Autoriteit Persoonsgegevens treedt op tegen tracking cookies ziekenhuiswebsites

De Autoriteit Persoonsgegevens heeft geconstateerd dat veel Nederlandse ziekenhuizen ongevraagd tracking cookies plaatsen op de apparatuur van bezoekers van hun websites. Met behulp van zulke cookies kan op eenvoudige wijze worden gevolgd welke websites iemand bezocht heeft. Bijna de helft (39) van de 85 onderzochte ziekenhuizen overtreedt op deze wijze de privacy- en telecomwetgeving, die het verbiedt om zonder toestemming van de gebruiker dergelijke cookies te plaatsen.

Het principe van een tracking cookie is vrij eenvoudig. Zodra een bezoeker een site opent die is ingericht op het plaatsen van cookies, wordt een klein bestandje (cookie) op zijn computer geplaatst. Daarin staat bijvoorbeeld hoe laat de bezoeker de site heeft geopend, en vanaf welk IP-adres. Ook kan er bijvoorbeeld in worden bijgehouden welke pagina's van de site de gebruiker bezoekt, en voor hoe lang. Als de gebruiker vervolgens naar een andere site gaat die ook toegang heeft tot dit cookie, “ziet” die site welke pagina's de gebruiker eerder bezocht heeft. De site kan op basis daarvan de getoonde inhoud aanpassen aan de eerder bezochte sites van de gebruiker.

Om een en ander wat concreter te maken een voorbeeld. Stelt u zich een bezoeker voor die op de website van “zijn” ziekenhuis uitgebreid informatie raadpleegt over slagaderverkalking. De site registreert dat in een tracking cookie. Vervolgens gaat dezelfde gebruiker naar een willekeurige andere site, die toegang heeft tot datzelfde cookie waaruit blijkt dat de bezoeker zojuist informatie over slagaderverkalking heeft opgezocht. Nu zou het zomaar kunnen dat die site (of beter gezegd, de leverancier van de advertenties op die site) op basis van die informatie gepersonaliseerde advertenties gaat tonen, bijvoorbeeld voor cholesterolverlagende halvarine.

Voor het op deze manier volgen van bezoekers is toestemming nodig van de gebruiker, niet alleen op grond van de Telecommunicatiewet (waar de zogenaamde cookiewet onderdeel van uitmaakt), maar ook op grond van de Wet bescherming persoonsgegevens. Het opslaan van informatie over bezoek aan websites wordt namelijk vermoed een verwerking van persoonsgegevens te zijn (volgens artikel 11.7a van de Telecommunicatiewet). De partij die het cookie plaatst heeft daarom een grond voor de verwerking nodig (zoals toestemming van de betrokken persoon), tenzij hij kan aantonen dat er geen sprake is van verwerking van persoonsgegevens. Dat is bij tracking cookies lastig: met behulp van de informatie die met zulke cookies verwerkt wordt – zoals IP-adres en bezoekgegevens van verschillende sites – is de bezoeker in veel gevallen te identificeren.

De bezoekgegevens van een ziekenhuiswebsite kunnen bovendien gegevens betreffende de gezondheid vormen. Als iemand informatie opzoekt over een bepaald ziektebeeld, is het immers aannemelijk dat die persoon met die ziekte of de symptomen daarvan kampt. De enige mogelijke grond voor verwerking is in dit geval dan ook de uitdrukkelijke toestemming van de betrokkene. Dat doet een groot aantal ziekenhuizen op dit moment niet, waardoor zij dus zowel de Wbp als de Telecommunicatiewet overtreden.

De Autoriteit Persoonsgegevens heeft de ziekenhuizen zes weken de tijd gegeven om orde op zaken te stellen. Als blijkt dat bij de controle die dan volgt nog steeds ongevraagd tracking cookies worden geplaatst, zal de Autoriteit maatregelen gaan treffen. Zo zou zij een last onder dwangsom kunnen opleggen, of direct een bestuurlijke boete.

Vragen?