Data: het nieuwe goud II

Colofon

Samenstelling en regie: Sander Rietveld
Research: Simone Tangelder
Eindredactie: Manon Blaas

Camera: Jeroen van der Drift
Montage: Lennart Reijnders
Graphics: Bas Swelheim

Gasten
 

F. Borgesius

Privacy onderzoeker UVA


 
 
 

P. Dixon

Privacy onderzoeker

 
 
 

B. Jacobs

Hoogleraar computerveiligheid

 
 
 

S. Klous

Hoogleraar Big data
 
 
 

J. Kohnstamm

CPB

 
 

A. Soltani

Hoofd technologie FTC

 
 
 

D. Tokmetzis

Onderzoeksjournalist

 
 
 

D. Vladeck

Voormalig directeur FTC
 

 

Transcriptie

00.00.18

[caption]

Zembla

 

voice-over

Apps waarmee we kunnen meten hoe gezond we zijn. Er zijn er duizenden van. Je bloeddruk, hartslag of stressniveau bijhouden, het kan allemaal met een smartphone.

 

Voorzitter

“Even het woord aan de minister voor haar beantwoording.”

 

Schippers

“Ja voorzitter, slechte…”

 

voice-over

Minister Schippers juicht toe dat we zelf onze gezondheid in de gaten houden. Want die informatie kan gedeeld worden met een arts en zo wil de minister de stijgende zorgkosten terugdringen.  

 

Schippers

“De technologie gaat ontzettend snel en daar moeten we gebruik van maken.”

 

voice-over

En dan zijn er nog talloze websites met informatie over kanker, psychische aandoeningen en andere ziekten. Die worden dagelijks door duizenden bezoekers geraadpleegd. Vorige week liet Zembla zien hoe datahandelaren ons gedrag op internet nauwlettend volgen. Iedere muisklik wordt vastgelegd. Ze maken profielen van miljarden mensen door zoveel mogelijk persoonlijke informatie over ons op te slaan, te kopen en verkopen. Ook onze medische gegevens blijken waardevol.

 

Kohnstamm

Het is het nieuwe goud in deze wereld.

 

Dixon

Mensen met zeer zeldzame en ongeneeslijke ziekten staan op een lijst.

 

Man

Ja ik vind dat heel erg. Ik vind dat heel erg. Vooral ook omdat veel mensen zich niet bewust zijn van het feit dat ze hierop geprofileerd worden.

00.01.42

voice-over

Zembla onderzoekt wie onze medische geheimen kennen en wat er met die informatie gebeurt.

 

[caption]

Data, het nieuwe goud, deel 2

 

Mol

Dit is een tandenborstel die heeft bluetooth. Daarmee staat ‘ie in contact met mijn telefoon, smartphone. En ik heb hier ook een appje, daarmee kan ik tandenpoetsen en kan ik ervoor zorgen dat ik wel weet hoe ik moet tandenpoetsen.

 

[caption]

Mol

B. Mol

Ja op deze manier krijg je feedback van goh, moet je wat langer in de ene hoek, moet je wat langer in de andere hoek.

 

voice-over

Een tandenborstel die verbonden is met je mobiele telefoon. Bart Mol hoort bi je groeiende groep Nederlanders die gebruikmaken van smartphone apps om hun eigen gedrag en gezondheid te meten.

 

Mol

Want hij geeft nu rood aan, dus dat betekent dat ik niet op de goeie plek zit.

 

Int.

Mm

 

Mol

Ja. En bij groen doe ik het beter. Ja. Ik vind ’t eigenlijk nog best lastig.  Waarom ik ‘m eigenlijk heb gekocht is omdat ik gewoon wilde experimenteren met tandenborstels en bluetooth, hoe dat zit. Ik ben zelf eigenlijk best wel een gadgetfreak.

 

Klous

Mensen zijn voortdurend aan het meten van eten we wel gezond, apps op je mobiele telefoon die meten hoe je hardloopt. Je slaapritme wordt gemeten.

 

voice-over

Hoogleraar Sander Klous geldt internationaal als data-expert. Door grote hoeveelheden gegevens te analyseren, kan Klous met zijn computersysteem het gedrag van mensen voorspellen.

 

[caption]

Klous

S. Klous, hoogleraar Big Data

De gezondheidszorg is een van de vlakken waar je enorme ontwikkelingen ziet. Daar wordt ontzettend veel data verzameld. En dan wordt natuurlijk geprobeerd om te kijken, kunnen we voorspellen wanner iemand ziek wordt. Dus dan ben je niet meer bezig met zorgen dat je beter wordt, dan ben je bezig met zorgen dat je niet ziek wordt.

 

Mol

Dit is niet echt een gewone weegschaal. Hij meet verschillende dingen. Hij geeft in dit geval ook aan, dat mijn vetpercentage 15% is.

 

Int.

Maar ook bijvoorbeeld je hartslag.

 

Mol

De eerste keren moet je ‘m eigenlijk registreren tussen  de weegschaal en je telefoon. Dus ja dan heb je eigenlijk heel veel verschillende ehm… eh gegevens die hij uitmeet. Die zet ‘ie allemaal in je telefoon en in dit geval vond ik dat wel leuk, een weegschaal die verbonden is met Wifi. Kan je weer dingen uit terugzien.

 

[caption]

Mol

B. Mol

Ook bijvoorbeeld of je aankomt of dat je juist afvalt.

 

[caption]

Schippers

Bron: Raad voor Volksgezondheid en Samenleving

“Ik geloof in de kracht van innovatie. Laten we die kracht in goede banen leiden.”

00.04.02

voice-over

Minister Schippers van Volksgezondheid vindt dti een positieve ontwikkeling. Consumenten die zelf bijhouden hoe het met hun gezondheid gaat. Informatie die heel gemakkelijk met een arts kan worden gedeeld.

 

Schippers

“Wat kan deze technologie allemaal wel niet betekenen voor onze gezondheidszorg.”

 

voice-over

In april van dit jaar neemt Schippers een belangrijk adviesrapport over gezondheidsapps in ontvangst. Daarbij wordt  dit filmpje gepubliceerd.

 

Schippers

“Zodat nieuwe technologie bijdraagt aan zelfredzaamheid, aan preventie, aan de kwaliteiten betaalbaarheid van de zorg.”

 

voice-over

Niet alleen de overheid, ook de zorgverzekeraars zijn enthousiast. In oktober brengt verzekeraar ONVZ een speciale app op de markt, zo zien we. Die app meet je emotionele stemming en je energieniveau.

 

[caption]

Stem

Bron: ONVZ

“Die energy-app, het woord zegt het al, die meet je energie. En dat is belangrijk zodat je op ieder moment van de dag inzicht hebt in hoe je ervoor staat en hoe je prestaties zijn.

 

voice-over

Die informatie wordt ook opgeslagen door de verzekeraar, lezen we in de privacy verklaring bij de app. ONVZ zegt de data niet te koppelen aan persoonsgegevens van de gebruikers.

 

[caption]

Klous

S. Klous, hoogleraar Big Data

Ik denk dat er twee manieren zijn waarop verzekeraars met die data nuttige dingen kunnen doen. Als je het nog niet aan personen koppelt, dan is he natuurlijk interessante informatie voor trends en dergelijke. Maar op het moment dat je het wel aan personen koppelt, dan kun je veel beter je risico inschatting maken en in sommige gevallen kun je premiestellingen gaan aanpassen.

 

voice-over

Zorgpremies aanpassen op basis van onze persoonlijke gegevens mag niet in Nederland. Maar verzekeraars kunnen ook op een andere manier hun risico’s verlagen, door op zoek te gaan naar goedkope klanten. Gezonde klanten dus. Vorig jaar liet Zembla zien dat zorgverzekeraars deze truc toepasten. Door vooral jonge mensen en hoogopgeleide groepen te benaderen krijgen ze meer gezonde klanten binnen. Jonge mensen worden verleid met kekke pakketten, gratis condooms en hele lage premies.

 

[caption]

Stem

Zembla, 6 november 2014

“Gewoon, omdat ik niet veel wil betalen voor zorg die ik niet gebruik.”

 

[caption]

Klink

A. Klink, Raad van Bestuur VGZ

“Je zou inderdaad kunnen zeggen van, hier gaat u mee over de schreef, als wij zouden zeggen: dit is alleen maar voor jonge mensen. Iedereen kan hiervoor kiezen.”

 

Int.

“Iedereen kan er voor kiezen, maar alleen de jonge mensen, ik bedoel als ik aan u vraag hoeveel oude mensen hebben een Zeker-polis?”

 

Klink

“Nee, dat is heel jammer dat ze dat niet doen want dat zouden ze eigenlijk wel moeten doen.”

 

voice-over

Maar hoe vind je de klanten die je wilt binnenhalen? Daarvoor heb je hun persoonsgegevens nodig. Zo koopt verzekeraar Promovendum in 2014 1,4 miljoen adressen van hoog opgeleide Nederlanders bij datahandelaar Cendris.

 

Stem

“Geen zorgen, Promovendum.nl”

 

voice-over

Hoog opgeleide klanten zijn gezonder en dus goedkoper. Minister Schippers liet vorig jaar aan Zembla weten deze risicoselectie onwenselijk te vinden.

 

Int.

Wat is het gevaar van risicoselectie?

 

[caption]

Schippers

E. Schippers, Minister van Volksgezondheid

Dat het systeem mensen gaat uitsluiten die hoge zorgkosten hebben.

 

voice-over

Inmiddels heeft Schippers een aantal maatregelen genomen dat het voor  verzekeraars minder aantrekkelijk maakt om zich met hun marketing alleen op gezonde klanten te richten.

 

Schippers

“Omdat risicoselectie niet past bij ons solidaire ziektekostensysteem, waarbij iedere klant even belangrijk moet zijn, of je nou een chronische ziekte hebt, of je nou oud bent of dat je jong en gezond bent.”

00.07.29

voice-over

Maar zorgverzekeraars satan onder druk. Want door strengere Europese eisen moeten ze meer geld in kas houden voor zieke en dus dure klanten. Het selecteren van jonge gezonde klanten blijft daardoor nog steeds aantrekkelijk, zeggen verzekeraars. Volgens de gedragscode van de verzekeringsmaatschappijen  mogen ze de persoonsgegevens van potentiële klanten kopen. De leveranciers zijn vaak datahandelaren. Vorige week lieten we zien hoe die datahandelaren aan onze gegevens komen.

00.08.00

[caption]

Vladeck

D. Vladeck, voormalig directeur FTC

Op internet is tegenwoordig heel gemakkelijk te vinden wat de meesten van ons de meeste tijd doen. Datahandelaren proberen die data te verzamelen en krijgen zo een steeds duidelijker beeld van wie je bent, welk geloof je aanhangt, wat je seksuele geaardheid is, noem maar op.  

 

[caption]

Borgesius

F. Borgesius, privacy onderzoeker UVA

Bijna ieder websitebezoek wat je doet wordt vastgelegd door allerlei marketingpartijen.

 

voice-over

Databedrijven volgen ons op internet. Dat zien we als we een speciaal programma installeren, ghostery. Daarmee wordt zichtbaar welke bedrijven over onze schouder meekijken als we een bepaalde website bezoeken. En alles wordt vastgelegd.

 

Int.

Op basis van die informatie ontstaat er een profiel.

 

Soltani

Soms is ’t alleen gelinkt aan een computer, soms aan een persoon, soms aan iemands volledige naam.

 

voice-over

De meeste bedrijven die ons internetgedrag volgen, komen uit de Verenigde Staten. Dat is geen toeval. In Amerika mogen datahandelaren heel vel gevoelige persoonsgegevens opslaan. Zelfs zonder toestemming van consumenten.

 

[caption]

Dixon

G-Span 2, 18 December 2013

“Datahandelaren gaan onbelemmerd en schaamteloos te werk.”

 

voice-over

Een speciale onderzoekscommissie van de Senaat probeert in 2013 de datahandel bloot te leggen. Privacy onderzoekster Pam Dixon legt een getuigenis af in de hoorzitting.

 

Dixon

“Ze verkopen elke mogelijke informatie over wie dan ook, ook gevoelige informatie, voor 7,9 dollarcent per naam. Dat is de prijs van een lijst met verkrachtingsslachtoffers die onlangs is verkocht.”

 

voice-over

Uit onderzoek van Dixon blijkt dat in de Verenigde Staten op grote schaal wordt gehandeld in medische gegevens.

