Amerikaanse ziekenhuizen stuurden data van patiënten door naar Meta

Op websites en portalen van minstens 33 Amerikaanse ziekenhuizen waren tot voor kort trackers geïnstalleerd waarmee patiëntendata naar Facebook werd gestuurd. Dat schrijft The Markup. Het socialemediabedrijf ontving details over doktersafspraken, allergieën en ziekten.

De journalistieke organisatie Themarkup onderzocht de top 100 van Amerikaanse ziekenhuizen die Newsweek had samengesteld en ontdekte dat 33 van deze ziekenhuizen een trackingpixel van Meta, het moederbedrijf van Facebook, hadden geïnstalleerd op hun website. Die pixel, de Meta Pixel, verzamelde volgens The Markup in sommige gevallen de naam van een dokter waarmee een patiënt een afspraak wilde maken, alsook de medische zoekterm waar de internetgebruiker op had gezocht op de website van het ziekenhuis. In andere gevallen werd ook de mogelijke ziekte, die patiënten konden aanduiden in een drop-downmenu, naar Meta verzonden.

Volgens The Markup was de trackingpixel ook geïnstalleerd in zeven online patiëntenportalen die enkel via een gebruikersnaam en wachtwoord toegankelijk zijn. In vijf van de zeven gevallen werden de namen van medicatie doorgestuurd alsook de omschrijving van allergische reacties en informatie over toekomstige doktersafspraken. In totaal hebben deze 33 ziekenhuizen volgens The Markup in 2020 meer dan 26 miljoen registraties van patiëntenopnames en bezoeken aan de polikliniek doorgestuurd naar Meta.

Volgens privacyexperts hebben deze ziekenhuizen mogelijk een Amerikaanse wet overtreden, de Health Insurance Portability and Accountability Act. Die wet bepaalt dat Amerikaanse ziekenhuizen geen data van patiënten mogen delen met derden als deze niet geanonimiseerd is. Enkel wanneer een patiënt uitdrukkelijke en voorafgaande toestemming heeft gegeven, is dit wel toegestaan. Volgens The Markup beschikken de ziekenhuizen niet over dergelijke toestemmingen van patiënten.

Op het moment van schrijven hebben zeven van de 33 ziekenhuizen de trackingpixel van Meta verwijderd. Het socialemediabedrijf stelt in een reactie dat het privacygevoelige gezondheidsdata verwijdert als deze foutief zijn doorgestuurd door gebruikers van Meta Business Tools.

Zeven Amerikaanse ziekenhuizen hadden een Meta Pixel toegevoegd aan hun online patiëntenportaal. Bron: The Markup

Door Jay Stout

Redacteur

16-06-2022 • 18:10

124 Linkedin

Reacties (124)

124
122
68
4
0
38
Wijzig sortering
Een paar jaar terug hadden we hier toch hetzelfde? Daar hadden ze van kunnen leren.
Voor iedereen die Firefox gebruikt op desktop. Facebook containers plug-in zet alle meta sites in een container waardoor de tracking niet meer werk.
Meta zegt info te verwijderen. Gelukkig is dit een heel betrouwbare partij….😔
Voor iedereen die Firefox gebruikt op desktop. Facebook containers plug-in zet alle meta sites in een container waardoor de tracking niet meer werk.
uBlock Origin installeren, alle relevante lijsten activeren (die zich niet enkel op Facebook richten) en gaan. Dan heb je geen aparte plugins nodig.
Je kan het natuurlijk gewoon controleren. Druk F12 en selecteer het tabje "netwerk". Als je dat niet vertrouwt kan je Wireshark proberen.
Het voordeel van open-source is dat het controleerbaar is.
Het socialemediabedrijf stelt in een reactie dat het privacygevoelige gezondheidsdata verwijderd als deze foutief werden doorgestuurd door gebruikers van Meta Business Tools
Ik heb moeite om deze bewering te geloven. Ben ik de enige? :+

Edit:typo

[Reactie gewijzigd door david-v op 16 juni 2022 22:16]

Ik denk dat ze die gezondheidsdata echt wel verwijderen, omdat het ook strafbaar is. Maar deze reactie van Facebook is wel veelzeggend. Ze verwijderen dus alleen het deel wat ze echt niet mogen tracken en de rest gebruiken ze ongetwijfeld wel. Verder weten ze dus wel waar het vandaan komt en ondernemen geen actie om deze platformen erop te attenderen dat ze het verkeerd doen.
En DAAROM werden dus alle domeinen geblokkeerd in het ziekenhuis waar ik werkte. Geen Facebook, Instagram etc etc beschikbaar op de werkvloer.

Elk self respecterend bedrijf die met privacy gevoelig material werkt dient dit te doen in mijn optiek.

[Reactie gewijzigd door phoenix2149 op 16 juni 2022 18:14]

Dat levert natuurlijk niks op als je beheerders/ontwikkelaars en het it-management besluiten om die informatie geautomatiseerd door te sturen. Die servers zullen in de VS ook wel niet in het ziekenhuis staan.
Meestal staan er hele mini datacentra lokaal binnen de ziekenhuizen in mijn ervaring. Veel handiger ook qua privacy en gegevensbescherming.
Die mini datacenters zijn volgens mij vooral om de lokale gegevens te verwerken (bijv MRI scans). Ik kan me heel goed voorstellen dat een groep van bijv 4 ziekenhuizen de data lokaal verwerkt, centraal opslaat (of archiveert) in eigen datacenters. Hun websites daarentegen hoeven zeker niet in hun datacenter gehost te worden. Het enige wat je nodig hebt is een beveiligde koppeling (VPN, sFTP, RestAPI's, etc) tussen de website en de klant. Nog nieuwerwetsere websites laten de eindgebruikers zelfs tegen hun eindpoints praten. Jij als eindgebruiker gaat naar de website, je ontvangt een berg javascript en die gaat o.b.v. jou gegevens dats shoppen bij verschillende endpoints.

Zo kan een extern gehoste website (zonder enige data) de gegevens die jij infeite download (niet jij als persoon maar meer je browser uit jou naam) en daarna ben jij degene die het naar meta doorstuurt :p
Een ontwikkelaar die dergelijke software ontwikkelt kan relatief makkelijk testen welke connecties allemaal worden gemaakt.


Software (tracking) van META hoort daar echt niet thuis.

De vraag die gesteld moet worden wie die ontwikkelaar is (zijn).
Het lijkt me erg onwaarschijnlijk dat er bewust is gekozen voor het doorsturen van deze data, dus ik vermoed dat die metapixel gewoon toegevoegd is voor een andere reden. Bv om te liken en te delen via Facebook, of zoiets, niet wetende dat dat ding allerlei content van je site scraped en doorstuurt.
Voor zover dat het geval is. Ik heb geen idee waar die meta pixel voor is en wat het precies allemaal doet. Maar als dat het geval is vraag ik me wel af hoeveel andere bedrijven ook slachtoffer zijn van deze misselijke praktijken van Facebook.
(...) ik vermoed dat die metapixel gewoon toegevoegd is (...) Bv om te liken en te delen via Facebook, of zoiets,
"Je afspraak voor aambeien-onderzoek met Dr Joe voor aanstaande dinsdagochtend is bevestigd, klik hier om de sharen en te liken en te 'scriben voor je Facebook-vrienden!"
Een domme (sitewide) implementatie als je het mij vraagt.

Maar ook FB is kwalijk dat het die details in kon zien wat er op die pagina stond.
Was het niet zo dat als je via Google een site opzocht en doorlinkte, Google ook kon meekijken?
Wat heeft dit te maken met online applicaties die deze facebook tracker hebben geinplementeerd?
Hoe bedoel je? Dat een online applicatie een Facebook tracker moet hebben als ik mijn gegevens in wil kijken of een afspraak wil maken in een ziekenhuis?
Nee hij vraagt wat het blokkeren van domeinen voor toegang vanaf het interne netwerk te maken heeft met trackers op de servers voor online applicaties.
Nou, de ziekenhuizen zijn verantwoordelijk geweest voor het inbouwen van trackers in hun portalen.
Ik snapte de link niet dat die sites “daarom” geblokkeerd zijn van het netwerk.
Op websites en portalen van minstens 33 Amerikaanse ziekenhuizen stonden tot voor kort trackers geïnstalleerd
Doordat de tracker op de servers van/gebruikt door het ziekenhuis moet daarop het domein niet geblokkeerd zijn geweest.

Blijkbaar was deze niet goed beschermd tegen zulke kwetsbaarheden.
Een website/portaal van een ziekenhuis wordt meestal door de mensen thuis gebruikt om een afspraak te maken. Dan kun je in het datacenter van een ziekenhuis blokkeren wat je wilt, maar die trackingpixel wordt bij de mensen thuis verwerkt.
De trackingpixel is een verwijzing naar een URL die je in de HTML-code plaatst op je site. Niet meer en niet minder.

bij het laden van de pagina op de computer van de eindgebruiker, zoekt de browser dus ook contact met de URL waar de trackingpixel op staat. Dat is het moment dat de trackingpixel zijn werk doet, en dat werk wordt uitgevoerd op de computer van de eindgebruiker. De trackingpixel legt vast wie welke site bezoekt en kan de site ook scrapen (informatie inzamelen die op de betreffende site staat, zoals de naam van de dokter in kwestie en de kwaal waar de afspraak over gaat).

De trackingpixel staat dus niet "op de server" en wordt ook niet "op de server" uitgevoerd. Door het facebook.com-domein te blokkeren, voorkom je dus ook niet dat mensen die de portal thuis bezoeken, alsnog onbedoeld FB laten meekijken.

Het kwaad zit in dit geval bij de persoon or het bedrijf dat het blijkbaar nodig vond om die trackingpixel op de site te plaatsen. Dat is namelijk een heel bewuste actie en gaat niet vanzelf of per ongeluk.

