De zorg staat duidelijk op de agenda van de Autoriteit Persoonsgegevens (AP). Er wordt actief onderzoek uitgevoerd naar het privacybeleid bij ziekenhuizen. Zo kwam al eerder naar buiten dat ziekenhuizen nog geen bewerkersovereenkomsten hebben gesloten zoals wettelijk verplicht.

Op 23 juni 2016 berichtte de Autoriteit Persoonsgegevens (“AP”) dat ziekenhuizen in strijd met de wet bezoekers volgen met behulp van cookies. De AP heeft de websites van alle algemene en academische ziekenhuizen onderzocht. Hieruit bleek dat 39 van de in totaal 85 onderzochte ziekenhuizen de Cookiewet overtreden. Zij plaatsen in strijd met de wet zonder toestemming van de bezoeker van de website zogenaamde tracking cookies op de randapparatuur van de bezoeker. Volgens de AP moeten bezoekers van ziekenhuizenwebsites erop kunnen vertrouwen dat informatie over hun bezoek van de website niet bij andere partijen terechtkomt omdat dit onderdeel is van goede zorg.

De betreffende ziekenhuizen hebben zes weken de tijd gekregen om dit aan te passen. Daarna zal de AP de websites opnieuw controleren en zo nodig handhavende middelen inzetten als deze hun gebruik van cookies niet hebben aangepast.

Privacy schending

Waarom kan de privacy worden geschonden door het bezoek van een website van een ziekenhuis?

Mensen bezoeken over het algemeen de website van een ziekenhuis op het moment dat zij informatie nodig hebben in verband met hun gezondheid. Met het plaatsen van cookies op een website kan het klikgedrag van de bezoeker worden gevolgd en de informatie hieruit worden verzameld. “Naar welke onderliggende pagina’s klikt een persoon door, naar welke informatie is hij op zoek?”

Het bezoek van zo’n website kan hiermee iets zeggen over de gezondheid van mensen. Door tracking cookies te plaatsen bij het bezoek van de website, kan er dus sprake zijn van verwerking van gegevens over de gezondheid van de bezoeker. Gezondheidsgegevens zijn echter bijzondere persoonsgegevens en die mogen niet worden verwerkt zonder de uitdrukkelijke toestemming van de betrokkene. Ziekenhuizen handelen met het plaatsen van tracking cookies in strijd hiermee.

De AP zegt hierover:

Als iemand de webpagina over de afdeling cardiologie bezoekt, dan heeft hij het recht vervolgens niet her en der benaderd te worden als mogelijk hartpatiënt. Patiënten moeten erop kunnen vertrouwen dat informatie over hun bezoek van een ziekenhuiswebsite niet bij andere partijen terechtkomt. Dat is nou eenmaal vast onderdeel van goede zorg”, aldus vicevoorzitter van de AP Wilbert Tomesen. De AP heeft aangekondigd na 6 weken de websites van alle onderzochte ziekenhuizen opnieuw te controleren. Als de AP overtredingen constateert, zal het richting de individuele ziekenhuizen handhavende maatregelen nemen.

Opnieuw komt dus naar voren dat de zorg voor de privacy van de patiënt onderdeel is van goede zorg.

Wat zijn cookies?

Wat zijn cookies nu eigenlijk en welke soorten cookies kennen we? Cookies zijn bestanden of stukjes informatie die opgeslagen kunnen worden in het geheugen van het apparaat waarmee u op het internet surft, zoals een computer, een smartphone of tablet.

Sinds 5 juni 2012 is de wijziging van de Telecommunicatiewet, ook wel Cookiewet genoemd, van kracht. Deze Cookiewet schrijft voor dat voor het plaatsen en uitlezen van cookies toestemming van websitebezoekers nodig is. Dat geldt niet alleen voor cookies, maar ook voor soortgelijke technologieën, die hetzelfde resultaat bereiken, zoals Javascripts en Flash cookies.

Onderscheid in soorten cookies

Er zijn veel verschillende soorten cookies. In de praktijk worden cookies onderverdeeld in first party- en third party cookies. Met first- en third party cookies wordt een onderscheid gemaakt in de partij die desbetreffende cookies plaatst: de websitehouder zelf (first party), of een derde partij (third party). De Cookiewet maakt dit onderscheid niet, omdat voor het vragen van toestemming niet relevant is of een cookie door een first party of een third party geplaatst wordt. Het onderscheid in first- of third party biedt u als websitehouder dus geen houvast of uitzondering voor de vereiste toestemming.

Uitzondering

Niet voor alle cookies is het echter nodig om toestemming te vragen. Toestemming is niet vereist voor cookies die ‘strikt noodzakelijk zijn voor de dienst’. Denk hierbij aan het bekende winkelwagentje in webshops. Dit cookie zorgt ervoor dat wordt onthouden wat er in het winkelwagentje is geplaatst. Daarmee is het winkelwagentje cookie dus noodzakelijk voor de dienst. Een ander voorbeeld is het inlogcookie gebruikt voor het inloggen op een website. Over het algemeen zal voor het functioneren van een website van een ziekenhuis of zorginstelling het plaatsen van cookies niet snel noodzakelijk zijn voor de dienst die met de website wordt geleverd. Het plaatsen van cookies zonder toestemming op basis van de uitzondering op de regel zal dan ook niet snel aan de orde zijn.

Gebruik tracking cookies

Uit het bericht van de AP blijkt dat er privacy schending plaatsvindt doordat ziekenhuizen gebruik maken van tracking cookies.

Tracking cookies zijn cookies, die organisaties op apparatuur, bijvoorbeeld een computer, laptop of smartphone, plaatsen en waarmee zij bij kunnen houden welke internetpagina’s iemand bezoekt. Hieruit worden voorkeuren of interesses afgeleid op basis waarvan vervolgens persoonlijke aanbiedingen aan die persoon gedaan worden. Ooit weleens opgevallen dat wanneer u online heeft gezocht naar bijvoorbeeld nieuwe sportschoenen en daarna inlogt op Facebook, u advertenties van sportschoenen krijgt te zien aan de rechterzijde van uw scherm. Dit is een goed voorbeeld van hoe wij in de praktijk te maken krijgen met tracking cookies.

Toestemming voor tracking cookies is vereist

Tracking cookies mogen krachtens de Cookiewet dus alleen worden geplaatst en uitgelezen als hiervoor toestemming is verkregen. Gezien de functie van de cookies, zijn deze cookies immers niet ‘strikt noodzakelijk voor de dienst’ en vallen daarom niet onder de uitzondering zoals hiervoor aangegeven. De wetgever is van mening dat we tegen dit soort cookies beschermd moeten worden, omdat de gegevens die met deze cookies worden verzameld, kunnen leiden tot een gedetailleerde profielschets van u als gebruiker. Privacy schending is al aanwezig op het moment dat de cookies worden geplaatst. Dat betekent dat daarvoor de toestemming van de bezoeker van de website al moet worden gevraagd.

Het vragen van toestemming voor het plaatsen van cookies wordt in de praktijk als onpraktisch ervaren. Sinds de inwerkingtreding van de Cookiewet kennen we allemaal de zogenaamde cookiemuur en de toestemmingbalkjes. Deze zorgen voor veel irritatie bij website bezoekers en websitehouders. Het is daarom van belang dat er een praktische oplossing wordt gevonden, zodat deze irritatie wordt weggenomen zonder dat er sprake is van privacy schending.

Gezondheidsgegevens zijn bijzondere persoonsgegevens

Hoewel het als onpraktisch ervaren kan worden, is het toch noodzakelijk dat toestemming wordt gevraagd, die vereist is. Dit geldt met name voor ziekenhuizen, omdat de gegevens die verzameld worden met de cookies iets kunnen zeggen over de gezondheid van mensen en dus bijzondere gegevens zijn, aan de verwerking waarvan, de wet bijzondere eisen stelt. Met het enkel vragen van voorafgaande toestemming voor het plaatsen van tracking cookies bent u er dan ook nog niet. De verwerking van de gegevens die u verzamelt met de cookies zal moeten voldoen aan alle eisen die de Wet bescherming persoonsgegevens stelt aan de verwerking van gezondheidsgegevens.

Ziekenhuizen, maar natuurlijk ook alle andere zorgverleners en zorginstellingen die cookies op hun website gebruiken zonder toestemming van de bezoeker van die website, lopen het risico op een boete of dwangsommen van de AP. Deze kunnen hoog oplopen. Het is daarom van belang om als ziekenhuis, zorgverlener of zorginstelling goed in kaart te brengen welke cookies u plaatst en hoe ze gebruikt mogen worden volgens de Cookiewet. Op deze manier wordt duidelijk wanneer toestemming van websitebezoekers nodig is, zodat voor websitebezoekers geen privacy schending plaatsvindt eigenaren van websites, ziekenhuis, zorgverlener of zorginstelling, geen tracking cookies plaatsen in strijd met de Cookiewet, maar ook geen gegevens betreffende de gezondheid van mensen verwerken in strijd met de Wet bescherming persoonsgegevens.


Deze bijdrage is geschreven door Ilham Ouajnan en Marieke van Dijk van Cure4 en gepubliceerd op de website van Cure4.