Medische websites sturen ongewild gevoelige informatie door

Medische websites, het Nederlands Huisartsen Genootschap en psychischegezondheid.nl spelen vaak zonder het te weten surfgedrag door aan commerciële bedrijven. Dit gedrag kan gevoelige informatie bevatten over patiënten, blijkt uit onderzoek van Zembla.

Zembla ontdekte dat het bedrijf Exact Data gegevens aanbiedt van 2856 gebruikers van natuurgeneesmiddelen. Ruim 23.000 mensen die een afvalprogramma volgen, zijn ook bekend. Met deze info kunnen Nederlandse bedrijven gericht adverteren.

Trackers

Op de websites van zorginstellingen in Nederland blijken trackers actief te zijn. Dit zijn stukjes code die bijhouden waar iemand op klikt en deze informatie vervolgens bewaren. AddThis en ShareThis zijn bedrijven die zulke trackers maken. Zij leveren socialemediaknoppen, die websites graag op pagina's plaatsen in de hoop dat mensen de pagina delen. Met die knoppen komen ook de trackers mee.

AddThis en ShareThis verkopen de verzamelde informatie, komt in de uitzending van Zembla naar voren. AddThis verzamelt onder meer IP-adressen (het kentekennummer van computers) en de tijd en datum waarop de site wordt bezocht. Verder wordt zoekinformatie opgeslagen als mensen via een zoekmachine op de site belanden.

Doordat veel medische organisaties de bouw van websites uitbesteden, weten ze vaak niet precies wat er op hun site gebeurt.

Medische websites sturen gevoelige gegevens door

Een van de websites die gebruikmaakten van AddThis, is die van het TweeSteden-ziekenhuis in Tilburg. Daar kan bijvoorbeeld een tracker zien wanneer iemand bij welke poli een afspraak wil maken.

Al deze informatie kan te koop worden aangeboden. Zembla heeft met het ziekenhuis contact gehad over de trackers.

In een reactie aan de NOS laat het ziekenhuis weten dat de tracker alsnog is verwijderd. Het ziekenhuis erkent niet alert genoeg te zijn geweest, maar benadrukt ook dat de gevaren beperkt zijn gebleven. Zo zijn de verzamelde gegevens volgens het ziekenhuis niet herleidbaar tot personen. Over een paar weken neemt het TweeSteden-ziekenhuis een volledig nieuwe site in gebruik.

Ook op websites van academische ziekenhuizen, zoals het AMC en het RadboudUMC, is de tracker gisteren nog gevonden.

Het AMC laat de NOS weten dat de tracker dit voorjaar is gedeactiveerd. Daarvoor was AddThis alleen van kracht als men cookies accepteerde, zegt het ziekenhuis. "Nadat de cookiewet was verruimd, zijn deze codes door ons uitgezet en is AddThis gedeactiveerd om privacyschending te voorkomen." Er zijn volgens het AMC alleen nog maar resten van code te vinden.

Het RadboudUMC zegt dat AddThis nu een paar jaar actief. Er wordt uitgezocht of het mogelijk is dat daardoor gegevens worden doorgegeven. De tracker is inmiddels uit voorzorg verwijderd.

  • Screenshot NOS
    Op de site van het TweeSteden-ziekenhuis was de tracker tot vanmiddag te vinden
  • Screenshot NOS
    De website van het AMC heeft de trackers ook nog
  • Screenshot NOS
    Ook het Antoni van Leeuwenhoek-ziekenhuis heeft de trackers nog
  • Screenshot NOS
    Evenals het Radboud-ziekenhuis in Nijmegen

Er zijn meer sites die van deze trackers gebruikmaken, zoals thuisarts.nl, van het Nederlands Huisartsengenootschap. Op de site kunnen bezoekers informatie vinden over allerlei ziektes.

Als de patiënten niet weten dat de gegevens worden verkocht en ze daar geen toestemming voor hebben gegeven, is dit volgens voorzitter Kohnstamm van het College bescherming persoonsgegevens in strijd met de wet. "Vooral als het om gezondheidsgegevens gaat, moeten de betrokkenen goed zijn geïnformeerd en is van hen expliciete toestemming nodig."

Deel artikel:

Advertentie via Ster.nl