. Voor cliënten die een abonnement afnamen zijn type abonnement, afspraakdatums, behandeling en andere klinische informatie gelekt.

Begin dit jaar ontdekte Cerebral naar eigen zeggen dat de data van gebruikers naar derde partijen werd gestuurd. Inmiddels zijn alle trackers verwijderd en heeft het bedrijf vastgesteld dat er sprake is van een datalek. Omdat het bedrijf vertrouwelijke gezondheidsgegevens verwerkt valt het onder de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA). Het moet dergelijke datalekken dan ook bij de overheid meldden. Uit de melding blijkt dat het om de gegevens van ruim 3,1 miljoen mensen gaat.

Eind vorig jaar waarschuwde een Amerikaanse zorgverlener met 27 ziekenhuizen en honderden zorglocaties drie miljoen patiënten voor een soortgelijk datalek veroorzaakt door trackingpixels en meldde een Amerikaanse zorgverlener, die meerdere ziekenhuizen en medische centra beheert, een datalek met de gegevens van 1,3 miljoen patiënten door een verkeerd ingestelde Meta-pixel.