Video player inladen...

Vlaamse ziekenfondsen verspreiden uw surfgedrag, ook als u dat niet wil

Vlaamse ziekenfondsen nemen het niet zo nauw met uw privacy, zo blijkt uit onderzoek van VRT NWS.  Vier op de vijf mutualiteiten delen informatie over uw surfgedrag met adverteerders, die u op het internet blijven volgen en een profiel van u opbouwen. De ziekenfondsen zijn hier totaal niet transparant over, wat in strijd is met de Europese privacywetten. Adverteerders weten precies wanneer u informatie opzoekt over bijvoorbeeld uw mentale gezondheid. Ze gebruiken deze informatie vervolgens om u gepersonaliseerde advertenties te tonen en uw gedrag te beïnvloeden.

Stel u voor dat u zich al een tijdje somber voelt. U zoekt via Google naar informatie en komt terecht op de website van een ziekenfonds. Daar leest u meer over de symptomen die u heeft – misschien kunt u wel een online testje invullen om te zien of u lijdt aan een medische aandoening.

Ondertussen krijgen adverteerders via het ziekenfonds toegang tot uw surfgedrag. Ze plaatsen cookies, kleine tekstbestandjes, op uw computer of telefoon. Die cookies kunnen u herkennen en u gaan volgen op het internet.

Ook als u de website van het ziekenfonds hebt verlaten, weten deze adverteerders u te vinden. De komende maanden tot zelfs jaren slaan ze uw surfgedrag en interesses op en creëren zo een profiel van u dat ze kunnen gebruiken om u gepersonaliseerde advertenties te tonen en u te verleiden hun producten te kopen.

Het ziekenfonds meldt niets over deze advertentiecookies. U hebt ook nergens de mogelijkheid ze te weigeren, of in te zien wat ze met uw informatie doen.

Dit mag niet – maar het is geen verzonnen scenario. Op dit moment voldoet de meerderheid van de Vlaamse ziekenfondsen niet aan de Europese privacywetgeving.

(Lees verder onder de Journaalreportage)

Video player inladen...

Wat zegt de wet?

Die wet stelt dat alle websites die persoonsgegevens verwerken – dat zijn gegevens die u kunnen identificeren, zoals naam en telefoonnummer, maar ook IP-adres en rekeningnummer – hun gebruikers moeten laten weten welke informatie zij van hen opslaan en wat ze daarmee doen.

In sommige gevallen, bijvoorbeeld wanneer de informatie bestemd is voor (indirecte) marketingdoeleinden, moeten gebruikers eerst toestemming geven voor de verwerking.

Als het om medische informatie gaat, zijn de wetten nog strenger. Dit valt namelijk onder gevoelige persoonsgegevens, net als bijvoorbeeld ras, geloofsovertuiging of politieke voorkeur. Wie deze informatie in handen krijgt, kan dit gebruiken om te discrimineren, of erger.

Websites die medische gegevens verwerken  - hier gaat het bijvoorbeeld ook al over gegevens over je lengte en gewicht - moeten dus extra voorzichtig zijn: de gebruiker moet expliciet toestemming geven voor deze verwerking.

Ziekenfondsen houden zich niet aan de privacyregels

De onderzochte ziekenfondsen houden zich op meerdere punten niet aan de privacyregels. Hierdoor lopen nietsvermoedende websitegebruikers het risico dat hun (medische) persoonsgegevens in handen komen van adverteerders.

Onder de huidige privacywetten moeten cookiemeldingen helder informeren welke cookies een website gebruikt, en waarom. Zo bent u meteen op de hoogte en kunt u besluiten of u de cookies wil toestaan.

Maar de ziekenfondsen zijn totaal niet transparant over hun cookiebeleid. Wie bijvoorbeeld naar de website van de Socialistische Mutualiteit van Brabant (FSMB) surft, ziet het volgende:

U heeft dan de mogelijkheid meer informatie te krijgen via een link, of op een knop te drukken om de banner niet meer te tonen.

Een cookiemelding zoals deze is in strijd met de privacyregels: de melding geeft geen duidelijke informatie over welke cookies de website gebruikt en geeft de bezoeker geen optie bepaalde cookies, zoals advertentiecookies, te weigeren.

Een ander voorbeeld is de melding van de Christelijke Mutualiteiten. Die schrijven: 

Dit valt onder impliciete toestemming, iets wat alleen is toegestaan als u op dat moment al duidelijk geïnformeerd bent over de cookies op de site. Vermelden dat de websites cookies gebruikt, is niet helder.

Ook bij Partena Ziekenfonds, de Liberale Mutualiteiten en de Socialistische Mutualiteiten geven bezoekers impliciete toestemming als zij de website ‘blijven gebruiken’.

Geen enkele cookiemelding van de onderzochte ziekenfondsen voldeed aan de regels. De Hulpkas en de Landsbond van Neutrale Ziekenfondsen hebben geen cookiemelding, maar plaatsen ook geen cookies van derde partijen. 

Vergelijk het met een vreemde die meekijkt over uw schouder

Het privacy-risico is hoog: vergelijk het met een volslagen vreemde die constant over uw schouder meekijkt om te zien wat u allemaal doet, en u aanspoort om producten te kopen die volgens hem bij u passen. Die persoon weet alles van u, maar u niks van hem. De kans is bovendien reëel dat hij uw informatie ook nog doorverkoopt aan zijn vrienden.

Die vrienden houden u dan net zo lang in de gaten tot ze precies weten waar u van houdt, dat u veel stressklachten heeft en op vakantie wil. Dan bestoken ze u met aanbiedingen voor goedkope vakanties en proeflessen yoga. Waar u ook gaat, ze blijven u achtervolgen.

Dit is hoe tracking cookies werken. De onderzochte ziekenfondsen plaatsen deze cookies van adverteerders zonder dat met u te delen. Wie alle pagina’s van de ziekenfondsen één keer bekijkt, wordt daarna gevolgd door meer dan 120 verschillende trackers.

De Liberale Mutualiteiten en het Vlaams & Neutraal Ziekenfonds zijn wat dat betreft de slechtste leerlingen van de klas. 

“Ik vind het frappant dat mensen hier niet van wakker liggen”

Op dit moment nemen de ziekenfondsen het dus niet zo nauw met uw privacy. Ze staan toe dat externe partijen kunnen meekijken met uw surfgedrag, zonder dat zij daarvoor toestemming vragen of u zelfs maar daarvan op de hoogte brengen.

Ook wat u opzoekt en deelt aan medische informatie is daardoor niet in veilige handen. Zelfs als de adverteerders niet rechtstreeks kunnen zien wat u invult, weten zij wel naar welke URL u surft en krijgen ze genoeg informatie over de software die u gebruikt om u alsnog te kunnen onderscheiden van andere gebruikers.

“Ik vind het frappant hoe weinig mensen hiervan wakker liggen,” zegt Magali Feys, advocaat gespecialiseerd in privacy- en ICT-recht. “Mensen leven in de illusie dat ze niks te verbergen hebben. Je doet misschien geen foute dingen, maar je data zijn wel heel veel waard voor bedrijven en overheden, zeker in combinatie met andere gegevens.” 

Wat kan je doen om dit te vermijden?

Feys raadt iedereen die zich zorgen maakt om zijn privacy aan om cookiemeldingen bewust te lezen en cookies uit te schakelen. In de cookiepolicy kan je lezen hoe je bepaalde cookies moet afzetten. Vind je dat daar niet, dan kan een eenvoudige zoekopdracht op Google je al veel leren rond het afzetten van bepaalde cookies.

Een nieuwe Europese privacywet (de ePrivacy verordening) die één van de komende jaren van kracht wordt, regelt dat gebruikers voortaan via hun browserinstellingen kunnen aangeven welke cookies ze wel of niet willen zien. Dit zou de noodzaak van de vaak irritante cookiemeldingen wegnemen.

De wet is echter nog niet door het Europees Parlement. Het Europese Hof van Justitie bevestigde vorige week in een uitspraak dat websites verplicht zijn duidelijke cookiemeldingen te maken, die expliciet toestemming vragen.

Dat betekent, zegt Feys, dat de verantwoordelijkheid voor het naleven van de wetten nog altijd bij bedrijven ligt: “Zij moeten transparanter zijn en beter communiceren.”

CM-ziekenfonds: "Wij gebruiken informatie enkel vanuit CM naar leden"

Het ziekenfonds van de Christelijke Mutualiteit (CM) is er zich van bewust dat het gevoelige persoonsgegevens verwerkt, maar beseft ook dat het huidige cookiebeleid niet volledig op punt staat en dus nog verbeterd moet worden. "Een intern privacyteam heeft een lijst van acties opgesteld, om de problematiek af te dekken," zegt Stefan Van Gansbeke, verantwoordelijk voor de gegevensbescherming bij de CM in "De Ochtend" op Radio 1. "De techniciteit is soms wel groter dan enkel een pop-up te voorzien met sliders. Dat moet doordacht uitgevoerd worden." 

Wat kan er concreet dan beter? "Bijvoorbeeld de actieve handeling," zegt Van Gansbeke. "Dat moet ervoor zorgen dat de surfer bewust een handeling uitvoert om een cookie te aanvaarden. Bij ons hebben we dat gecombineerd met twee elementen, om het gebruiksgemak te verhogen. Die overweging maken is niet altijd evident."

We gaan het cookiebeleid nog verbeteren

Stefan Van Gansbeke, verantwoordelijk voor gegevensbescherming bij CM

Maar het CM-ziekenfonds zegt ook formeel dat het geen informatie doorspeelt aan adverteerders. "Wij maken bewust geen gebruik van medische informatie, omdat dat wettelijk niet toegestaan is. De informatie die we door de CM verzamelen, gebruiken we enkel gericht naar onze leden."

Ook het Vlaams & Neutraal Ziekenfonds (VNZ) wijst er in een reactie op dat het geen enkel verzameld gegeven aan een derde partij heeft doorgegeven of verkocht. "Na een intensief onderzoek hebben we de tracking tool ‘Mediamath’ ontdekt dat vanuit zijn origine veel cookies aanmaakt," zegt algemeen directeur Jürgen Constandt. "Dit werd jaren geleden geïmplementeerd door een externe partij waarmee de samenwerking reeds geruime tijd werd stopgezet."

"Dit had blijkbaar tot gevolg dat cookies van externe partijen, met name adverteerders, ingeladen werden zonder dat hiervan melding werd gemaakt of toestemming voor werd gegeven. Dankzij het onderzoek van de VRT is deze tool ontdekt en hebben we dit meteen verwijderd. Het VNZ zal dit verder onderzoeken, maar wil toch al uitdrukkelijk stellen dat er op geen enkel moment sprake is geweest van een datalek van gevoelige persoonsgegevens."

De Onafhankelijke Ziekenfondsen benadrukken dat ze rekening hebben gehouden met de GDPR-wetgeving door een beheertool voor cookies te plaatsen op hun site (die gebruikers kunnen aanvaarden of weigeren) én ook door een gedetailleerde privacypolicy op www.mloz.be te plaatsen.

Tot slot reageert Partena Ziekenfonds bij monde van woordvoerder Sarah Masschelein dat Partena onder geen beding medische gegevens doorspeelt aan derde partijen, ook niet via cookies op de website. "We gaan continu na of er nog zaken moeten worden aangepast en zullen niet aarzelen dit te doen indien blijkt dat wij op bepaalde aspecten niet compliant zijn."

Beluister hier het gesprek uit "De Ochtend" op Radio 1: