De Autoriteit Persoonsgegevens heeft dit jaar speciale aandacht voor de omgang met persoonsgegevens door ziekenhuizen. Dit blijkt ook wel uit de diverse onderzoeken die de Autoriteit Persoonsgegevens al heeft verricht dit jaar ten aanzien van het privacybeleid van ziekenhuizen. Eerder onderzoek toonde aan dat veel ziekenhuizen bijvoorbeeld nog geen wettelijk verplichte bewerkersovereenkomst hebben afgesloten. In een nieuw onderzoek is naar voren gekomen dat veel ziekenhuizen de cookiewetgeving schenden. Van de 85 onderzochte ziekenhuizen voldoen er 39 niet aan de eisen die de cookiewet stelt aan het plaatsen van cookies bij bezoekers van de ziekenhuiswebsite.
Een cookie is niets meer dan een tekstbestandje dat op de computer van de internetter wordt geplaatst. Er zijn verschillende soorten cookies die voor verschillende doeleinden ingezet kunnen worden. Cookies die de privacy van een internetter niet in gevaar brengen, zoals analytische cookies, mogen onder sommige omstandigheden geplaatst worden zonder toestemming van de internetter.
Met een tracking cookie kan bijvoorbeeld het surfgedrag van de internetter bijgehouden worden, waardoor de internetter een gepersonaliseerde advertentie op maat getoond kan krijgen. Voor het plaatsen van tracking cookies is altijd toestemming nodig van de internetter voordat er cookies worden geplaatst.
Veel ziekenhuizen gaan hiermee in de fout. Zij plaatsen tracking cookies op de computer van de internetter, zonder dat hiervoor de vereiste toestemming is verkregen. Ziekenhuizen moet hierbij er rekening mee houden dat zij medische persoonsgegevens verwerken door het plaatsen van tracking cookies. Als een internetter de pagina van een cardioloog bezoekt op de ziekenhuiswebsite, dan kan dit iets zeggen over de gezondheid van de internetter. Het is daarom van belang om voor het gebruik van dergelijke cookies nadrukkelijke toestemming van de internetter te krijgen.
Om in overeenstemming met de cookiewetgeving te handelen is het van belang om te inventariseren welke cookies worden gebruikt op de ziekenhuiswebsite. Wat voor cookies zijn dit en met welke doeleinden worden deze geplaatst? Op basis van deze inventarisatie dient er beslist te worden of er toestemming van de internetter nodig is voor het gebruik van cookies.
Daarnaast is het van belang om in de privacyverklaring van de website op te nemen of er cookies worden geplaatst, welke cookies dit betreffen en wat er verder met de verwerkte gegevens gedaan kan worden. Een ziekenhuis is wettelijk verplicht om informatie te geven over de gegevensverwerking.
De Autoriteit Persoonsgegevens heeft aangekondigd over 6 weken een nieuwe controle uit te voeren bij de ziekenhuizen op het gebruik van cookies. Als er dan nog misstanden worden geconstateerd, dan kunnen ze overgaan tot bijvoorbeeld publicatie van de misstanden en het uitdelen van hoge boetes. Het is mede daarom van groot belang om zo snel mogelijk in actie te komen en te voldoen aan de geldende wetgeving. Maak een cookieverklaring op maat.
Bekijk onze factsheet: Hoe om te gaan met de cookieregels.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.