 

[caption]

Dixon

P. Dixon, privacy onderzoekster

Er zijn lijsten van medische aandoeningen die heel vertrouwelijk zijn. Mensen met zeer zeldzame en ongeneeslijke ziekten staan op ene lijst. Met hun officiële naam. Met hun privéadres, waar ze wonen. Met hun kinderen. Met hun jaarinkomen. Hun telefoonnummer, hun e-mailadres. Privé-informatie. Ik begrijp niet waarom het normaal gevonden wordt dat die informatie over mensen wordt verkocht.

 

[caption]

Soltani

A. Soltani, hoofd technologie FTC

Zo zijn er bijvoorbeeld lijsten van gokverslaafden. Ik kan het casino laten weten dat ik verslaafd ben en dat ze me niet binnen moeten laten. Maar het komt voor dat ze die informatie aan andere casino’s verkopen en dat die andere casino’s jou naar ze toe lokken: als je bij ons komt, betalen wij je eerste honderd dollar verlies. Dat is wreed en verkeerd. Je speelt in op iemands zwakheden.

00.11.07

voice-over

Askan Soltani is de belangrijkste digitale expert van de Federal Trade Commission, de Amerikaanse consumentenautoriteit. Hij onderzoekt de digitale handel in persoonsgegevens. Ook de handel in medische data.

 

[caption]

Soltani

A. Soltani, hoofd technologie FTC

Datahandelaren bewandelen een omweg. ’Let je op je eten, je gezondheid, ben je actief?’  Datahandelaren hoeden zich ervoor om niet rechtstreeks te refereren aan seksuele of gezondheids-gerelateerde informatie.  Want dat is eng. Maar ze richten zich wel op je levensstijl.

 

[caption]

Dixon

P. Dixon, privacy onderzoekster

Je kan op internet lijsten kopen met Europeanen. Als mensen daar achteraan gaan, denk ik dat er strenger toezicht komt op datahandelaren.  Ik hoop dat dat gaat gebeuren want het loopt uit de hand.

 

voice-over

We willen weten of er in de Verenigde Staten ook lijsten te koop zijn met gezondheidsgegevens van Nederlanders. We bellen met een Amerikaanse datahandelaar, Exact Data. We vragen of we zo’n lijst met medische gegevens kunnen kopen.

 

[caption]

Stem

Exact Data

We kunnen medische informatie verkrijgen, maar dat zijn de gevoeligste data.

 

Int.

U bedoelt medische informatie over Nederlanders.

 

Stem

Ja.

 

voice-over

Het is dus mogelijk om medische informatie over Nederlanders te krijgen, zegt deze datahandelaar. We zoeken verder op internet en dan stuiten we op deze speciale website met 60.000 adreslijsten van verschillende handelaren.  Ook Exact Data biedt hier lijsten aan. We vinden lijsten met Europeanen die natuurgeneesmiddelen gebruiken. Deelnemers aan cursussen tegen stress. En mensen die een afvalprogramma volgen. We vragen Exact Data om lijsten met alleen Nederlanders. Die kunnen we kopen. 2800 gebruikers van natuurgeneesmiddelen. 21.000 Nederlanders die een anti stress cursus volgen en 23.000 Nederlanders die willen afvallen. De kosten: 350 dollar voor 1000 namen. 35 cent per Nederlander.

00.13.16

Borgesius

Ik vind het vrij schokkend.

 

voice-over

Frederik Borgesius is privacy jurist aan de Universiteit van Amsterdam. Hij doet onderzoek naar de wettelijke bescherming van persoonsgegevens.

 

Int.

Zouden dat  soort lijstjes in Nederland verkocht mogen worden?

 

[caption]

Borgesius

F. Borgesius, privacy onderzoeker UVA

Nee tenzij, maar dat is nogal hypothetisch, dat die, dat al die mensen toestemming gegeven zouden hebben om die gevoelige gegevens voor direct marketing te gebruiken.

 

Int.

Hoe komt u aan die namen?

 

[caption]

Stem

Exact Data

Op verschillende manieren. Sommige zijn vrijwillig vrijgegeven en andere via aankoopgeschiedenis. Met internationale data ligt het ingewikkelder. Als basis daarvoor hanteren we dezelfde werkwijze als in de VS, gericht op internationale bedrijven die aankoopgeschiedenissen bijhouden en demografische gegevens van klanten. En die kopen wij.

 

Int.

Als jij je tanden aan het poetsen bent dan slaat jouw app op hoe je dat doet.

 

Mol

Ja.

 

Int.

Is er wel iets van een privacyverklaring, of wat ze met hun data doen, staat dat ergens op papier?

 

Mol

Ik ga gelijk even voor je kijken. Ik ga uit van een pagina of 30 of meer.

 

Int.

Lees je dat altijd?

 

Mol

Eh nee. Nee. Ik, eh de eerlijkheid gebiedt te zeggen dat ik wel vaak begin met lezen maar dat ik op een gegeven moment denk ja ’t zal allemaal wel. En eh in dit geval ehm is het ook in het Engels, dat is geeneens in het Nederlands, dus eh… ik accepteer het heel vaak.

 

voice-over

We bestuderen de privacy verklaringen van tientallen gezondheidsapps. In de meeste gevallen blijkt dat fabrikanten onze persoonsgegevens mogen delen als we hun app gebruiken.

 

Jacobs

Ik vind het zorgwekkend en ik vraag me ook af in hoeverre mensen zich ervan bewust zijn waar die medische informatie blijft.

 

voice-over

Bart Jacobs is hoogleraar computerveiligheid aan de Radboud Universiteit in Nijmegen. Hij doet onder meer onderzoek naar privacybescherming.

 

[caption]

Jacobs

B. Jacobs, hoogleraar computerveiligheid

Ik vind dat er nadrukkelijker hier een hoger niveau van transparantie nodig is. Dit soort partijen moeten in ieder geval duidelijk maken van als je een app  gebruikt voor tandenpoetsen, houden wij bij hoe vaak u uw tanden poetst. En wij doen dit en dit met die informatie. Dat gebeurt vind ik veel te weinig.