[Reactie gewijzigd door Heroic_Nonsense op 17 juni 2022 07:30]

Aha! Dank voor de uitleg. Kan je geen +1 geven helaas

[Reactie gewijzigd door phoenix2149 op 17 juni 2022 08:15]

Eigenlijk klopt de titel dan niet. @JayStout Kun je de claim bevestigen dat de tracking vanuit de gebruikerssysteem kwam?

Als de trackingpixel op het systeem van de gebruiker staat stuurt de gebruiker de data zelf naar META en niet het ziekenhuis toch?


Mijn inziens is het heel simpel:
  • Komt de tracking vanuit de gebruiker --> Gebruiker maakt inbreuk op de privacy van de arts, zijn eigen privacy is hij zelf voor verantwoordelijk
  • Komt de tracking vanuit het ziekenhuis --> Ziekenhuis maakt inbreauk op de privacy van de arts en patient.

[Reactie gewijzigd door phoenix2149 op 17 juni 2022 13:20]

Die trackingpixel is daar neergezet door (/in opdracht van) het ziekenhuis. Niet door de eindgebruiker/patient. Om die laatste dan aansprakelijk te stellen én te stellen dat het juist de eindgebruiker/patient is die inbreuk pleegt, gaat veel te ver.

Dat de code wordt uitgevoerd o pde computer van de patient doet daar niet aan af. Als ik jou nu naar een URL stuur met daarop mijn telefoonnummer en een meta trackingpixel, ben jij er toch ook niet verantwoordelijk voor dat FB daarna mijn telefoonnummer heeft? Dat ben ik dan nog altijd zelf (want ik heb die trackingpixel op die site gezet).
Ik begrijp het klaarblijkelijk niet.

Stuurt de instantie dus een Meta tracking pixel? dan klopt mijn statement (en die van het artikel) dat het ziekenhuis zijn security/privacy niet op orde heeft en dat dit een van de redenen is dat alles wat maar mat Meta te maken heeft vanuit de instantie geblokkeerd moet worden.
Klopt: de site van het ziekenhuis bevat de trackingpixel. De eindgebruiker/patient heeft dat dus niet veroorzaakt.

Die trackingpixel is daar geplaatst door de persoon of het bedrijf dat de site heeft gebouwd.
Het gaat er om dat de tracker “op de portal” staat. Dit staat in de eerste zin.

Als gebruikers systemen dusdanig hoe toegang hebben tot en potten heb je een veel groter ICT probleem denk ik.
"de tracker" is een stukje javascript in iedere webpagina van "de portal", "de tracker" is dus niet iets wat op de webservers van het ziekenhuis staat/draait.
Maar dan klopt de titel niet toch? Want als het ziekenhuis de data stuurde moet het vanuit hun systeem komen toch?
Het ziekenhuis zet het script en de data op hun portal... daarmee zendt het ziekenhuis die data (via de browser van de patient)
Dat snap ik. Maar niet naar Meta dan toch? Tenzij er een meta script dus via hun portal loopt. Waarmee ze dus hun beveiliging/privacy niet op orde hebben.
Waarom zou het Meta-script de data niet naar Meta sturen? Dat is nu juist de functie van die Meta tracking-pixel: informatie naar Meta sturen voor opname in de tracking cloud van Meta (om te tracken hoe de gebruiker op de site rondhangt) - tracking-as-a-service, met als lokkertje een mooie tracking portal waarop je precies kunt zien hoe je site gebruikt wordt, wat de conversie is (gebruikers die de door een sitebouwer gewenste actie(s) op een pagina uitvoeren), welke delen van je site welk aandeel in de pageviews hebben.

Allemaal zaken waarvoor je met veel moeite een self-hosted tracking portal kunt optuigen om dat privacy-vriendelijk te doen danwel de trackingtools van de datareuzen Meta of Google (Google Analytics) gebruiken.

En voor een patientenportal met gevoelige gegevens moet je je ernstig afvragen of je überhaupt dit soort detaillistische tracking wilt hebben. Mijn neiging zou eerder zijn: zelfs niet eens selfhosted tracking op een dergelijke site.
Het gaat hier alleen om de website van het ziekenhuis. Daar komen patiënten dus op hun pc thuis of op hun telefoon. En op die netwerken staan de sociale media waarschijnlijk niet geblokkeerd.
Dat moet haast een dagtaak zijn. Wij werken met toeganglijsten. Hoef je alleen te updaten als je applicatie ergens bij moet.
Als je aan het werk bent heb je die rotzooi ook niet nodig :)
Pauze vind ik een ander verhaal, maar heel goed dat deze zooi word geblokkeerd bij phoenix2149's vorige werkplek. Facebook/meta heeft niks nodig aan die data. Schotel maar katten filmpjes voor moeders en gepensioneerden, dat lijkt me veel toepasselijker voor het achterlijke platform wat het is geworden.
Beetje kort door de bocht. Het zal ook erg rustig worden op deze site als alles wordt geblokkeerd omdat je het niet nodig hebt tijdens je werk....
Tweakers is voor ITers wel een bron van info :)
Buiten dat natuurlijk.
Ligt er maar aan wat voor werk. Handhaving van gemeentes bijvoorbeeld. Of recruiting. Regelmatig wat verschil tussen wat mensen zeggen en wat mensen op socials zetten.
Waarbij alsnog de vraag is waar je de grens moet trekken. Mensen beoordelen op jeugdzonden geeft bijvoorbeeld geen pas. Fraude opsporen opzich misschien wel, maar zou ook onderhevig moeten zijn aan bepaalde zorgvuldigheid. Niet elke medewerker zou dat werk kunnen doen.,
Misschien moet je je eerst eens verdiepen in wat zo'n tracking pixel doet en hoe deze op een website gezet wordt. Je kunt dan alle domeinen ter wereld blokkeren, maar de data wordt gewoon doorgestuurd. Jouw opmerking is dus redelijk zinloos.
De data moet toch ergens naartoe…
Tracking pixels do not rely on the user’s browser but will send information directly to servers.
https://www.cookiepro.com/knowledge/tracking-pixel/

Als je dus het doel blokkeert dan kan de data niet weg.

Maar nog steeds lees ik dat ook een trackingpixel bewust op de website staat/is verwerkt. Deze website is van ziekenhuis/portal provider.

Daarmee nemen ze dus een risico om mega teaching pixel te embedded in hun site.
Lijkt mij een prima iets om strafrechtelijke vervolging voor op te starten richting diegenen die hiervoor verantwoordelijk zijn.
Dat lijkt mij ook. Bedrijven hebben geen enkele vorm van ethiek meer, letterlijk álles waarmee geld kan worden verdiend wordt uitgebuit. En als ze gepakt worden? Meh, "het was een foutje, het is nu gefixt", zo lang toch maar mooi weer geld aan verdiend en over 2 dagen hoor je niemand meer ergens over. Ze komen er tóch wel mee weg dus het boeit ze helemaal niks.

De enige manier om dit aan te pakken is met een strafrechtelijke vervolging en, Amerika kennende, een schadeclaim van enkele miljoenen per casus.
Zullen we die enkele miljoenen per casus maar niet doen vanwege het algemeen belang ;)

Niemand is erbij gebaat door ziekenhuizen om te laten vallen, en om nu vele duizenden mensen de bijstand in te jagen door de fout van enkelen gaat mij persoonlijk ook te ver.
Het zijn niet de ziekenhuizen zelf die hun websites bouwden, neem ik aan. De webdevs kunnen daarvoor verantwoordelijk gesteld worden. Ze moeten toch wel weten wat ze bouwen en aan wat voor regels hun werk moet voldoen. Dat kan je niet van de klant verwachten.
Het zijn niet de ziekenhuizen zelf die hun websites bouwden, neem ik aan. De webdevs kunnen daarvoor verantwoordelijk gesteld worden.
Webdevs:
"Volgens onze werkopdracht moesten wij het zo doen."

Managers:
"Volgens onze klant moesten wij het zo doen."

Klant:
"Huh?"

De ziekenhuizen blijven eindverantwoordelijk. Het is immers hun site, ook al is die in opdracht gemaakt. Dat ze zelf geen goede controle toezien op het werk dat ze uitbesteden ontslaat hen niet van hun verantwoordingen.
Die verantwoordelijkheid gaat maar ten dele op.
Net zoals als je een auto koopt, je ervan uit mag gaan dat die aan regelgeving voldoet.
Veel website klanten weten geen biet van technische oplossingen zoals bijv. de Meta business tools of Google Analytics.
Ik denk dat het bijv. moeilijk aangetoond kan worden dat de klant weet dat die Meta pixel gebruikt wordt. Dat is bijna altijd puur een keuze van de webdev, en ook de toepassing daarvan is een beslissing van de webdev.
Dit gaat om grote bedrijven Edward-Elmhurst heeft bijvoorbeeld 7700 mensen in loondienst, Wakemed 8,500, en bij Novant 29.000 Ik denk dat het veilig is om de aanname te doen dat die ook zelf mensen in dienst hebben die hier kennis van hebben, en ik verwacht ook dat die minimaal 1 iemand hebben die als enige taak heeft om de eigen systemen op Hipaa te controleren.

[Reactie gewijzigd door Groningerkoek op 16 juni 2022 21:57]

Net zoals als je een auto koopt, je ervan uit mag gaan dat die aan regelgeving voldoet.
Autovergelijkingen werken niet op T.net. Ook deze ideebubbel prik je zo met een naald door.

We praten hier niet over een auto kopen, maar een auto bouwen. Op maat. Die moet nog steeds gekeurd worden voor veiligheid voordat die de weg op mag. Die keuring kan een enkele partij doen.

Het ziekenhuis laat een site op maat bouwen, maar hoeft die niet te keuren. Dat ontslaat hen niet van hun verantwoording. Zelf mogen zij dat weer proberen te verhalen op degene die de site gebouwd heeft, maar daar heeft de bezoeker geen relatie mee.
In Amerika laten ziekenhuizen jou ook vallen als je niet verzekerd bent en de rekening niet meer kan betalen. Ik zie geen enkele grond om medelijden met ze te hebben :)
Wut? Je bedoelt dat een ziekenhuis jou gewoon moet behandelen, terwijl ze daar niks voor betaald krijgen? Hoe zie je dat voor je, werk jij ook gewoon door als je baas jou niks betaalt?
Dat is hier wel het geval hoor. Artsen moeten ook onverzekerden behandelen in gevallen van nood.
Wat een kortzichtige en onwetende reactie, veel ziekenhuizen zijn non-profit en helpen iedereen en de rekening betalen gaat naar draagkracht.
Niemand is erbij gebaat door ziekenhuizen om te laten vallen, en om nu vele duizenden mensen de bijstand in te jagen door de fout van enkelen gaat mij persoonlijk ook te ver.
Ziekenhuizen in Amerika zijn geprivatiseerd. Door concurrentie (vrije markt, he?) komt er wel een ander. En welke bijstand? Het is Amerika.
20% van de ziekenhuizen in Amerika zijn van de overheid, en dat is een hoger percentage dan in Nederland. Daarnaast ken ook Amerika een bijstandssysteem.

Tevens is er een enorm verschil in kosten tussen het draaiende houden van een bestaand ziekenhuis of een nieuw ziekenhuis beginnen, dus dat "komt wel een ander" moet je maar afwachten.
20% van de ziekenhuizen in Amerika zijn van de overheid, en dat is een hoger percentage dan in Nederland. Daarnaast ken ook Amerika een bijstandssysteem.
Een schrale troost als je in de VS de armoede in wordt geduwd door een enkel bezoek aan het ziekenhuis. In Nederland? Eigen risico en... that's it. Voor iedereen, van jong tot oud, van arm tot rijk.

[Reactie gewijzigd door The Zep Man op 16 juni 2022 23:04]

Eigen risico heeft hier niets mee te maken en je gaat de dingen nu door de war halen. De keuze van wel of geen nationaal ziekenfonds is niet aan de zorgverleners maar aan de politiek. En omdat er geen centrale pot is van waaruit de zorgverlener wordt betaald rest die zorgverlener 2 keuzes: Keuze 1: Laat de patient betalen. Keuze 2: Sluit de deuren.

Inmiddels zijn er veel ziekenhuizen die non-profit zijn en die patiënten naar draagkracht laten betalen en die vaak ook nog externe sponsors hebben om dit beleid te kunnen voeren.

Als je de ziekenhuizen de schuld gaat geven dat zorg in Amerika duur kan zijn dan heb je er echt helemaal niets van begrepen.
Eigen risico heeft hier niets mee te maken en je gaat de dingen nu door de war halen.
Je kan wel schermen met dat sommige ziekenhuisen non-profit zijn, maar daar heb je geen keuze in als je van straat geschraapt wordt. Alleen de ambulancerit kan je in de VS al in ellende brengen.

Waar mijn reactie mee te maken heeft is hoeveel mensen in verhouding in de VS bankroet gaan door een (ongewilde) rit naar het ziekenhuis en in Nederland.

[Reactie gewijzigd door The Zep Man op 17 juni 2022 11:28]

Waarom heb jij zo de behoefte om die ziekenhuizen in een slecht daglicht te stellen?

Ik zeg veel ziekenhuizen zijn non-profit, en dan kom jij met dat ik wel kan schermen met dat sommige ziekenhuizen non-profit zijn.. Even voor jouw info, meer dan 50% is non-profit.

En dat bankroet gaan is niet de schuld van het ziekenhuis, stel je voor dat je hier met spoed naar het UMCG moet voor een hart-operatie met 2 weken intern herstel. Dan zijn velen hier toch ook bankroet als de overheid hier nooit een solidair ziektekostenstelsel had ingevoerd.
Tenzij je niet op let en bij een niet gecontracteerde zorgverlener terecht komt, dan ben je ook de zak.
1) Dan moet je geen budgetpolis nemen/niet blind voor de goedkoopste gaan.
2) levensbedreigende behandelingen zitten allemaal in het basispakket dus kosten alleen eigen risico
3) bovendien gaat het dan meestal om enkele honderden euro’s, niet om 10.000-den.
Het ging mij er om dat je in Nederland ook in zo'n situatie terecht kan komen. Of het door een budget polis komt maakt me niet uit.
Het stukje " Eigen risico en... that's it. Voor iedereen, van jong tot oud, van arm tot rijk." Klopt dus niet.

Een enkel dokter bezoek kost honderden euro's, een behandeling zit al vlug in de duizenden tot tienduizenden. Zelfs als je maar 30% zelf moet betalen tikt dat aardig aan. Geen Amerikaanse niveaus maar genoeg om problemen te krijgen als je niet vermogend bent.

En dan niet te beginnen over (steeds meer) medicijnen die niet vergoed worden of behandeling die volgens de zorgverzekeraar niet bij een hoog genoeg percentage helpt en je dus zelf moet betalen.

[Reactie gewijzigd door Meessen op 17 juni 2022 00:13]

Je overdrijft gigantisch.

Een dokter zit gewoon in het basispakket. Dat je niet altijd zult kunnen kiezen naar welke specialist je kunt gaan, komt door een budgetpolis. Daar is nog steeds bijzonder veel op verzekerd, maar dan moet je vaak wel naar specifieke specialisten.

Dan heb je dus de combinatie:
1) zelf gekozen voor een polis die niet overal alles dekt
2) niet gekeken naar waar jij wel zelf gratis geholpen wordt

Bovendien zijn veruit de meeste van de dure behandelingen, zoals ik al zei, gewoon onder de basisverzekering gedekt en geldt daar alleen het eigen risico.

Ja, er zijn behandelingen met dure medicijnen die niet vergoed worden.
Ja, er zijn mensen die gebruik maken van zorg waar ze maar gedeeltelijk voor verzekerd zijn.

Als je het niet eens bent met de stelling dat je in Nederland altijd verzekerd bent met alleen eigen risico, dan is een volstrekt overdreven reactie geven nu niet de sterkste zet.
"Ja, er zijn behandelingen met dure medicijnen die niet vergoed worden.
Ja, er zijn mensen die gebruik maken van zorg waar ze maar gedeeltelijk voor verzekerd zijn."

Dus ik heb gelijk. Ik zeg niet dat het vaak voor komt maar wel gebeurt.
En uit eigen ervaring kom je ook met dure polissen ongecontracteerde zorg tegen.

Maar ja deze discussie is nutteloos.
Jouw stelling was. "Tenzij je niet op let en bij een niet gecontracteerde zorgverlener terecht komt, dan ben je ook de zak."

Daar staat zwart-wit gewoon dat je de zak bent en niets over hypothetische rekeningen. Dus niet halverwege je verhaal aan gaan lopen passen.

Dus dan kun je leuk op basis van mijn reacties vinden dat je gelijk had, maar
1) "Ja, er zijn behandelingen met dure medicijnen die niet vergoed worden." Dat heeft dus geen hol met niet gecontracteerde zorgverleners te maken.
2) "Ja, er zijn mensen die gebruik maken van zorg waar ze maar gedeeltelijk voor verzekerd zijn." Eerst zijn ze bij jou per definitie de lul en daarna zijn er opeens mensen die daar volgens jou 10-000-den euro's aan kwijt zijn.
En dat is ook nog eens bijzonder zeldzaam, alleen al omdat behandelingen voor dat soort prijzen normaliter gewoon in de basisverzekering zit.

Dus je reactie: "Dus ik had gelijk", slaat werkelijk nergens op.
Ik mag voor je hopen dat je dat ook niet echt denkt, want dan kun je wel wat hulp gebruiken.
Het moet maar eens afgelopen zijn dat private partijen en bedrijven telkens maar weg blijven komen met makkelijk te dragen en vaak al ingecalculeerde boetes die amper zeer doen. Maar overheden en de EU lijken het wel een leuk verdienmodel te vinden en staan het op deze manier gewoon toe, laten het gaan.
Je kunt het zo niet vergelijken. Een publiek ziekenhuis in de VS wordt volledig betaald met overheidsgeld en is echt van de overheid daarnaast heb je privéklinieken die geen publieke zorg verlenen. Bij ons zijn ziekenhuizen zelfstandige organisaties maar die verlenen wel de publieke zorg. Die zitten wel vast aan alle regels rondom de publieke zorg.
"Niemand is erbij gebaat door ziekenhuizen om te laten vallen"

Zo gaat het dus altijd. Enorme bouwfraude? Dat is er altijd wel meer iemand die roept "Maar we moeten ze alleen licht straffen, anders valt de hele bouwmarkt om."

'Too big to fail' is het perfecte chantage middel geworden om de supergrote bedrijven weg te laten komen met bijna alles.
Tussen licht straffen en miljoenen per casus zit nog een heel groot gebied.

En inderdaad hadden we die bedrijven over de kop laten gaan dan was Nederland 334 bouwbedrijven verloren waaronder alle grote jongens, dat zou een enorme vervolgschade opleveren voor klanten, toeleveranciers en de economie als geheel.
Strafrechtelijk? Wat is de aanklacht dan?
Ik ben geen jurist, maar
Volgens privacyexperten hebben deze ziekenhuizen mogelijks een Amerikaanse wet overtreden, de Health Insurance Portability and Accountability Act. Die wet bepaalt dat Amerikaanse ziekenhuizen geen data van patiënten mogen delen met derden als deze niet geanonimiseerd is. Enkel wanneer een patiënt uitdrukkelijke en voorafgaande toestemming heeft gegeven, is dit wel toegestaan. Volgens The Markup beschikken de ziekenhuizen niet over dergelijke toestemmingen van patiënten.
Ik hoop dat op basis van die wet een aanklacht kan worden geformuleerd.
Nou ja als ik de bron zo bekijk ben ik nog niet overtuigd dat ze hier daadwerkelijk iets verkeerd doen. Maar ik ben ook geen jurist.

Gelukkig is dat in Nederland anders geregeld (is eigenlijk een aanname). Het is toch bizar dat een situatie als deze überhaupt discutabel is :p
Ah, HIPAA, uiteraard. Thanks!
Ik zou behalve de ziekenhuizen ook Meta stevig aanpakken, die illegaal verkregen data gewoon aangepakt heeft.
Dat ik iets niet aan jou mag geven houdt niet automatisch in dat het voor jou strafbaar is om dit aan te nemen.
En door dit soort geneuzel en alles maar blijven rationaliseren word het dus nooit echt eens hard aangepakt, boetes innen is namelijk erg lucratief gebleken voor overheden etc.
Het is helemaal nog niet duidelijk wat en of Meta iets met deze gegevens heeft gedaan en of Meta wetenschap had van het feit dat haar klanten geen toestemming hadden om deze gegevens bij haar onder te brengen.

Nu al roepen dat Meta moet worden aangepakt is voorbarig, als later blijkt dat meta ook iets te verwijten valt dan moet zij ook bloeden net als de rest die iets te verwijten valt.
Mijn punt is nu juist dat dat bloeden wel mee valt, en heb het woord Meta niet genoemd.
Jij reageerde op een post die een reactie was op iemand die Meta nu al aan wil pakken.
Meta valt alles te verwijten. Niemand die toestemming heeft gegeven om Meta gegevens te laten verzamelen. En toch doen ze het.

Ook van niet Meta gebruikers. Domweg van iedereen die in aanraking komt met hun tracking pixel.
Dat dit nog steeds kan is het grootste probleem.
Het is het bedrijf dat de pixel op haar eigen website zet welke primair veranderlijk is voor welke gegevens wel of niet naar meta worden doorgestuurd.

Het is ook niet meta die zegt "kom en nu gaan we daar gegevens verzamelen" nee het is het bedrijf dat zegt "En nu gaan wij gegevens naar meta sturen zodat wij lekker kunnen analyseren en gericht kunnen adverteren."
Ik doel niet op het bedrijf welke deze Pixel implementeert, heb het over de Pixel in het algemeen. Dit zou gewoon niet moeten mogen, het tracken van iedereen teneinde er veel geld mee te verdienen. De hoogste boete is nog niet hoog genoeg in het geval van Meta.
Vind ik zelf echt onzin. Het is gewoon een zeer handige tool om gerichte advertenties te tonen en voor sites om analytics uit te voeren. Het probleem ontstaat pas als mensen deze tool op hun websites gaan hanteren en deze onjuist configureren, of deze op sites zetten waar ze helemaal geen niet zo'n ding zouden moeten plaatsen.

Beetje of je Stanley gaat verwijten dat mensen zich op hun duim slaan of de hamer gebruiken om schroeven erin te spijkeren.

Daarnaast is dit slechts 1 van de vele methoden om hetzelfde te bereiken, Tweakers heeft pas onlangs gekozen om afscheid te nemen van een soortgelijke methode om jou en mij gerichte advertenties voor te schotelen.

Maar schijnbaar staat jouw haat jegens Meta jou een objectieve kijk in de weg.

[Reactie gewijzigd door Groningerkoek op 18 juni 2022 00:36]

Vreemde redenatie. Een bedrijf bespioneerd me en dat is normaal? Dat dit normaal wordt gevonden zegt meer over hoe we afgegleden zijn qua privacy op het internet.
Het is niet meta die de gegevens ongevraagd ophaalt, het is het ziekenhuis welke zonder haar klanten te vragen aan meta verteld dat zij deze gegevens kan ophalen van haar site. Het is in deze niet de taak van meta om dergelijke toestemming te controleren.

[Reactie gewijzigd door Groningerkoek op 18 juni 2022 23:32]

Jij vindt het wel of niet aanwezig zijn van een wettelijke basis voor boetes geneuzel? Dus als een agent gewoon een slecht bui heeft vind je het prima dat hij jou een boete geeft zonder basis?
Waar zeg ik dat ? heb ik het niet eens over gehad, leuk geprobeerd.
Ik denk eerder dat het een domme implementatie is geweest. En ik zie dat wel vaker. De front-end van een ziekenhuis kan je prima met een pixel doen. Echter pagina's die normaal alleen voor patienten of doktoren inzichtelijk moeten zijn stond die tracker ook op geinstalleerd.

Het is dus een sitewide implementatie geweest wat utterly-stupid is. Ik vindt dat je trackers, tools, analytics etc alleen op pagina's toe moet passen daar waar het hoort (front-end bijv) en gedeeltes wat beschermd is of moet zijn juist uitgesloten is.

Denk dat hier gewoon gebruik gemaakt is van een zo goedkoop mogelijk software bedrijf. Wordpress is ook een schuldige hier (bijv) aan omdat het plugins op sitewide niveau activeert en ook de resources hiervoor meelaadt.

Kan wel 10 voorbeelden geven waar het gebeurd, implementatie is gewoon ruk.
Ik ben hier zo klaar mee, hier moet inderdaad een commissie hard achteraan gaan. En vergoeding voor wiens gegevens zonder hun weten door zij gespeeld naar een commerciële partij. Wtf.
Het nut van een Meta Pixel daargelaten, hoe kom je erop om zo'n pixel in een patiëntenportaal dewelke gevoelige gegevens verwerkt in te bouwen?
Is handig, weten je vrienden direct wat je hebt en wanneer je er bent. :)
geef een marketingafdeling toegang tot Google’s Datalayer, en zet er minder slimme developers op, inplementeer geen streng CSP beleid, en voila. Kan iedereen overkomen,…
Gewoon omdat het kan en het niets kost.
Het zal mij eerlijk gezegd niet verbazen als het domweg in een template zit die is hergebruikt voor deze ziekenhuizen.
amateuristisch als dit opzettelijk is gedaan. Het is eenvoudiger de gebruikers database en logging aan Facebook te overhandigen en niemand die het ziet (behalve dat facebook je medische advertenties geeft)
“Als” het was opzettelijk gedaan? Natuurlijk door fb it was. Door de ziekenhauzen? Daar weet ik niet. Mischien was gewoon een “Patel” ingehuurd uit Mumbai om de website te maken, en die was of gewoon dom, of scheelde hem helemaal niks over “privacy”.
Maak niet uit, ik zow toch die ziekenhausen aanklagen.
Maar tenzij iemand wordt persoonlijk verantwordelijk, gaan zulke dingen gebeuren. Als je als IT hoofd niet persoonlijk verantwordelijk, kan je doen wat je wilt zonder enige consequenties.

[Reactie gewijzigd door andru123 op 16 juni 2022 20:11]

wtf is dit ??

waarom moet er per se zo'n tracking pixel op de site vh ziekenhuis ? die hoort niet op dit soort sites te staan.
Waarom staat facebook t toe een trackingpixel te plaatsen op zorginstellingen sites?

Ohw wacht… facebook. Nevermind
wtf is dit ??

waarom moet er per se zo'n tracking pixel op de site vh ziekenhuis ? die hoort niet op dit soort sites te staan.
ftfy
Hoe is de situatie in Nederland en België en de ziekenhuizen daar? Ik kan me nog herinneren dat Nederlandse zorgverzekeraars en ziekenhuizen in 2018 trackingpixels gebruikte op hun sites. Al zal het sinds de AVG handhaving wel niet (of nauwelijks) meer voorkomen.
https://nos.nl/artikel/22...ook-van-medische-pagina-s
https://nos.nl/artikel/22...acking-pixel-van-facebook
https://www.duic.nl/algem...edrag-door-naar-facebook/

[Reactie gewijzigd door jdh009 op 16 juni 2022 18:55]

Kans is groot dat de ziekenhuizen een web design bureautje hebben ingeschakeld om de website te ontwikkelen en dat bureautje gebruikt gewoon kant-en-klare templates waar de Meta Pixel (en Google Analytics hoogstwaarschijnlijk ook) tracker al in is verwerkt. Heb ik ook meegemaakt voor een commercieel bedrijf waar we nog een extra factuur gepresenteerd kregen voor het verwijderen van die 'standaardcode'..(niet betaald natuurlijk, stond niet in onze requirements dat we trackers wilden hebben).
Dit is onlangs toch ook bij Nederlandse zorgverzekeraars voorgekomen? Dat er zelfs in de klantenportaal trackers waren ingebouwd...ongelofelijk.
Ik denk niet dat grote ziekenhuizen hun client-portals laten maken door een "web design bureautje"

Jij wel?
Nou gedeeltelijk waar, maar het heeft er eerder mee te maken dat Google en Fb/Meta 'gratis' software ter beschikking stelt, met dáárin al die tracking rommel al verweven. En dat ook 'professionele' ontwikkelaars die libraries gebruiken in hun eigen producten, want dat is sneller en goedkoper. Want 'goedkoop' en korte time to market... Dus het zijn heus niet 'bureautjes' alleen die dit doen. Sterker, net als Microsoft met Office dat gratis voor scholen is, leren mensen op opleidingen óók met die 'gratis' software te werken tijdens hun studie, dus ze kúnnen het vaak helemaal niet zonder...
Bij mijn huisarts draait Google Analytics op praktijkinfo.nl. Zelfs op het patiëntengedeelte. Ik heb lang terug praktijkinfo gemaild maar die wilden mij niet een antwoord geven over wat een klant van hun had ingesteld. De huisarts sprak ik een half jaar terug en die had er geen idee dat dat draaide. Tot op heden staat nog steeds Google Analytics aan…
Gewoon melden bij Autoriteit Persoonsgegevens of Patiëntenfederatie Nederland dan. Kijken wat die er van zeggen.

Dit staat op de site van ze btw:
Waarom Praktijkinfo?
Levert al meer dan 15 jaar betrouwbare praktijksites voor ruim 2.000 zorgverleners
Volgens de laatste veiligheidsstandaarden en features
https://www.praktijkinfo.nl/home/

[Reactie gewijzigd door rr7r op 16 juni 2022 23:36]

De AP krijgt tienduizenden meldingen waar ze niks mee kunnen doen vanwege een groot tekort aan budget. Ach, het is alsnog beter dan niet melden I guess.

Op dit item kan niet meer gereageerd worden.

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee