De Autoriteit Persoonsgegevens heeft dit jaar speciale aandacht voor de omgang met persoonsgegevens door ziekenhuizen. Dit blijkt ook wel uit de diverse onderzoeken die de Autoriteit Persoonsgegevens al heeft verricht dit jaar ten aanzien van het privacybeleid van ziekenhuizen. Eerder onderzoek toonde aan dat veel ziekenhuizen bijvoorbeeld nog geen wettelijk verplichte bewerkersovereenkomst hebben afgesloten. In een nieuw onderzoek is naar voren gekomen dat veel ziekenhuizen de cookiewetgeving schenden. Van de 85 onderzochte ziekenhuizen voldoen er 39 niet aan de eisen die de cookiewet stelt aan het plaatsen van cookies bij bezoekers van de ziekenhuiswebsite.
Cookiewetgeving
Een cookie is niets meer dan een tekstbestandje dat op de computer van de internetter wordt geplaatst. Er zijn verschillende soorten cookies die voor verschillende doeleinden ingezet kunnen worden. Cookies die de privacy van een internetter niet in gevaar brengen, zoals analytische cookies, mogen onder sommige omstandigheden geplaatst worden zonder toestemming van de internetter.
Met een tracking cookie kan bijvoorbeeld het surfgedrag van de internetter bijgehouden worden, waardoor de internetter een gepersonaliseerde advertentie op maat getoond kan krijgen. Voor het plaatsen van tracking cookies is altijd toestemming nodig van de internetter voordat er cookies worden geplaatst.
Veel ziekenhuizen gaan hiermee in de fout. Zij plaatsen tracking cookies op de computer van de internetter, zonder dat hiervoor de vereiste toestemming is verkregen. Ziekenhuizen moet hierbij er rekening mee houden dat zij medische persoonsgegevens verwerken door het plaatsen van tracking cookies. Als een internetter de pagina van een cardioloog bezoekt op de ziekenhuiswebsite, dan kan dit iets zeggen over de gezondheid van de internetter. Het is daarom van belang om voor het gebruik van dergelijke cookies nadrukkelijke toestemming van de internetter te krijgen.
Hoe kan een ziekenhuis toestemming vragen voor cookies?
Om in overeenstemming met de cookiewetgeving te handelen is het van belang om te inventariseren welke cookies worden gebruikt op de ziekenhuiswebsite. Wat voor cookies zijn dit en met welke doeleinden worden deze geplaatst? Op basis van deze inventarisatie dient er beslist te worden of er toestemming van de internetter nodig is voor het gebruik van cookies.
Daarnaast is het van belang om in de privacyverklaring van de website op te nemen of er cookies worden geplaatst, welke cookies dit betreffen en wat er verder met de verwerkte gegevens gedaan kan worden. Een ziekenhuis is wettelijk verplicht om informatie te geven over de gegevensverwerking.
Een juiste manier van toestemming vragen zou er bijvoorbeeld zo uit kunnen zien:
- Stap 1: Toon een duidelijke cookieverklaring pop-up bij het eerste bezoek
- Stap 2: Geef uitleg over cookie-instellingen en mogelijkheid dit aan te passen
- Stap 3: Vraag uitdrukkelijk toestemming van de internetter door op een akkoordknop te drukken
Kom in actie ziekenhuizen en pas jullie cookieverklaring aan!
De Autoriteit Persoonsgegevens heeft aangekondigd over 6 weken een nieuwe controle uit te voeren bij de ziekenhuizen op het gebruik van cookies. Als er dan nog misstanden worden geconstateerd, dan kunnen ze overgaan tot bijvoorbeeld publicatie van de misstanden en het uitdelen van hoge boetes. Het is mede daarom van groot belang om zo snel mogelijk in actie te komen en te voldoen aan de geldende wetgeving. Maak een cookieverklaring op maat.
Wilt u meer weten over cookiewetgeving?
Bekijk onze factsheet: Hoe om te gaan met de cookieregels.
Training ICT en gezondheidsrecht
