Medische privacyzorgen over gebruik Google Analytics
Tien procent van de Nederlandse medische en hulpverleningssites meten hun siteverkeer met Google Analytics. Het zoekbedrijf heeft zoveel zicht op gevoelige persoonsgegevens, zoals het IP-adres, van hulpzoekenden dat E-hulp.nl zijn zorgen uit.
"Hebben zorginstellingen überhaupt een online privacybeleid? En wie heeft binnen die instelling toegang tot de gemeten sitegevens, alleen de ICT’er?" Frank Schalken, oprichter van stichting E-hulp.nl, sneed met deze vragen gisteren de discussie in de gezondheidszorg aan over privacy-aspecten bij online dienstverlening.
Schalken was een van de sprekers tijdens het Social Networking Event, georganiseerd door Mijn Kind Online en Digibewust, in de Amsterdamse gelegenheid Panama.
Tijdens de bijeenkomst presenteerde hij een onderzoek onder 3.000 medische en hulpverleningssites. Daaruit bleek dat 10 procent van de onderzochte sites gebruik maakt van het gratis en laagdrempelige meetpakket Google Analytics. Hoewel het gratis is, vindt Schalken de vraag gerechtvaardigd of hulpverleningssites de siteanalyse wel uit moeten besteden.
"Het blijkt dat er 30 gerenommeerde sites zijn die Google Analytics gebruiken. Het betreft onder andere academische ziekenhuizen, GGZ-instellingen en nationale kenniscentra", luidt de conclusie. "Melden die sites aan hun gebruikers dat Google hun persoonsgegevens kent? Moéten die instellingen dat melden?"
Gebruikers van Google Analytics hoeven enkel een Javascript aan hun webpagina’s toe te voegen om exact te zien hoeveel bezoekers hun sites verwerken. De IP-adressen van al die bezoekers zijn in Googles handen, maar wel toegankelijk voor de beheerder van dit site.
Schalken: "Het is net zoiets als om alle zorginstellingen te vragen bij te houden hoeveel bezoekers hun gebouwen binnenkomen, welke folders ze pakken en meenemen en vragen via welke deur ze het pand weer verlaten."
Volgens Sjoera Nas, beleidsmedewerker bij het College Bescherming Persoonsgegevens, onderschrijft Google de Europese privacyrichtlijnen omdat het bedrijf de Safe Harbor Agreement ondertekende. Dat is een verdrag waarmee Amerikaans bedrijven aan kunnen geven de Europese regels te respecteren en toe te passen.
Deel dit bericht
Plaats een reactie
Uw e-mailadres wordt niet op de site getoond
4 Reacties
Timan Rebel
"Melden die sites aan hun gebruikers dat Google hun persoonsgegevens kent?" Zover ik weet wordt een IP adres niet als een persoonsgegeven gezien, omdat er zonder uitzonderlijke omstandigheden geen herleiding naar een persoon is. "De IP-adressen van al die bezoekers zijn in Googles handen, maar wel toegankelijk voor de beheerder van dit site." Met Google Analytics heb je geen toegang tot de individuele IP-adressen. Dit zou wel het geval zijn als er statistiekenprogramma's werden gebruikt die op de servers van de medische sites staan. Ik heb persoonlijk meer vertrouwen dat mijn gegevens bij Google veilig zijn, dan bij een willekeurige website. En dan nog weten ze adv mijn IP adres niets over mij
Sjoerd
De opmerking "Melden die sites aan hun gebruikers dat Google hun persoonsgegevens kent? Moeten die instellingen dat melden?" is nogal naief aangezien je Google kunt vervangen door elke willekeurige partij waar gebruik van wordt gemaakt bij het meten van het website bezoek.Maar ja, Google klinkt nu eenmaal prettiger in de oren (en werkt beter om onnodig paniek te zaaien, want in het land der blinden is..)
Nick Eerhart
IP Adressen zijn weldegelijk persoonsgegevens, echter iedere webserver verzamelt deze gegevens. Ook als er helemaal niet gemeten wordt. De discussie in het artikel beperkt zich tot de rachtvaardigheid over het opslaan van deze gegevens. Deze discussie is dus alleen relevant als je dan ook ter discussie stelt of zorginstellingen wel en webserver mogen hebben met daarop websites. Het geheel lijkt mij dus een non-discussie, omdat je op dit vlak nooit consequent kunt zijn. Veel interessanter is om met elkaar te discussieren over hoe dit soort informatie binnen de zorgorganisaties op de juiste plekken terecht komt.
Timan Rebel
@Nick, hier is inderdaad wel wat discussie over. Het CBP stelt dat iets een persoonsgegeven is als "de identiteit van de persoon redelijkerwijs, zonder onevenredige inspanning, vastgesteld kan worden." Dit is normaliter bij een IP adres niet het geval. Echter: De Registratiekamer is van mening dat een volledig IP-adres in veel gevallen als een persoonsgegeven beschouwd moet worden. ? Een vast IP-adres is met behulp van de Internet Service Provider (ISP) zonder meer, aan de hand van de abonnee administratie, herleidbaar tot de individuele natuurlijke persoon die daarvan de gebruiker is. ? Voor een dynamisch IP-adres geldt hetzelfde. Dit echter op voorwaarde dat bekend is op welk moment het IP-adres gebruikt werd. De ISP legt alle aanlog gegevens vast. Hierbij wordt geregistreerd welk IP-adres, in welke periode, aan welke login-naam werd toegekend. Deze login-naam kan op eenvoudige wijze worden herleid tot een individuele natuurlijke persoon, indien deze daarvan de gebruiker is. (bron: http://www.cbpweb.nl/downloads_uit/z2000-0340.pdf?refer=true&theme=purple ) Bij de discussie rondom gedragsmarketing van De Telegraaf werd gesteld dat het IP adres geen persoonsgegeven was, omdat de gedragsmetingen op een ander systeem werd gelogd (aan de hand van het IP) dan de webserver en dat De Telegraaf geen toegang had tot de gedragsmetingen op basis van het IP adres. In mijn ogen is dit ook het geval met een meting van Google, aangezien men hier ook geen toegang heeft tot individuele IP adressen (correct me if I'm wrong). Het lijkt me interessant om hier een definitef uitsluitsel over te hebben.