Begin deze maand heeft een ziekenhuis in Amerika, de BayCare Clinic in Wisconsin, melding gedaan van een datalek. Die melding is gedaan bij de toezichthouder voor de medische sector en zo hoort het ook volgens de regels van HIPAA. Tot zo ver is er nog geen reden voor bezorgdheid in Nederland.
Dat wordt anders als wordt gekeken naar de omschrijving van het datalek.
BayCare heeft vastgesteld dat op de eigen online omgeving bestemd voor patiënten en bezoekers meerdere tracking pixels aanwezig waren.
Wat een
tracking pixel doet zal de lezer duidelijk zijn. Minder duidelijk is waarom die pixels uitgerekend op dit soort websites staan en waarom dat nu pas duidelijk is geworden. BayCare heeft nog geen goede reden gegeven waarom die pixels er stonden. Dat bevestigt de mening van experts dat die er al heel lang waren. Pas sinds vorig jaar, nadat de hoogste rechters in Washington de uitspraak in de zaak Roe v. Wade, hebben teruggedraaid, zijn medische instellingen opeens gaan kijken naar wat ze bijhouden.
Volgens de eerste schatting waren er in 2022 ruim 2.500 ziekenhuizen en klinieken in Amerika die dergelijk pixels toestaan op de websites. Een aantal van de instellingen heeft die direct en zonder er ruchtbaarheid aan gegeven verwijderd. Anderen doen dat pas na publieke ophef. De derde categorie maakt melding van een datalek.
Zelf aan de bel trekken
BayCare kon ook niet veel anders omdat het aantal personen dat gevolgd was, ruim 3 miljoen (!), ook wel erg groot was. In plaats van een verzamelklacht af te wachten heeft men zelf maar aan de bel getrokken. Dat federale wetgeving komende maand van kracht wordt die het gebruik van dergelijke pixels bij medische instellingen verbiedt heeft ook een rol gespeeld.
Pixels en social media
De link met Nederland is minder vergezocht dan de lezer zal verwachten. Uit de stukken blijkt dat naast de pixels ook de integratie van like buttons (?) en chatopties in strijd zijn met de HIPAA voorschriften. Die pixels bestrijden is betrekkelijk eenvoudig te doen, maar dat loskoppelen van die andere opties? Let wel: het datalek zelf gaat alleen over de pixels, maar de koppeling met social media wordt automatisch bij het onderzoek betrokken, omdat het om deels de zelfde “uitgevers” gaat. Heeft iemand nog recent uitgezocht hoe die koppeling zich verhoudt met
NEN7510 waarmee elk ziekenhuis te maken heeft en de AVG?