00.15.32

voice-over

Dat ons tandenpoetsgedrag opgeslagen word lijkt misschien onschuldig. Maar hoe zit het met apps die bijvoorbeeld onze bloeddruk, hartslag of seksueel gedrag vastleggen? Er zijn inmiddels duizenden gezondheidsapps. Via onze smartphone kunnen onze gezondheidsgegevens in handen komen van databedrijven. De Raad voor de Volksgezondheid en Samenleving waarschuwt minister Schippers daarvoor in een rapport, onder de kop ‘bezorgdheid over privacy’ lezen we over:

00.15.58

Stem

“een grote hoeveelheid gegevens die door derden beheerd en bewerkt kunnen worden. Waarborgen voor privacy zijn daarbij belangrijk.”

 

Jacobs

Die app-wereld is wat dat betreft een grote operant.

 

Schippers

“….concurrentie en de kwaliteit…
 

 

voice-over

Maar minister Schippers heeft het helemaal niet over privacy zorgen.

 

[caption]

Schippers

Bron: Raad voor Volksgezondheid en Samenleving

Mij lijkt het wel handig om zelf mijn bloeddruk of het zuurstofgehalte in mijn bloed te kunnen meten als ik me niet goed voel, zodat ik weet wanneer ik mijn huisarts moet bellen.

 

[caption]

Jacobs

B. Jacobs, hoogleraar computerveiligheid

Ik hoop dat de minister wel zorgvuldigheid ook in gedachten heeft bij dit soort opmerkingen.

 

Int.

Maar ze heeft het helemaal niet over privacy.

 

Jacobs

Ja. Daar moet u de minister misschien maar even mee confronteren.

 

voice-over

We vragen de minister wat ze gaat doen om de privacy risico’s van dit soort apps te ontvangen. Schippers laat Zembla weten dat ze dat de verantwoordelijkheid van het College Bescherming Persoonsgegevens vindt.  Het CBP tikte onlangs Nike op de vingers omdat dat bedrijf zonder toestemming gezondheidsgegevens opslaat van mensen die de Nike hardloopapp gebruiken.

 

Int.

Hoe lang zijn jullie bezig geweest met het onderzoek naar die hardloopapp?

 

[caption]

Kohnstamm

J. Kohnstamm, College Bescherming Persoonsgegevens

Ik schat in een maand of 9, ik weet het niet zo uit m’n hoofd. Nou, ergens eh, een klein of daaromtrent.

 

Int.

Met één app.

 

Kohnstamm

Met één app. Ja, nou ja dat is niet het enige wat we gedaan hebben het hele jaar overigens…

 

Int.

Maar er zijn wel 10.000 gezondheidsapps.

 

Kohnstamm

Ja

 

Int.

Op de markt.

 

Kohnstamm

Ja. ja.

 

Int.

Hoe gaat u dat allemaal controleren?

 

Kohnstamm

Nou dat is dus uitgesloten.

 

voice-over

ER is nog een manier waarop onze gezondheidsgegevens bij datahandelaren terechtkomen. Databedrijven kijken zonder dat we dat weten, over onze schouder mee terwijl we apps gebruiken. Precies zoals ze dat ook doen als we op een laptop websites bezoeken. Maar het is op een smartphone heel moeilijk om dat bloot te leggen. Je moet er je telefoon als het ware voor openbreken. Hacken dus.

00.18.04

Tokmetzis

Ik leg even mijn telefoonverkeer om via mijn computer.

 

[caption]

Tokmetzis

D. Tokmetzis, onderzoeksjournalist

En dan heb ik een speciaal certificaatje geïnstalleerd die de beveiliging eraf sloopt, zodat ik alles kan zien.

 

Int.

Dus je hackt eigenlijk je eigen telefoon.

 

Tokmetzis

Ja

 

Int.

Daar komt het op neer.

 

Tokmetzis

Ja.

 

voice-over

Diimitri Tokmetzis is journalist bij De Correspondent. Hij deed onderzoek naar de handel in persoonsgegevens die via apps in handen van databedrijven terecht komen. We vragen Dimitri om een aantal gezondheidsapps voor ons  door te lichten.

 

Tokmetzis

Dit is een glucosemeter. Als je diabetes hebt, dan kun je een soort dagboek bijhouden en daarmee inzicht krijgen in je ziekte, wat natuurlijk heel goed is. Ik heb bijvoorbeeld period tracker, waarmee je je menstruatiecyclus kunt volgen en ook kunt aangeven hoe je je voelt bijvoorbeeld, of ja de hormonen door je lijf gieren, wanneer je seks hebt gehad en hoe dat was en waar je pijn hebt en dat soort dingen, dat kun je er allemaal aan toevertrouwen.

 

Int.

Dat staat allemaal in die, kun je allemaal in die app zetten.

 

Tokmetzis

Ja, klopt. Of je vocht vasthoudt, constipatie. Dat is allemaal best wel eh…

 

Int.

Tamelijk gevoelige informatie.

 

Tokmetzis

Tamelijk gevoelige informatie.

 

voice-over

Welke bedrijven kijken mee als wij deze gezondheidsapps gebruiken?

 

[caption]

Tokmetzis

D. Tokmetzis, onderzoeksjournalist

Daar heb je speciale programmatuur voor nodig. Dan zie je allerlei codes voorbij komen, je kan zien met welke servers er contact wordt gemaakt. Dus je krijgt het unieke IP adres van de servers waar die zitten en dat kun je dan vervolgens helemaal gaan uitzoeken. Waar staan die servers dan en…

 

Int.

Als je nou een app zou openen, bijvoorbeeld dat period tracker, wat gebeurt er dan?

 

Tokmetzis

Laten we gewoon eens even kijken.

 

Int.

Gaat tamelijk hard.

 

Tokmetzis

Appsalar zie ik er tussen staan, dubbelklik van Google.

 

voice-over

We blijken door tientallen bedrijven in de gaten te worden gehouden. Ze registreren hoe we deze gezondheidsapps gebruiken. Die informatie slaan ze op in persoonlijke profielen en verkopen ze bijvoorbeeld aan adverteerders.

 

Tokmetzis

Ja je ziet hier dus bijvoorbeeld DataFlurry.com staan. En die wordt eigenlijk continu aangeroepen als je een app sluit of opent. Wat Flurry doet en dat is een bedrijf dus in Amerika en die heeft volgens mij voor meer dan een miljard gebruikers houdt ‘ie dat bij. Dus welke apps jij gebruikt, welke apps jij hebt geïnstalleerd op je smartphone. Dat kan namelijk veel over jou zeggen.

 

Int.

