Waarom de privacy van gezondheidsgegevens een kans nodig heeft

Waarom de privacy van gezondheidsgegevens een schot in de roos nodig heeft

Door Danny Bradbury • 23 May 2023

De Amerikaanse gezondheidszorgsector heeft te kampen met een vervelende digitale stoornis die zich uitstrekt van de talloze gevallen van gegevensdiefstal tot iets schadelijkers. Hoe hebben we het opgelopen en hoe kunnen we het genezen?

De krantenkoppen staan vol met voorbeelden van gehackte zorgbedrijven die klantgegevens kwijtraken. Van Anthems uit van 79 miljoen gebruikersrecords in 2015 tot en met afgelopen december diefstal van de gegevens van 3.3 miljoen gebruikers van Regal Medical Group blijven de inbreuken komen. Het nieuwste rapport van het Amerikaanse ministerie van Volksgezondheid en Human Services rapporteren aan het Congres toont een toename van 58.2% in het aantal meldingen van datalekken waarbij meer dan 500 mensen betrokken zijn tussen 2017 en 2021.

Drie soorten schendingen

De eerste twee belangrijkste oorzaken van privacyschendingen zijn goed begrepen. De Anthem-inbreuk valt onder een gerichte aanval op een goed beveiligd systeem. Onderzoekers concludeerden dat er een buitenlandse natiestaat bij betrokken was en dat Anthem dat ook had gedaan redelijke maatregelen genomen om zijn gegevens voorafgaand aan de hack te beschermen. De tweede oorzaak is ondeskundige nalatigheid, zoals de blootstelling van miljoenen medische beelden online via onveilige opslag.

De derde oorzaak van privacyschendingen is interessanter omdat deze opzettelijk is. Het gebeurt met medeweten van het bedrijf dat verantwoordelijk is voor de gezondheidsgegevens. Om aan de medische terminologie te ontlenen: de eerste twee soorten schendingen zijn acute, afzonderlijke gebeurtenissen met een bekend einde. Een inbreuk op de privacy die in het bedrijfsbeleid is ingebed, is een chronische ziekte die blijft voortwoekeren zolang de daders dit toestaan.

Een van de meest opvallende door bedrijven gesanctioneerde privacyschendingen betrof een online adviesdienst genaamd BetterHelp. In maart van dit jaar dwong de FTC dit bedrijf een schikking van $7.8 miljoen te betalen ter schikking van de aanklacht wegens het delen van gevoelige gezondheidszorggegevens van consumenten met derden, waaronder Facebook, Pinterest en Snapchat. De FTC zei dat BetterHelp gegevens deelde, waaronder informatie over de geestelijke gezondheidsproblemen van consumenten, verzameld via een vragenlijst, samen met hun e-mailadressen en IP-adressen.

Door deze informatie aan Facebook door te geven, kon de socialemediagigant gegevens over zijn andere gebruikers verzamelen, mensen vinden met vergelijkbare kenmerken als de klanten van BetterHelp en hen targeten met advertenties om nieuwe klanten te genereren.

De FTC's klacht beweert ook dat BetterHelp het zegel van de Health Insurance Portability and Accountability Act (HIPAA) op zijn sites heeft opgenomen en certificering heeft geclaimd zonder dat een overheidsinstantie de gegevenspraktijken van het bedrijf heeft beoordeeld.

Tracking door derden is wijdverbreid onder zorgverleners. A verslag in Health Affairs Onlangs is gebleken dat bijna 99% van de ziekenhuizen tracking op hun websites gebruikt. Deze trackers stuurden gegevens naar sociale media, reclamebedrijven en datamakelaars. Deze ziekenhuizen “vergemakkelijken de profilering van hun patiënten door derden”, aldus het rapport, wat leidt tot schade aan hoogwaardigheidsbekleders”.

Meld u hier aan en geef uw privacyrechten op om door te gaan

Privacyschendingen worden niet altijd uitgevoerd zonder medeweten van de gebruiker. Soms, zoals vaak gebeurt in de technologiesector, overtuigen bedrijven klanten om hun privacyrechten op te geven. Een Washingtonpost onderzoek heeft onlangs ontdekt dat Amazon dit doet als onderdeel van zijn consumentengerichte gezondheidszorgonderneming Amazon Clinic. De dienst volgt het platformmodel en biedt consumenten een forum om online met partnerartsen te communiceren en medische recepten te verkrijgen. Maar net als veel andere platformexploitanten int Amazon meer dan alleen een verlaging van de vergoeding; het kan ook klantgegevens verzamelen. In dit geval zijn de gegevens die voor het grijpen liggen zeer gevoelig, inclusief details en foto's van medische aandoeningen.

Volgens het WaPo-onderzoek eist Amazon van klanten dat ze een formulier ondertekenen dat Amazon toegang geeft tot het medische dossier van een patiënt en toestemming geeft om dit “opnieuw openbaar te maken”, waarna het “niet langer beschermd zal worden door HIPAA.”

"Wat kan er fout gaan?" vraagt WaPo-auteur Geoffrey Fowler zich af. “Er zijn veel vervelende manieren waarop Amazon uw gezondheidsinformatie zou kunnen gebruiken: om u andere diensten aan te bieden, om marketing te richten op zijn gigantische reclamebedrijf, of om kunstmatige intelligentie of modellen voor patiëntrisico’s uit te bouwen.”

Amazon – of zelfs de bedrijven waaraan het de gegevens doorgeeft – zou uw gegevens ook legaal kunnen doorverkopen aan anderen van wie u nog nooit hebt gehoord. Het zou mogelijk in staatshanden kunnen vallen, waardoor het schrikbeeld ontstaat dat bijvoorbeeld deelstaatregeringen de feitelijke of vermoedelijke zwangerschapsstatus van een persoon gebruiken om anti-abortuswetten af te dwingen.

We hebben al gezien dat staten data gebruiken om illegale abortusgevallen te vervolgen. Afgelopen zomer, wetshandhavers gebruikt Facebook-chatberichten tussen een moeder en dochter om een geval van illegaal uitgevoerde abortus te vervolgen. Deze zaak werd gekocht voordat SCOTUS Roe V Wade vernietigde en er sprake was van een overtreding van de bestaande staatswet op basis van de duur van de zwangerschap.

Tijd voor een update van de wet

Amazon vertelde WaPo dat het geen klantgegevens gebruikt voor doeleinden waar klanten niet mee hebben ingestemd, maar dat is nu juist het punt. Klanten ondertekenen hun toestemming vaak zonder de contracten zo goed mogelijk te lezen. Dat komt deels doordat de contracten lang en complex zijn. In het geval van Amazon is toestemming verplicht. Je tekent, of je krijgt de service niet. Dit zou niet toegestaan zijn onder de EU Algemene Verordening Gegevensbescherming (GRPR), die deze praktijk expliciet verbiedt.

In zijn huidige vorm is HIPAA de enige federale wet die expliciet gezondheidsgegevens beschermt, maar er zijn tekortkomingen. Het is alleen van toepassing op gedekte entiteiten – zorgaanbieders en zorgbedrijven – en niet op anderen die mogelijk gezondheidsgegevens verzamelen en gebruiken.

Toen HIPAA in 1996 werd aangenomen, waren Windows 95 en Amazon.com glanzend en nieuw. Terwijl de technologie vooruit is gegaan, is de wet dat niet. HIPAA is niet langer zo effectief als we nodig hebben in een wereld waar gevoelige gegevens en metadata routinematig worden gedigitaliseerd en aan de hoogste bieder worden geleverd. De VS moeten de federale privacywetgeving bijwerken om de HIPAA en de lappendeken van wetten die de bredere consumentenprivacy ondersteunen te versterken of een alternatief te bieden. Sterke, samenhangende federale privacywetgeving zou precies zijn wat de dokter voorschreef, samen met een goed gefinancierde toezichthouder om deze af te dwingen.

Danny Bradbury

Danny Bradbury is sinds 1989 een printjournalist gespecialiseerd in technologie en sinds 1994 freelanceschrijver. Hij heeft geschreven voor nationale publicaties aan beide zijden van de Atlantische Oceaan en heeft prijzen gewonnen voor zijn onderzoeksjournalistieke werk op het gebied van cyberbeveiliging.

Lees meer van Danny Bradbury

Cyber security 18 December 2025

Hoe navigeer je door het doolhof van AI-compliance in de VS? Banner

Hoe navigeer je door het doolhof van AI-regelgeving in de VS?

Als het om regelgeving gaat, is de term 'Verenigde Staten' een contradictie. De wetten van de staten zijn allesbehalve uniform, en elke jurisdictie hanteert eigen regels...

Danny Bradbury

Cyber security 20 November 2025

Wat de Salesforce-inbreuken ons leren over gedeelde verantwoordelijkheid

2025 was geen goed jaar voor Salesforce-klanten. Een louche criminele organisatie voerde een reeks aanvallen uit op haar klanten, met uiteindelijk gevolgen voor...

Danny Bradbury

Cyber security 13 November 2025

Beoordeling van de verschuiving van de Trump-regering in het Amerikaanse cyberbeveiligingsbeleid

Recente uitvoerende maatregelen en herstructureringen van agentschappen markeren een significante verandering in de federale cybersecuritystrategie, wat vragen oproept over de nationale veerkracht.

Danny Bradbury