Medische websites lekken gezondheidsgegevens bezoekers

Websites van medische organisaties zoals ziekenhuizen en het Nederlands Huisartsengenootschap (NHG) geven gezondheidsinformatie van bezoekers door aan commerciële bedrijven. Dat blijkt uit onderzoek van Zembla en wordt bevestigd door privacy deskundigen. Sites zoals thuisarts.nl en tweestedenziekenhuis.nl staan databedrijven toe om gegevens van bezoekers te verzamelen en op te slaan in profielen. Het gaat om internetgedrag waaruit bijvoorbeeld kan worden afgeleid welke ziekte iemand mogelijk heeft of met welke ziekenhuisafdeling een afspraak wordt gemaakt. Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens, zegt dat het gaat om gezondheidsgegevens. “Iedereen die in de sfeer van de artsenij werkt weet dat of wordt geacht dat te weten, dat je niet voor niets een geheimhoudingsplicht als arts hebt. Ze hadden dit moeten weten, “ aldus Kohnstamm.

Databedrijven zoals AddThis en ShareThis plaatsen zogenaamde trackers op websites. Daarmee kunnen ze het internetgedrag van websitebezoekers nauwkeurig in kaart brengen. Die informatie wordt gebruikt om persoonlijke profielen te maken van webgebruikers. Die profielen worden verkocht aan bijvoorbeeld marketingbedrijven. Databedrijven claimen duizenden gegevens per individu op te slaan. AddThis zegt te beschikken over profielen van 1,9 miljard internetgebruikers.

ShareThis stelt niet alleen de bezochte websites vast te leggen, maar ook zoektermen, de duur van het bezoek, IP-adressen en de locatie van de internetgebruikers.

Op de website thuisarts.nl van het Nederlands Huisartsengenootschap kunnen bezoekers informatie vinden over allerlei ziektes. Op deze site werden internetgebruikers tot november onder meer gevolgd door databedrijf AddThis.  Hoewel het NHG hier al eerder op gewezen was, werden de trackers pas verwijderd nadat Zembla vragen stelde over het privacylek. Hoogleraar Computerveiligheid Bart Jacobs (Radboud Universiteit) in Zembla: “Zij hebben de gezondheidsinformatie van mensen die die website bezochten, laten lekken naar andere partijen. (…) ik zou dat willen classificeren als medische informatie, dat valt onder het medisch beroepsgeheim.”

Privacyjurist Frederik Borgesius (Universiteit van Amsterdam) noemt het opslaan van de gezondheidsgegevens ‘schokkend’: “Ik vind dat zulke medische websites helemaal geen commerciële trackingpartijen zouden moeten toelaten op hun website.”

Ook ziekenhuizen zoals bijvoorbeeld het Tweestedenziekenhuis in Tilburg staan databedrijven toe gezondheidsinformatie van bezoekers vast te leggen. Op tweestedenziekenhuis.nl vond Zembla 16 trackers, onder meer van AddThis. Databedrijven leggen bijvoorbeeld vast met welke ziekenhuisafdeling patiënten een afspraak willen maken.

Kohnstamm (CBP): “Verkoop en gebruik van dit soort gegevens kan alleen onder twee voorwaarden. Eén: mensen verschrikkelijk goed vertellen wat ermee gaat gebeuren én hen expliciet om toestemming vragen. En als die twee elementen ontbreken is de kans heel groot dat het onrechtmatig gebruik van persoonsgegevens is.”

Zembla vond trackers van databedrijven op tientallen medische websites. Onder meer op psychischegezondheid.nl waar  mensen depressie-zelftests kunnen doen en op  stichtingschuilplaats.nl waar bezoekers informatie kunnen vinden over hulp voor slachtoffers van seksueel misbruik.

ZEMBLA, ‘Data: het nieuwe goud, deel 2’, woensdag 9 december 2015 om 20.25 uur bij de VARA op NPO2.