Maar het gaat dus soms ook om hele gevoelige informatie.

 

Tokmetzis

Ja daar hebben we eigenlijk nog geen goed antwoord op gevonden. We weten wel heel veel advertentiebedrijven weten ook wel dat ze niet zo maar in gevoelige gegevens mogen handelen maar het feit dat jij een bepaalde app gebruikt, zegt al iets over jou. En die informatie mag je wel degelijk opslaan.

00.20.36

voice-over

Ook de Federal Trade Commission, de Amerikaanse Consumemtenautoriteit, doet onderzoek naar de gezondheidsinformatie die datahandelaren opslaan. We spreken met David Vladeck, een voormalig directeur van de FTC.

 

[caption]

Vladeck

D. Vladeck, voormalig directeur FTC

Stel dat je een vriend hebt die ziek is. Hij heeft Parkinson of MS. En jij zoekt op internet alle mogelijke informatie over die ziekte. Want een goede vriend van je is ziek. Je zou je grote zorgen maken en de FTC ook als je bij een verzekeringsmaatschappij een ziektekostenverzekering wil afsluiten en zij zouden zeggen: u bent een risico.

 

voice-over

Daarom doet de FTC voortdurend onderzoek naar databedrijven die internetgedrag vastleggen. Die bedrijven volgen ons vooral om advertenties aan te kunnen bieden, zegt de technisch expert van de consumentenautoriteit.

00.21.30

[caption]

Soltani

A. Soltani, hoofd technologie FTC

Als je een website bezoekt, zoekt die site contact met een advertentienetwerk. “Ik heb een plek voor een advertentie. wie heeft belangstelling?” Dat advertentienetwerk neemt contact op met mogelijke adverteerders. Die zoeken dan uit wie de gebruiker is. Wat is ’t voor iemand, hoe oud is hij, hoeveel verdient hij? Houdt hij van auto’s, sport…. Dan levert de datahandelaar informatie over die gebruiker gebaseerd op hun internetgedrag of hun verdere activiteiten. Dat wordt gebruikt om te bepalen wat diegene waard is voor de adverteerder. Dan bied ik een paar cent voor plaatsing van de advertentie. Dat gebeurt allemaal in minder dan een seconde.

 

Vladeck

Het punt is dat mensen bereid zijn om informatie online te delen. Deels omdat ze geen goed inzicht hebben in dit uiterst complexe ecosysteem dat dient om ze op te sporen, informatie te verzamelen en aan datahandelaren te verkopen en die dan te gebruiken om producten aan ze te verkopen, maar ook voor andere doeleinden.

 

voice-over

Soltani kijkt op ons verzoek naar een aantal Nederlandse websites. Onder meer naar de website van stichting Schuilplaats, een organisatie die psychische hulp biedt aan bijvoorbeeld slachtoffers van seksueel misbruik.  We zien 12 trackers.

 

Soltani

Deze organisatie heeft ervoor gekozen om adverteerders toe te staan en zo verkrijgen ze die informatie. Als deze organisatie z’n gegevens als vertrouwelijk beschouwt, dan zouden ze geen data-analyse en advertenties moeten toestaan.

 

voice-over

Stichting Schuilplaats laat ons weten erg geschrokken te zijn dat de informatie over bezoekers terechtkomt bij commerciële bedrijven. We zien dat stichting Schuilplaats een speciale balk gebruikt zodat bezoekers informatie kunnen delen via Facebook, Twitter en andere sociale media. Die zogenaamde button wordt geleverd door het bedrijf ShareThis.

 

Soltani

Ze delen deze informatie gratis en in ruil daarvoor krijgt ShareThis toegang tot informatie over gebruikers en datahandelaren kunnen die gebruikers vervolgens benaderen.

 

[caption]

Jacobs

B. Jacobs, hoogleraar computerveiligheid

Ik vind dat heel erg. Ik vind dat heel erg. Ehm… vooral ook omdat veel mensen die naar dat soort sites gaan toch vaak in een kwetsbare positie zitten, zich niet bewust zijn van het feit dat ze hierop geprofileerd worden en dus verder te boek staan in een database als iemand die te maken heeft gehad met seksueel geweld of wat dan ook. En dat dat soort informatie vervolgens gebruikt wordt voor marketing of wat voor andere commerciële doeleinden, vind ik kwalijk.

 

voice-over

We hebben een afspraak met Sandra Vuik van de website babyopkomst.nl. Een site van verloskundigen met informatie over zwangerschap. Babyopkomst wordt maandelijks door 150.000 mensen bezocht.

 

[caption]

Vuik

S. Vuik, babyopkomst.nl

Een van de grootste sites op zwangerschapsgebied.

 

Int.

Ja als je bijvoorbeeld een babywens hebt, kun je dat aanklikken.

 

Vuik

Ja.

 

Int.

Maar dan zie ik bijvoorbeeld ook dat je informatie kunt vinden over onvruchtbaarheid.

 

Vuik

Klopt.

 

Int.

En dat gaat over best wel gevoelige informatie.

 

Vuik

Ja. Absoluut. Ja.

 

[caption]

Vuik

S. Vuik, babyopkomst.nl

Mar als babyopkomst, als website van verloskundigen vinden we het gewoon ontzettend belangrijk dat een stukje vertrouwen de mensen in ons moeten hebben en dat wij niks met hun gegevens doen.

 

voice-over

Maar dat ligt toch wat anders. Op babyopkomst.nl komen we namelijk ook trackers tegen, waaronder ShareThis.

00.25.18

Vuik

Nou ik vind het vreselijk. Als je naar Babyopkomst gaat moet je gewoon kunnen vertrouwen, dat er niets met jouw gegevens gebeurt. Als je op babyopkomst inschrijft voor een nieuwsbrief of wat dan ook, dan geef je zelf je e-mailadres, hoever je zwanger bent, noem maar op. Dan moet je kunnen vertrouwen dat wij dat niet aan wie dan ook gaan doorgeven en dat is waar we voor staan. En dat dan, ja stiekem achter mijn rug om dit soort dingen toch gebeuren, dat vind ik echt schokkend.

 

voice-over

ShareThis haalt informatie van 2 miljoen websites. Het bedrijf noteert op welke pagina’s we klikken, waar we naar zoeken, hoe lang we op een pagina blijven en de onderwerpen die we selecteren. Ook ons IP adres en onze locatie legt ShareThis vast.

 

[caption]

Vladeck

D. Vladeck, voormalig directeur FTC

Het is volledig geautomatiseerd, er komt bijna geen mens bij kijken. Zo verdedigt de industrie dit ook: het is niet alsof iemand iets van je weet. Het is gewoon een computerprogramma dat je in bepaalde categorieën indeelt. Zo verkoopt de industrie het.

 

voice-over

De grote concurrent van ShareThis is Add This. Ook Add  This levert buttons voor sociale media. Het bedrijf zegt gedetailleerde informatie te hebben over 1,9 miljard mensen.

 

Vladeck

Tien jaar geledne zou het ondenkbaar zijn dat een bedrijf meer dan 3000 gegevens over 100 miljoen mensen bezat, laat staan over een miljard mensen en dat kwam omdat het onbetaalbaar was om die data te verzamelen en op te slaan, maar nu niet meer. De enorme groei van de capaciteit van deze bedrijven is grotendeels te danken aan het omlag brengen van de kosten van datacollectie en het omlaag brengen van de kosten van opslag en data-analyse.

00.27.12

voice-over

Dit is de website van het Fonds Psychische Gezondheid. Hier kun je terecht als je informatie zoekt over psychische aandoeningen. Zo kun je een zelftest doen om te kijken of je depressief bent. Maar alles wat je hier aanklikt wordt geregistreerd door databedrijven. Ook door Add This. We vragen het Fonds Psychische Gezondheid om een reactie. Dat laat weten:

 

Stem

“We hebben een extern bedrijf ingehuurd dat onze website heeft gebouwd. We zijn er ons niet van bewust dat we trackers hebben laten plaatsen.”

 

Voice-over

Pas deze week haalt het Fonds Psychische Gezondheid Add This van de website, twee maanden nadat ze hierover door Zembla zijn ingelicht.

 

[caption]

Borgesius

F. Borgesius, privacy onderzoeker UVA

Ik vind dat zulke medische websites gewoon helemaal geen commerciële trackingpartijen zouden moeten toelaten op de website.

 

[caption]

Jacobs

B. Jacobs, hoogleraar computerveiligheid

Dat hier wat moet gebeuren om mensen te beschermen, zeker mensen in kwetsbare positie wanneer ze ziek zijn, staat voor mij als een paal boven water.

 

voice-over

Zelfs op websites waar bezoekers informatie kunnen vinden over zelfmoord, vinden we trackers. Add This kijkt ook hier mee. Add This claimt, dat het bedrijf 15 miljoen websites monitort. We bellen en mailen meerdere keren naar Add This omdat we willen weten wat ze doen met deze informatie.

 

Stem

“Bedankt dat u Add This belt. U kunt hier een bericht achterlaten.”

 

voice-over

Maar Add This reageert niet op onze verzoeken. Pas na lang aandringen krijgen we uiteindelijk een reactie.

00.28.46

Stem

“Wij begrjjpen uw zorg en Add This neemt privacy van consumenten zeer serieus. Omdat regelgeving in verschillende landen verandert, passen wij regelmatig ons privacy beleid aan.”

 

voice-over

Mensen die willen weten of ze een bepaalde ziekte onder de leden hebben kunnen terecht op speciale medische websites daar kun je de symptomen van duizenden aandoeningen doorzoeken.

 

[caption]

Schippers

Bron: Raad voor Volksgezondheid en Samenleving

“De sleutel is goede informatie. Ik hoor van steeds meer mensen dat ze op thuisarts.nl of zorgkaartNederland.nl bekijken wat ze zelf kunnen.”

 

voice-over

Thuisarts.nl waar de minister het over heeft, is de website van het Nederlands Huisartsen Genootschap. Je kunt er informatie vinden over de meest uiteenlopende ziektes.

 

[caption]

Jacobs

B. Jacobs, hoogleraar computerveiligheid

Artsen hebben een beroepsgeheim.  En de medische informatie die je aan artsen geeft die moeten zij geheimhouden. Het feit dat jij bij een artsenorganisatie op de website naar specifieke medische informatie zoekt, is in zekere zin overdracht van informatie over jouw gezondheid aan een arts. Ik zou dat willen classificeren als medische informatie. Dat valt onder het medisch beroepsgeheim.

 

voice-over

Eind oktober biedt Thuisarts.nl websitebezoekers excuses aan. Hun gezondheidsgegevens zijn namelijk onbedoeld terechtgekomen bij databedrijven. Ook bij Add This. Het Nederlands Huisartsen Genootschap is hier onder meer achter gekomen door een melding van Zembla.

 

Jacobs

Zij hebben de gezondheidsinformatie van mensen die die website bezochten via die trackers niet alleen zelf opgeslagen maar laten lekken naar andere partijen, die die trackers bijhouden, de databrokers die daar achter zitten. Dat is eh, nou niet in overeenstemming met de eisen van de beroepsgroep.

 

voice-over

We leggen onze bevindingen ook voor aan het College Bescherming Persoonsgegevens.

00.30.37

Kohnstamm

De wet bepaalt dat er een aantal gegevens zijn die bijzondere persoonsgegevens heten en gezondheidsgegevens zijn bijzondere persoonsgegevens.

 

[caption]

Kohnstamm

J. Kohnstamm, college bescherming persoonsgegevens

Waar de wet dus van zegt dat je er extra voorzichtig mee om moet springen en heel eerlijk gezegd, iedereen die in de sfeer van de artsenij werkt, weet dat of wordt geacht dat te weten.

 

Int.

Dat dit bijzondere persoonsgegevens zijn.

 

Kohnstamm

Dat dit bijzondere persoonsgegevens zijn. Dat je niet voor niets een geheimhoudingsplicht als arts hebt. En ze zouden het hebben moete weten.

 

voice-over

Ook op websites van verschillende ziekenhuizen zien we trackers. Het Tweesteden ziekenhuis in Tilburg en Waalwijk heeft zestien trackers op de website. Die registreren bijvoorbeeld als we een afspraak maken met een van de afdelingen van het ziekenhuis. Bij cardiologie, kindergeneeskunde of het Obesitascentrum.

 

[caption]

Kohnstamm

J. Kohnstamm, College Bescherming Persoonsgegevens

De dingen die u noemt zijn allemaal bijzondere persoonsgegevens. Verkoop daarvan en gebruik door derden kan, maar alleen maar onder deze voorwaarden: 1, mensen verschrikkelijk goed vertellen wat ermee gaat gebeuren en hen expliciet om toestemming vragen. En als die twee elementen ontbreken is de kans heel groot dat het onrechtmatig gebruik van persoonsgegevens is.

 

voice-over

Het Tweestedenziekenhuis zegt databedrijven nooit toestemming te hebben gegeven voor het opslaan van persoonsgegevens. 

 

voice-over

Amerikaanse verzekeraars kopen al jaren persoonlijke profielen van datahandelaren.

 

Vladeck

Absoluut. Ze kopen niet alleen informatie, maar ze willen steeds meer van je weten. En daar willen ze voor betalen.

 

voice-over

We hebben geen aanwijzingen dat Nederlandse verzekeraars op dit moment informatie kopen over ons surfgedrag en appgebruik. CZ, Univé en Menzis stellen geen gebruik te maken van zulk gegevens. Brancheorganisatie Zorgverzekeraars Nederland zegt niet te weten of deze informatie wordt gebruikt.

 

Int.

Zijn verzekeraars transparant over alles wat ze over onze gezondheid weten?

 

[caption]

Klous

S. Klous, hoogleraar Big Data

Nee. Nee. We zijn met, he we hebben laatst een keer een sessie gehad me een heleboel verzekeraars om hierover te praten, over de nieuwe mogelijkheden die ontstaan naar aanleiding van data, hoe je daarmee om zou moeten gaan, hoe je je communicatie zou moeten doen. En wat daar eigenlijk uit voortgekomen is, uit die discussie, is dat er enorme behoefte is aan, laten we zeggen, een soort manifest, een soort van handboek. Ook zij zijn op zoek naar wat kunnen we nou wel en wat kunnen we nou niet doen en op wat voor manier pakken we dat nou aan.

 

voice-over

Volgens de gedragscode mogen verzekeraars geen medische gegevens gebruiken om te bepalen wie ze willen binnenhalen als klant. De vraag is dus, geldt ons internetgedrag en gebruik van gezondheidsapps als medische informatie. Ja, zegt het College Bescherming Persoonsgegevens. Maar hoe denkt de koepel van zorgverzekeraars hierover?

00.33.44

Stem

“Het is niet voor de hand liggend dat cookies en surfgedrag als medische gegevens kunnen worden aangemerkt. Deze gegevens zeggen niet iets over de feitelijke gezondheidstoestand van iemand.”

 

voice-over

Dat betekent dus dat zorgverzekeraars deze gegevens zouden mogen aankopen van datahandelaren. We bellen het College Bescherming Persoonsgegevens om de reactie van de verzekeraars voor te leggen.

 

[caption]

Kohnstamm

J. Kohnstamm, College Bescherming Persoonsgegevens

Ik denk dus dat Zorgverzekeraars Nederland zich echt op dit punt vergist. Bij gezondheidsgegevens gaat het ook om gegevens, waaruit conclusies worden getrokken over iemands gezondheid en of die conclusies nou kloppen of niet is daarbij niet direct van belang. Surfgedrag langs verschillende gezondheidssites kan dan ook gezien worden als gezondheidsgegevens. En dan is er expliciet uitdrukkelijke toestemming vereist voor het verwerken van die gegevens.  

 

Vladeck

De FTC vindt dit allemaal gevoelige informatie, waarvoor meer privacybescherming vereist is. Die informatie mag dus niet verzameld worden tenzij daar reden toe is. Je dokter mag dat bijvoorbeeld in geval van ziekte. Dat soort informatie mag niet worden verzameld zoals dat op dit moment gebeurt in de EU, in de VS en wereldwijd. Want de informatie wordt als door een stofzuiger opgezogen.

00.35.14

 

[aftiteling] 

 

Deze uitzending is ook onderdeel van NPO Journalistiek-dossiers: Internet en Apps, Privacy.
Trefwoorden in deze uitzending: privacy, websites, privacyschending, Apple, tracking, data
Gezondheidsapps voor op je smartphone schieten als paddenstoelen uit de grond. Ze tellen het aantal stappen dat je zet, ze controleren je dag- en nachtritme, ze meten je bloeddruk en hartslag, calorieën worden bijgehouden. Een goede ontwikkeling vindt minister Schippers van Volksgezondheid, want als we onze gezondheid met behulp van smartphone en internet goed in de gaten houden, kunnen de zorgkosten omlaag.

We beschikken immers nu zelf over interessante persoonlijke medische informatie. Maar wie beschermt deze medische gegevens? Want wat de meeste ‘app-gebruikers’ niet weten is dat er bedrijven zijn die om hele andere redenen ook geïnteresseerd zijn in onze medische data.  Wie zijn die bedrijven en wat doen ze met al die informatie over onze gezondheid? Zembla onderzoekt  de handel in privacygevoelige gegevens.

Advies gezondheidsapps

Schippers app
De Raad voor Volksgezondheid en Samenleving schreef dit rapport over ‘Consumenten eHealth’. Daarin waarschuwt de Raad voor de privacy gevaren van onder meer gezondheidsapps.  Hier staat het filmpje dat de Raad liet maken van de aanbieding van dat rapport aan minister Schippers.

 



Risicoselectie door verzekeraars

Na de Zembla uitzending ‘Fijn dat we verzekerd zijn’ (6 november 2014) kondigt minister Schippers maatregelen aan om risicoselectie door verzekeraars tegen te gaan. Hier een overzicht van deze maatregelen. 

Maar een aantal zorgverzekeraars geeft aan dat risicoselectie aantrekkelijk blijft omdat nieuwe Europese regels verzekeringsmaatschappijen verplichten meer geld in kas te houden voor ongezonde, dus dure klanten. Hier leest u de notitie van de verzekeraars.  

Volgens hun eigen gedragscode mogen zorgverzekeraars persoonsgegevens van datahandelaren kopen om te gebruiken voor direct marketing. Medische gegevens mogen niet worden gebruikt. 

 

App trackers 

Tokmetzis
Dimitri Tokmetzis, onderzoeksjournalist van De Correspondent, schreef dit artikel over databedrijven die meekijken met ons appgebruik. Hier beschrijft Tokmetzis hoe hij zijn onderzoek heeft uitgevoerd.

Het CBP deed dit onderzoek naar de hardloop app van Nike.

 

Wederhoor

Fonds Psychische gezondheid (email 13 oktober 2015):

Fonds Psychische gezondheid
"Het Fonds Psychische Gezondheid maakt inderdaad gebruik van de gratis dienstverlening van AddThis, als ook maken we gebruik van Google Analytics. Zoals al besproken gebruiken wij Google analytics alleen voor eigen doeleinden, in relatie tot onze voorlichtingsfunctie, wij willen graag weten waar mensen op zoeken, hoe ze zoeken, zodat we zo goed mogelijk mensen kunnen bereiken en informeren die betrouwbare en actuele informatie, tips wensen over bijvoorbeeld depressie, angst, etc. Dat sluit aan bij onze doelstelling als organisatie om goede voorlichting te geven. 

AddThis hebben we geinstalleerd ivm de (gratis) dienst die zij bieden inzake het balkje met social media en de ‘delen’-functie knoppen. Het voordeel is dat we het zelf niet hoeven te programmeren.

Wij hebben verder als Fonds geen deals met andere organisaties die gebruik (mogen) maken van onze data, de analyses uit Google Analytics zijn strikt voor eigen gebruik/doeleinden bedoeld zoals al eerder aangegeven. Je gaf aan dat AddThis informatie verzamelt over bezoekers(gedrag) van onze site, daar zijn we ons niet van bewust."

Stichting Schuilplaats (email 21 oktober 2015)

schuilplaats
"Uiteraard zijn wij bekend met het fenomeen trackers, al was het is ons niet bekend dat er trackers op onze website actief zijn. In overleg met de websitebouwer hebben we geconcludeerd dat de tracker waardoor Zembla op wordt gewezen zeer waarschijnlijk wordt veroorzaakt door de recent geïmplementeerde chat-functie dit wij als pilot hebben ingezet.

Deze chatfunctie is pas gelanceerd om mensen met vragen sneller te kunnen helpen en om te kijken hoe we digitalisering meer kunnen inzetten in het hulpverleningstraject. Als pilot hebben wij gekozen voor de chat-functie Zopim. Naar aanleiding van  jullie mail hebben wij deze chatfunctie direct verwijderd en gaan nu op zoek naar een andere applicatie waar we niet geconfronteerd worden met trackers. Uiteraard zijn wij overtuigd dat verdere digitalisering belangrijk is voor onze relaties, maar met de kennis van nu is Zopim helaas niet de applicatie gebleken waar wij mee verder gaan.
"

Nederlands Huisartsengenootschap (email 27 oktober 2015)

NHG
Het NHG heeft zich niet gerealiseerd dat AddThis cookies plaatst en surfgegevens met derden deelt. Ook hebben we ons niet gerealiseerd dat Google Analytics gegevens voor andere doeleinden gebruikt en dat we deze actief privacyvriendelijk hadden moeten instellen. De informatie die is verzameld, betreft naar ons weten onder andere van welke pagina’s de bezoekers vandaan komen, de gebruikte browser, het gebruikte IP-adres en welke pagina’s bezocht worden, welke informatie gedeeld wordt en wanneer en via welke kanalen (zoals email, Facebook, Twitter of Google+) deze informatie gedeeld wordt. Welke informatie precies is verzameld, kan worden nagelezen op websites van de partijen die cookies hebben geplaatst. Er is niet geïnformeerd over de verwerking van persoonsgegevens, omdat het NHG zich niet bewust was van het feit dat er persoonsgegevens werden verwerkt. Sinds 27 oktober 2015 staat zowel op NHG.org als op Thuisarts.nl een zogenaamde cookiebalk/wall waarin informatie wordt geboden resp. toestemming wordt gevraagd. Het NHG hecht veel waarde aan privacy, zeker als het gezondheidsgegevens betreft. Wij hebben nooit bedoeld om via de site Thuisarts.nl persoonsgegevens te verzamelen of derden toe te laten deze gegevens te verzamelen. Er wordt nu ook geen software meer gebruikt die cookies plaatst die partijen voor commerciële doeleinden, zoals profiling, kunnen gebruiken.

AddThis
"We understand your concern and AddThis takes consumer privacy very seriously. As regulations evolve in markets across the globe, the company’s privacy policy is consistently reviewed and updates are made frequently. You can read the full privacy policy on our website.

 

Zorgverzekeraars Nederland

zorg verz ned
"De manier waarop zorgverzekeraars consumentengegevens mogen gebruiken is vastgelegd in wet- en regelgeving en de gedragscode. Vanwege de acceptatieplicht en het verbod op premiedifferentiatie is het niet toegestaan om consumentengegevens te gebruiken ten behoeve van de acceptatie/premieberekening. Het gebruik van consumentengegevens door zorgverzekeraars voor direct marketing is onder bepaalde voorwaarden wel toegestaan. Daarbij geldt dat het niet toegestaan om medische gegevens te verzamelen of te selecteren ten behoeve van DM-activiteiten. Verschillende toezichthouders toetsen of zorgverzekeraars zich houden aan de wet- en regelgeving en hun eigen sectorale gedragscodes. Zorgverzekeraars leggen verantwoording af aan de NZa, het CBP, de AFM, de ACM, DNB, het Zorginstituut en hun eigen raden van commissarissen.

Zorgverzekeraars zijn coöperatieve ondernemingen (vrijwel allemaal zonder winstoogmerk) die elkaar beconcurreren door goede zorg te vergoeden tegen een scherpe premie. Om die reden willen zij met (potentiële) verzekerden in contact komen. Dat kan o.a. via direct marketing. De mate en de manier waarop zorgverzekeraars consumentengegevens inzetten voor direct marketing verschilt per zorgverzekeraar.

Het is niet voor de hand liggend dat cookies/surfgedrag als medische gegevens kunnen worden aangemerkt. Deze gegevens zeggen niet iets over de feitelijke gezondheidstoestand van iemand.

Het is ons overigens niet bekend dat zorgverzekeraars dit soort gegevens gebruiken."

J a v a S c r i p t staat waarschijnlijk uit!

Deze website maakt gebruik van J a v vS c r ip t, onder andere voor het afspelen van video’s. Het lijkt erop dat J a v aS cr i pt uit staat, waardoor de site niet optimaal werkt.

Lees hier hoe je J av a Sc r i p t aan kunt zetten.