Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 28 juni 2016
Uw commissie Volksgezondheid, Welzijn en Sport heeft mij verzocht om te reageren op
het bericht van de Autoriteit Persoonsgegevens «dat de ziekenhuiswebsites in strijd
met wet bezoekers via cookies volgen». De aanleiding voor het door Autoriteit Persoonsgegevens
(AP) verrichte onderzoek waren diverse berichten in de media en de Kamervragen over
de constatering dat medische websites gezondheidsgegevens lekken.
Helaas moet ik constateren dat de Autoriteit Persoonsgegevens (AP) concludeert dat
39 van de 85 onderzochte ziekenhuizen zonder toestemming cookies op hun website gebruiken,
wat in strijd is met geldende privacywetgeving. Dat is onrechtmatig en ik betreur
dat ten zeerste. Zoals ik al in eerdere Kamervragen het Kamerlid Dijkstra (Aanhangsel
Handelingen II 2015/16, nr. 1904) over het zelfde onderwerp heb aangegeven is oneigenlijk gebruik van persoonsgegevens
verkregen uit gezondheidssites of apps niet toegestaan en daarmee niet acceptabel.
De regels rond de verwerking van persoonsgegevens zijn duidelijk. Deze zijn vastgelegd
in de Wet bescherming persoonsgegevens (Wbp), waarop de Autoriteit Persoonsgegevens
toeziet.
Wettelijk kader
De verwerking van persoonsgegevens, wat mogelijk het gevolg kan zijn van het plaatsen
en het uitlezen van tracking cookies, valt onder de Wbp. Voor «tracking» cookies,
waarmee het surfgedrag van internetgebruikers kan worden gevolgd, geldt – op basis
van een eerder amendement Van Bemmel/Van Dam – het rechtsvermoeden dat hierbij sprake
is van verwerking van persoonsgegevens. Daar waar cookies worden geplaatst via gezondheidssites
kan zelfs sprake zijn van verwerking van bijzondere persoonsgegevens, wanneer iemands
«zorg-zoekgeschiedenis» – en daarmee potentieel gegevens over iemands gezondheid -naar
derden wordt doorgespeeld. Deze persoonsgegevens mogen in beginsel niet verwerkt worden
zonder uitdrukkelijke toestemming van de persoon om wie het gaat. De plaatser van
tracking cookies, degene van wie de website is, zal dan ook aan de Wbp moeten voldoen,
tenzij hij kan aantonen dat hij géén persoonsgegevens verwerkt.
Specifieke regels voor het gebruik van cookies zijn daarnaast vastgelegd in de Telecommunicatiewet
(Tw). De Autoriteit Consument en Markt (ACM) ziet erop toe dat de cookiebepaling wordt
nageleefd. Ook de zogenaamde cookiebepaling (artikel 11.7a Tw) bepaalt dat voor het
plaatsen en lezen van cookies toestemming nodig is van de gebruiker. Voorwaarde bij
de toestemming is dat de gebruiker duidelijk en volledig is geïnformeerd over waar
hij precies toestemming voor geeft en wat er met de gegevens gebeurt. Het wettelijk
kader is in die zin duidelijk.
Bevindingen Autoriteit Persoonsgegevens
Ik betreur het dan ook dat de Autoriteit Persoonsgegevens onlangs heeft moeten constateren
dat bijna de helft van de onderzochte ziekenhuizen1 zonder toestemming en daarmee in strijd met de geldende privacywetgeving cookies
(laten) plaatsen. Ik sta er dan ook volledig achter dat de AP hier scherp op toeziet.
Tegelijkertijd is het goed dat nu de verantwoordelijken aangesproken en verbeteringen
in gang gezet worden. Ziekenhuizen zijn zelf verantwoordelijk dat hun websites voldoen
aan de geldende wet- en regelgeving en dat de privacy van bezoekers wordt geborgd.
Alleen zo kan de privacy van de bezoeker van de zorgwebsite gewaarborgd worden. Ik
heb inmiddels vernomen dat de Autoriteit Persoonsgegevens 39 van de 85 onderzochte
ziekenhuizen en de brancheorganisaties van de ziekenhuizen NVZ en NFU heeft gewezen
op de overtredingen en eveneens heeft aangegeven over zes weken opnieuw de websites
te zullen controleren. Als dan nog overtredingen worden geconstateerd, worden er maatregelen
genomen, zo waarschuwt de Autoriteit. Ik ga er vanuit dat de ziekenhuizen hun verantwoordelijkheid
nemen en hun websites en cookie-beleid voor die tijd op orde brengen. Tegelijkertijd
verwacht ik dat door dit onderzoek van de AP het bewustzijn voor veiligheid en privacy
in de gehele sector verder groeit. In mijn brieven van 16 maart (Kamerstuk 31 765, nr. 196) en 21 juni (Kamerstuk 31 765, nr. 211) heb ik aangegeven dat ik zelf ook actie onderneem om de privacy van patiënten te
beschermen en ben daarom gestart met een eigen onderzoek naar het gedrag en de cultuur
rond de bescherming van patiëntgegevens waarover ik u voor eind van dit jaar informeer.
Het plaatsen van cookies op zorgwebsites speelt niet alleen bij de ziekenhuizen, maar
binnen de gehele zorgsector. Zoals ik in antwoorden op de eerder genoemde antwoorden
van de Kamervragen van Kamerlid Dijkstra al aangaf ben ik ook met de leden van het
Informatieberaad in gesprek om te kijken welke afspraken er extra nodig zijn om de
privacy van patiënten te beschermen en de informatiebeveiliging van systemen te verhogen.
In de eerstvolgende bijeenkomst van het Informatieberaad (in september) zal ik dit
onderwerp opnieuw agenderen.
De Minister van Volksgezondheid, Welzijn en Sport, E.I. Schippers