mei 06, 2019

Onderzoek AVG onder huisartsen

Praivacy B.V. heeft een steekproef uitgevoerd bij 50 huisartsenprakijken. In deze steekproef is gekeken of de websites van de huisartsenpraktijken voldoen aan de Algemene Verordening Gegevensbescherming (AVG) en de Telecommunicatiewet (Tw). In de afgelopen periode heeft Praivacy B.V. onderzocht aan welke voorwaarden deze websites voldoen en waar nog verbeterpunten liggen.

Gegevensverzameling & de AVG

De AVG is van toepassing op de verwerking van persoonsgegevens. Wat wordt precies verstaan onder een persoonsgegeven? De AVG schrijft voor dat alle informatie die te herleiden is tot een geïdentificeerde of identificeerbare persoon, persoonsgegevens zijn. Denk hierbij aan een naam, adres (of IP-adres), BSN-nummer en medische gegevens. Maar ook de verzameling van interesses en voorkeuren van een persoon op het internet vallen onder dit begrip.

Deze gegevensverzameling op het internet vindt veelal plaats via zogenoemde ‘tracking-cookies’. Een cookie is een klein tekstbestand dat op de harde schijf van de computer wordt geplaatst en informatie kan onthouden over hoe de bezoeker een website gebruikt. Deze tracking cookies hebben tot doel de websitebezoeker over het hele internet te volgen om een zo gedetailleerd mogelijk digitaal profiel op te bouwen. Dit profiel zorgt ervoor dat er gepersonaliseerde advertenties aan de websitebezoeker getoond kunnen worden.

 

“44% van de vijftig onderzochte huisartsenpraktijken maakt gebruik van een vorm van tracking-cookies.”

 

Van de vijftig onderzochte huisartsenpraktijken maken twintig praktijken (44%) gebruik van een vorm van tracking cookies. Volgens de Autoriteit Persoonsgegevens is de enige mogelijke grondslag voor het gebruik van tracking cookies ondubbelzinnige toestemming (artikel 6 lid 1 onder a van de AVG). De toestemming die specifiek op cookies van toepassing is, wordt geregeld in de Telecommunicatiewet (artikel 11.7a lid 1). De Telecommunicatiewet zal in de loop van 2019 worden vervangen door de e-Privacyverordening, waarin toestemming wordt vereist (artikel 8 van het wetsvoorstel e-Privacyverordening) . Daarnaast mogen tracking cookies onder de e-Privacyverordening ook worden geladen indien deze cookies noodzakelijk zijn om een door de websitebezoeker gevraagde dienst uit te voeren. Op websites wordt de toestemming in veel gevallen verkregen door het tonen van een cookiemelding. Via deze melding wordt de gebruiker om toestemming gevraagd. Het is daarbij van belang dat de websitebezoeker een weloverwogen keuze kan maken.

Om ervoor te zorgen dat de websitebezoeker een weloverwogen keuze kan maken, zijn er op basis van de AVG en de Telecommunicatiewet de volgende voorwaarden verbonden aan het verkrijgen van toestemming:

  • De website moet een duidelijke actieve toestemmingshandeling van de websitebezoeker vragen voordat er cookies worden geplaatst;
  • De website moet toegankelijk blijven, zelfs als de websitebezoeker niet toestaat dat er cookies worden geplaatst;
  • De website moet de mogelijkheid bieden om, naar wens van de websitebezoeker, bijvoorbeeld per categorie, cookies in te stellen;
  • Daarnaast dient de toestemming van de websitebezoeker gebaseerd te zijn op duidelijke en volledige informatie. Alle geplaatste cookies moeten worden toegelicht in begrijpelijke taal;
  • De websitebezoeker moet tot slot de mogelijkheid hebben om op een later moment de verleende toestemming, voor het gebruik van cookies, in te trekken of aan te kunnen passen.

Van de 44% van de onderzochte huisartsenpraktijken die gebruik maken van tracking cookies, voldoet er geen enkele website volledig aan de vereisten voor het verkrijgen van toestemming. De tracking cookie die het meeste voorkomt is de NID-cookie van Google, die veelal door de Google Maps-plug-in wordt geladen. Deze cookie registreert de voorkeuren en het gedrag van de gebruiker op de website. Voor het gebruik van dit type cookie is echter wel de toestemming van de gebruiker vereist.

Van de 22 (44%) huisartsenpraktijken die tracking cookies gebruiken, maken er maar 9 melding van het gebruik, tegenover 13 praktijken die daarvan geen melding maken van tracking cookies.

Analytische cookies van Google

Het gebruik van Google Analytics is op een website toegestaan, zonder dat er toestemming gevraagd hoeft te worden aan de websitebezoeker. Dit wil niet zeggen dat er geen voorwaarden zijn verbonden aan het gebruik van Google Analytics. De Autoriteit Persoonsgegevens verbindt verschillende voorwaarden aan het gebruik van Google Analytics:

  • Er moet een verwerkersovereenkomst met Google worden gesloten;
  • Google mag niet, zonder toestemming van de websitebezoeker, het volledige IP-adres verwerken;
  • Het delen van gegevens met Google moet worden uitgeschakeld;
  • bezoeker moet worden geïnformeerd over het gebruik van Google Analytics.

Voor ons is enkel te verifiëren of de website melding maakt van het gebruik van Google Analytics en of het IP-adres wordt gemaskeerd. Als naar de bovenstaande voorwaarden wordt gekeken, maken van de vijftig huisartsenpraktijken er maar liefst 26 gebruik van Google Analytics. Van deze 26 praktijken informeren er maar drie daadwerkelijk over het gebruik van de diensten van Google Analytics in hun privacy- of cookieverklaring, terwijl zij hier wel toe verplicht zijn.

Uit de bevindingen van ons onderzoek blijkt dat veertig (80%) van de onderzochte huisartsenpraktijken op dit moment beschikt over een privacyverklaring. Dit wil echter niet zeggen dat de inhoud van deze privacyverklaringen ook volledig is. Een overgrote meerderheid van de privacyverklaringen gaat enkel in op de gegevensverwerking van patiënten binnen de praktijk en niet op de verwerking van persoonsgegevens via de website. Een groot deel van deze privacyverklaringen zijn dus niet volledig.

Beveiligde verbinding

Veel van de huisartsenpraktijken bieden de mogelijkheid om via de website contact op te nemen met de praktijk. Als een websitebezoeker van deze mogelijkheid gebruikt maakt laat hij of zij persoonsgegevens achter, zoals zijn naam, woonplaats, e-mailadres en telefoonnummer. Daarnaast bestaat er de mogelijkheid dat er nog meer persoonsgegevens worden achtergelaten door middel van het vrije invulveld dat bij het contactformulier wordt aangeboden.

De persoonsgegevens die via deze contactformulieren worden verwerkt, moeten door de eigenaar van de website worden beveiligd (artikel 32 lid 1 van de AVG). Dit is te bereiken door middel van een SSL-certificaat (SSL staat voor Secure Sockets Layer). De Autoriteit Persoonsgegevens adviseert bedrijven om die reden ook om het gegevenstransport te beveiligen door gebruik te maken van een SSL Protocol.

Conclusie

Zoals dit artikel aantoont, blijkt het zelfs voor huisartsenpraktijken moeilijk om aan de regels te voldoen. Door de specialisatie van De Functionaris in het privacyrecht en onze samenwerking met IT’ers die zijn gespecialiseerd in artificial intelligence, zijn wij gezamenlijk tot een oplossing gekomen voor dit probleem. Onder de naam Praivacy bieden we een product aan met:

  • Een aantrekkelijke cookiemelding die voldoet aan de toestemmingseisen van de AVG en die klaar is voor de aanstaande e-Privacyverordening;
  • Een bij uw website passende cookieverklaring;
  • Een op maat gemaakte en door gespecialiseerde juristen gecontroleerde privacyverklaring;
  • Geautomatiseerd beheer van bovenstaande producten. Wijzigt uw website? Dan wijzigt ook uw cookiemelding, de cookieverklaring en/of uw privacyverklaring!
Meer informatie ontvangen of gratis ontdekken of uw website AVG proof is? Mail naar info@praivacy.eu