Consumentenbond: medische zelftests op internet niet goed beveiligd

Websites met medische zelftests zijn lang niet altijd goed beveiligd. De Consumentenbond concludeert dat zeer persoonlijke informatie in verkeerde handen kan komen.

Vaak ontbreekt bij medische zelftests de mogelijkheid om cookies te weigeren.Beeld thinkstock

De bond bekeek acht websites die tests aanbieden over gevoelige onderwerpen als depressieklachten, drankgebruik en stress. Vier van deze sites zijn van verslavingsinstituut Trimbos. Verder zijn de sites van de verzekeraars CZ en Menzis, en de sites Therapieland.nl en Persoonlijkegezondheidscheck.nl onder de loep genomen. Dat viel niet mee.

De zelftest op Minderdrinken.nl van Trimbos bleek bijvoorbeeld wachtwoorden, e-mailadressen, geslacht en leeftijd van gebruikers over een onbeveiligde internetverbinding te versturen. Ook was het forum niet beveiligd. Bij de zelftest van zorgverzekeraar Menzis moeten deelnemers vooraf een account aanmaken en daarbij e-mailadres, leeftijd en geslacht invullen. 'Dit vergroot de kans op misbruik van persoonlijke gegevens, terwijl het voor de test geen noodzakelijke informatie is', meent de Consumentenbond.

Concurrent CZ zou het met zijn Depritest beter doen: hier hoeft de klant geen account te maken. De uitslag verschijnt gewoon op het scherm. Daphne van der Kroft van privacyorganisatie Bits of Freedom vindt dit een voorbeeld van hoe het moet: laagdrempelig en gebruiksvriendelijk.

Een woordvoerder van Menzis kan zich niet vinden in de conclusie van de bond: 'Wij vragen die extra informatie juist om veiligheid te kunnen garanderen. Natuurlijk kan het laagdrempeliger, maar dat is iets anders dan veiliger.'

Cookies

Een ander probleem vormen cookies. Zo plaatst Therapieland.nl, dat online therapieën voor seks- en pornoverslaving aanbiedt, vijftien verschillende reclametrackingcookies. De mogelijkheid om ze te weigeren ontbreekt, stelt de bond. Het risico hiervan is dat mensen die deze test invullen achtervolgd zullen blijven met reclame die inspeelt op hun persoonlijke omstandigheden. Porno in dit geval. Therapieland zegt in een reactie dat bijna alle cookies inmiddels zijn verwijderd.

Ook Trimbos ging hier de mist in. Op minderdrinken.nl werden zelfs geheel ongevraagd trackingcookies geplaatst, waardoor bedrijven als Facebook, Twitter en Google kunnen zien wie die sites heeft bezocht. Tot overmaat van ramp staat op de vier websites van Trimbos verouderde informatie over waar het bedrijf zijn dataverwerking uitbesteedt.

Privacyverklaringen

Tot slot gaat het vaak niet goed met privacyverklaringen. Soms ontbreken ze helemaal, zoals op minderdrinken.nl. Bij de zelftest Kleurjeleven.nl is een verklaring er wel, maar staat doodleuk vermeld dat de gegevens ook gebruikt kunnen worden voor de 'verkoop van producten en diensten'.

Het Trimbos-instituut zegt in een reactie maatregelen te hebben genomen. Trackingcookies zijn verwijderd en alle sites maken inmiddels gebruik van veilige https-verbindingen. Ook Therapieland heeft een aantal reclamecookies verwijderd, maar die van het advertentienetwerk van Google zijn er nog steeds.

Voor de bond zijn de uitkomsten aanleiding om meer soortgelijke websites te gaan onderzoeken.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright @volkskrant.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden