Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 juni 2016

Uw commissie Volksgezondheid, Welzijn en Sport heeft mij verzocht om te reageren op het bericht van de Autoriteit Persoonsgegevens «dat de ziekenhuiswebsites in strijd met wet bezoekers via cookies volgen». De aanleiding voor het door Autoriteit Persoonsgegevens (AP) verrichte onderzoek waren diverse berichten in de media en de Kamervragen over de constatering dat medische websites gezondheidsgegevens lekken.

Helaas moet ik constateren dat de Autoriteit Persoonsgegevens (AP) concludeert dat 39 van de 85 onderzochte ziekenhuizen zonder toestemming cookies op hun website gebruiken, wat in strijd is met geldende privacywetgeving. Dat is onrechtmatig en ik betreur dat ten zeerste. Zoals ik al in eerdere Kamervragen het Kamerlid Dijkstra (Aanhangsel Handelingen II 2015/16, nr. 1904) over het zelfde onderwerp heb aangegeven is oneigenlijk gebruik van persoonsgegevens verkregen uit gezondheidssites of apps niet toegestaan en daarmee niet acceptabel. De regels rond de verwerking van persoonsgegevens zijn duidelijk. Deze zijn vastgelegd in de Wet bescherming persoonsgegevens (Wbp), waarop de Autoriteit Persoonsgegevens toeziet.

Wettelijk kader

De verwerking van persoonsgegevens, wat mogelijk het gevolg kan zijn van het plaatsen en het uitlezen van tracking cookies, valt onder de Wbp. Voor «tracking» cookies, waarmee het surfgedrag van internetgebruikers kan worden gevolgd, geldt – op basis van een eerder amendement Van Bemmel/Van Dam – het rechtsvermoeden dat hierbij sprake is van verwerking van persoonsgegevens. Daar waar cookies worden geplaatst via gezondheidssites kan zelfs sprake zijn van verwerking van bijzondere persoonsgegevens, wanneer iemands «zorg-zoekgeschiedenis» – en daarmee potentieel gegevens over iemands gezondheid -naar derden wordt doorgespeeld. Deze persoonsgegevens mogen in beginsel niet verwerkt worden zonder uitdrukkelijke toestemming van de persoon om wie het gaat. De plaatser van tracking cookies, degene van wie de website is, zal dan ook aan de Wbp moeten voldoen, tenzij hij kan aantonen dat hij géén persoonsgegevens verwerkt.

Specifieke regels voor het gebruik van cookies zijn daarnaast vastgelegd in de Telecommunicatiewet (Tw). De Autoriteit Consument en Markt (ACM) ziet erop toe dat de cookiebepaling wordt nageleefd. Ook de zogenaamde cookiebepaling (artikel 11.7a Tw) bepaalt dat voor het plaatsen en lezen van cookies toestemming nodig is van de gebruiker. Voorwaarde bij de toestemming is dat de gebruiker duidelijk en volledig is geïnformeerd over waar hij precies toestemming voor geeft en wat er met de gegevens gebeurt. Het wettelijk kader is in die zin duidelijk.

Bevindingen Autoriteit Persoonsgegevens

Ik betreur het dan ook dat de Autoriteit Persoonsgegevens onlangs heeft moeten constateren dat bijna de helft van de onderzochte ziekenhuizen1 zonder toestemming en daarmee in strijd met de geldende privacywetgeving cookies (laten) plaatsen. Ik sta er dan ook volledig achter dat de AP hier scherp op toeziet. Tegelijkertijd is het goed dat nu de verantwoordelijken aangesproken en verbeteringen in gang gezet worden. Ziekenhuizen zijn zelf verantwoordelijk dat hun websites voldoen aan de geldende wet- en regelgeving en dat de privacy van bezoekers wordt geborgd. Alleen zo kan de privacy van de bezoeker van de zorgwebsite gewaarborgd worden. Ik heb inmiddels vernomen dat de Autoriteit Persoonsgegevens 39 van de 85 onderzochte ziekenhuizen en de brancheorganisaties van de ziekenhuizen NVZ en NFU heeft gewezen op de overtredingen en eveneens heeft aangegeven over zes weken opnieuw de websites te zullen controleren. Als dan nog overtredingen worden geconstateerd, worden er maatregelen genomen, zo waarschuwt de Autoriteit. Ik ga er vanuit dat de ziekenhuizen hun verantwoordelijkheid nemen en hun websites en cookie-beleid voor die tijd op orde brengen. Tegelijkertijd verwacht ik dat door dit onderzoek van de AP het bewustzijn voor veiligheid en privacy in de gehele sector verder groeit. In mijn brieven van 16 maart (Kamerstuk 31 765, nr. 196) en 21 juni (Kamerstuk 31 765, nr. 211) heb ik aangegeven dat ik zelf ook actie onderneem om de privacy van patiënten te beschermen en ben daarom gestart met een eigen onderzoek naar het gedrag en de cultuur rond de bescherming van patiëntgegevens waarover ik u voor eind van dit jaar informeer.

Het plaatsen van cookies op zorgwebsites speelt niet alleen bij de ziekenhuizen, maar binnen de gehele zorgsector. Zoals ik in antwoorden op de eerder genoemde antwoorden van de Kamervragen van Kamerlid Dijkstra al aangaf ben ik ook met de leden van het Informatieberaad in gesprek om te kijken welke afspraken er extra nodig zijn om de privacy van patiënten te beschermen en de informatiebeveiliging van systemen te verhogen. In de eerstvolgende bijeenkomst van het Informatieberaad (in september) zal ik dit onderwerp opnieuw agenderen.

De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers