De Nederlandse organisatie voor zelfmoordpreventie 113 Zelfmoordpreventie ligt onder vuur nadat onderzoekers ontdekten dat haar website gevoelige bezoekersgegevens deelde met Google en Microsoft, wat mogelijk in strijd is met Europese privacywetten.
Het probleem werd ontdekt door een ethische hacker Mick Beer from Hackedemia.nl , die ontdekte dat bezoekers van de zelfmoordpreventiewebsite werden gevolgd via analytics- en monitoringtools, zelfs als ze geen toestemming hadden gegeven voor cookies. Volgens het onderzoek omvatte de gedeelde informatie locaties van bezoekers, browser- en apparaatgegevens, eerder bezochte websites en schermopnames van activiteiten op het platform.
Onderzoekers waarschuwden dat het simpelweg bezoeken van een website ter preventie van zelfmoordpreventie al zeer gevoelige gezondheidsgerelateerde informatie vormt onder het privacykader van de Europese AVG. De zorg is dat technologiebedrijven die deze metadata ontvangen het mogelijk kunnen gebruiken om advertenties of gedragsprofielen die aan gebruikers gekoppeld zijn te verrijken.
“Als iemand de pagina 113 opent, of op het chat- of belmenu klikt, is dat op zichzelf al gevoelige informatie,” vertelde Beer aan de Nederlandse media.
Het onderzoek wees uit dat sommige informatie naar Google werd gestuurd, ongeacht of gebruikers trackingcookies accepteerden. Gegevens zouden ook via aanvullende analysesystemen met Microsoft zijn gedeeld wanneer cookies werden geaccepteerd.
Hoewel de organisatie verklaarde dat er geen chatberichten of directe gespreksinhoud werd gedeeld, zeggen privacy-experts dat metadata alleen zeer persoonlijke informatie kan onthullen over kwetsbare gebruikers die mentale gezondheidszorg zoeken. Het bezoeken van een pagina over zelfmoordpreventie, het openen van een crisischat of het inschakelen van noodhulpmiddelen kan al aangeven dat iemand psychisch in nood is.
Na de onthulling heeft Stichting 113 tijdelijk alle analyse- en meetinstrumenten op haar website uitgeschakeld tijdens het onderzoeken van de omvang van het probleem. De organisatie erkende zorgen over de privacy van gebruikers en zei dat zij de implementatie van de trackingsystemen aan het herzien was.
“We beseffen dat bezoekers erop moeten kunnen vertrouwen dat hun privacy wordt beschermd,” zei een woordvoerder nadat de bevindingen openbaar werden gemaakt.
Het incident heeft bredere zorgen opgeroepen over trackingtechnologieën die zijn ingebed in gezondheidszorg, therapie en geestelijke gezondheidszorg. Privacyonderzoekers hebben herhaaldelijk gewaarschuwd dat analysescripts, reclamepixels en sessie-opnametools onbedoeld gevoelige medische of psychologische informatie aan derden kunnen blootstellen.
Volgens de AVG-regels zijn organisaties die medische gegevens verwerken verplicht om strengere privacybescherming toe te passen en expliciete toestemming te verkrijgen voordat gevoelige informatie verwerkt wordt. Toezichthouders zouden nu kunnen onderzoeken of de organisatie voor zelfmoordpreventie de Europese gegevensbeschermingswetten heeft overtreden door door derden toestaat dat trackingsystemen bezoekers metadata verzamelen.