Ziekenfondsen aan de slag met privacywetgeving: websites worden aangepast

De Vlaamse ziekenfondsen zijn druk bezig hun websites in orde te maken met de privacywetgeving, blijkt uit een rondvraag van VRT NWS. In oktober berichtten we dat het privacybeleid van de meerderheid van de ziekenfondsen niet voldeed aan de wetgeving. Nu de Gegevensbeschermingsautoriteit een boete heeft opgelegd aan een andere website vanwege het cookiebeleid, doen we nogmaals een check.

Eerder dit najaar onderzocht VRT NWS in hoeverre ziekenfondsen zich op hun websites hielden aan de privacywetten. De meerderheid van de websites bleek in strijd met de wetgeving.

Het grootste probleem kwam van cookies, kleine tekstbestandjes met informatie, die op uw computer of telefoon geplaatst worden door een site. Sommige cookies zijn in staat u te volgen op internet, waarbij ze veel informatie verzamelen over uw surfgedrag en voorkeuren.

Om dit soort cookies te mogen plaatsen, moeten websites voldoen aan uitgebreide regelgeving. Dit bleek bij de meerderheid van de ziekenfondsen niet in orde.

Cookiemeldingen waren onduidelijk en derde partijen zoals Google en Facebook konden ongevraagd uw surfgedrag volgen. Op deze manier bouwen adverteerders een profiel van u op, waarmee ze gerichte advertenties kunnen tonen.

Stappen achter de schermen

Op dit moment tonen de websites van de eerder onderzochte ziekenfondsen nog niet veel verandering. Cookiemeldingen zijn nog altijd te beperkt, en derde partijen plaatsen nog steeds zonder toestemming cookies op uw apparaat. 

We deden navraag bij de betrokken ziekenfondsen. Zij meldden ons dat ze achter de schermen wel degelijk stappen hebben gezet en nog gaan zetten.

Zo geven het Onafhankelijk Ziekenfonds, de Christelijke Mutualiteiten en de Socialistische Mutualiteiten aan dat zij een extern bureau hebben ingeschakeld voor een inspectie op het gebied van privacy- en cookiewetgeving. De CM verwacht binnenkort al met deze adviezen aan de slag te kunnen: de andere ziekenfondsen zullen hun websites in 2020 geheel op orde maken.

Het Vlaams en Neutraal Ziekenfonds, één van de ziekenfondsen die de meeste cookies bij gebruikers plaatsten, verwijderde na de eerste berichtgeving van VRT NWS al een groot deel van deze cookies van de site. Algemeen Directeur Jürgen Constandt laat weten dat de website van VNZ nog voor de jaarwisseling zal voldoen aan de privacywetten.

Impliciete toestemming is verleden tijd

In oktober vroegen een aantal ziekenfondsen niet om expliciete toestemming voor het plaatsen van cookies. In plaats daarvan gingen zij ervan uit dat wie de website "bleef gebruiken", akkoord ging met het cookiebeleid. 

De privacywetgeving keurt impliciete toestemming af, zeker als de bezoeker niet goed geïnformeerd is over welke cookies precies geplaatst zullen worden. Alle ziekenfondsen bij wie dit het geval was, waaronder Partena Ziekenfonds, hebben gezegd dit aan te passen.

Ook de Liberale Mutualiteiten, de Landsbond Onafhankelijke Ziekenfondsen en het Neutraal Ziekenfonds Vlaanderen laten in een e-mail weten dat zij bezig zijn hun cookiebeleid te verbeteren. HR Railcare, het ziekenfonds voor spoorwegpersoneel, zegt naar aanleiding van de berichtgeving de Google Analytics-tool van hun website te hebben verwijderd. 

Wie in oktober de website van Symbio, een van de kleinste ziekenfondsen, bezocht, kreeg geen enkele cookiemelding te zien. Volgens de woordvoerder was dit "om interne redenen" geen prioriteit van het bedrijf. Symbio heeft besloten dit alsnog zo snel mogelijk in te stellen.