Life

Hoe mijn privacy geschonden werd door een medische app

Frederieke Hegger • 22 februari 2018 06:23 @frederiekeh

Hoe mijn privacy geschonden werd door een medische app

RTL Z-redacteur Frederieke Hegger wilde gebruikmaken van een huidkanker-app en werd vervolgens gescand op aantal social media-volgers voor commerciële doeleinden. Advocaten zijn er duidelijk over: "Dit is in strijd met de wet."

Mijn huid zit vol met sproeten. Vooral in de zomer ben ik één wandelende sproeten-explosie. Volgens de experts is dat een aanwijzing voor een gevoelige huid: ik moet me goed insmeren met zonnebrandcrème en regelmatig checken of er nieuwe moedervlekken bijkomen.

Dat levert af en toe wel een dilemma op: zat deze moedervlek er al (geen idee), verandert 'ie (of denk ik dat alleen) en zo ja, is dat erg? Ik vind het nogal overdreven om elke maand naar de huisarts te gaan.

1,2 miljoen gebruikers

Ik was daarom gelijk geïnteresseerd toen ik las over de app SkinVision. Collega Pepijn Nagtzaam interviewde de Nederlandse ceo over het concept: je maakt een foto van de moedervlek, en die foto wordt vergeleken met een database van 3,5 miljoen huidfoto's; tekenen die kunnen wijzen op huidkanker worden op die manier gesignaleerd.

Binnen 48 uur hoor je of er reden is tot zorg. Natuurlijk: het is geen vervanging van de huisarts, maar het helpt wellicht bij je zelfdiagnose. In het wetenschappelijk bestuur van het bedrijf zitten dermatologen. 1,2 miljoen mensen hebben al gebruik gemaakt van de app.

Een nieuwe volger op Twitter 

"Het kan geen kwaad om die app eens uit te proberen", dacht ik. Dinsdagochtend heb ik de app gedownload en ik wilde gelijk zien hoe het werkte. Helaas wilde het maken van een scherpe foto maar niet lukken. Na drie pogingen liet ik de app voor wat het was; ik had haast en moest naar de redactie.

Binnen enkele uren gebeurde er iets geks: Skinvision volgde mij ineens op Twitter. "Dat kan haast geen toeval zijn", dacht ik nog. Maar ik vergat het snel weer. Het was een drukke werkdag.

Is dit toeval?

In de middag kreeg ik een Linkedin-bericht. Van de PR-chef van SkinVision: Matthew Enevoldson. Of wij, bij RTL Z niet een tweede verhaal wilde schrijven over de app. "Vreemd", dacht ik. "Waarom zouden ze mij een bericht sturen, terwijl collega Pepijn het eerste verhaal heeft gemaakt?"

Ik stuurde een bericht terug. "Is het toeval dat ik vanochtend de app heb gedownload en jullie me op exact dezelfde dag zijn gaan volgen op Twitter en dit bericht sturen?"

Bericht terug

Het bleef even stil. Toen kreeg ik het volgende bericht: "Ha.. ik hou in de gaten of er nieuwe gebruikers bijkomen met veel volgers en jij kwam naar boven. Ik zou sowieso RTL benaderen met dit verhaal, ik dacht, aangezien jij recente ervaring hebt met de app, dat het goed is om bij jou te beginnen."

Populair op social media

Dit is een commercieel handige vent, denk je nu misschien. Maar ik haal toch drie verontrustende kwesties uit dit bericht.

Ten eerste het feit dat ik gescand ben op aantal volgers op sociale media. En nog veel belangrijker: ik ben klaarblijkelijk niet de enige.

"Ik hou in de gaten of er nieuwe gebruikers bijkomen met veel volgers en jij kwam naar boven", schreef de PR-man. Iedereen met veel volgers op sociale media staat dus 'op de radar' van SkinVision.

Ten tweede dat er verder is gezocht dan de gegevens die ik verstrekt heb. Hoe kunnen ze anders weten dat ik 'veel volgers' heb? Ik heb mijn Twitter-account, waar ik meer dan het gemiddeld aantal volgers heb (6115), niet gedeeld met de app. Wel heb ik me aangemeld met de Facebook-API.

Data-programma

Maar op Facebook heb ik bewust weinig 'vrienden'. Het kan bijna niet anders dan dat Enevoldson mijn naam heeft gegoogeld en mijn Twitter-account heeft gevonden. Of heeft hij een data-programma dat ook andere informatie van het internet haalt over mij? (Later blijkt dat laatste het geval te zijn, wat ook implicaties heeft voor andere gebruikers)

Ten derde 'voelt' dit gewoon niet goed. Dat ik, als gebruiker, journalist ben zou toch niet uit moeten maken. Ik ben een mens die medisch gevoelige informatie deelt. Ik check mijn huid op huidkanker. Waar ik werk is irrelevant. Of zou het moeten zijn.

Unheimisch gevoel

Het is een beetje alsof ik voor het eerst bij een nieuwe huisarts kom, zij een moedervlek checkt en aan het einde van de afspraak zegt: "Oh ja, ik heb je gegoogeld en zag dat je bij RTL Z werkt. Kun je misschien een leuk carrière-verhaal over mij schrijven?"

Ik krijg er een enorm unheimisch gevoel bij. Maar misschien ligt het aan mij? Mag dit gewoon?

In strijd met de wet

Nee, zegt privacy-advocaat Christiaan Alberdingk Thijm. "Ze hebben gehandeld in strijd met de wet." Omdat het een medische app betreft, zijn mijn gegevens automatisch 'bijzondere gegevens', legt hij uit. Het gaat namelijk om gevoelige informatie, over je gezondheid.

"En voor bijzondere persoonsgegevens geldt dat jouw gegevens alleen gebruikt kunnen worden met jouw ondubbelzinnige toestemming, die je geeft met een specifiek doel, namelijk alleen voor het gebruik van de app."

Social mediagedrag in kaart gebracht 

SkinVision heeft echter iets heel anders gedaan. "Ze hebben met behulp van jouw gegevens een beeld gevormd van wie je bent, waar je werkt en je social mediagedrag in kaart gebracht. Dat mag allemaal niet."

ICT-jurist Arnoud Engelfriet sluit zich daarbij aan. "Dit kan niet door de beugel. Zeker omdat het medische app is: jij bent, als het ware, een patiënt. Ik zie geen enkele reden om die informatie (Twitter en LinkedIn-account, red.) op te zoeken. Voor het benaderen op Twitter en LinkedIn moet je toestemming hebben gegeven. En dat heb je niet gedaan."

Commerciële doeleinden

Autoriteit Persoonsgegevens gaat niet in op individuele gevallen, maar bevestigt – in algemene termen – wat Engelfriet zegt. "Een organisatie mag niet meer gegevens verwerken dan noodzakelijk is voor dat doel," reageert een woordvoerder. In dit geval: mijn foto's scannen op tekenen van huidkanker.

Iemand uit het niets benaderen voor commerciële doeleinden kan dus niet, stelt Engelfriet: "Als ik bij de tandarts zit en die vraagt of ik hem kan helpen met een juridisch geschil, dan zou ik daar ook gek van opkijken. Dat kan niet zomaar."

Volgens Alberdingk Thijm komen er vanaf 25 mei, als de nieuwe Europese privacywet ingaat, flinke boetes te staan op dit soort overtredingen.

Data verzamelen

Kortom: het lag niet aan mij, het mag gewoon niet. Wat vindt SkinVision daarvan en hoe werkt hun data-verzameling precies?

Wanneer ik Matthew Enevoldson van SkinVision bel, vertelt hij me dat je bij de aanmelding op de app alleen je email bij het bedrijf binnenkomt. Maar dankzij een data-systeem dat ze gebruiken, Intercom genaamd, wordt op basis van je e-mailadres ook je social mediagegevens in kaart gebracht, zoals je Twitter-account, LinkedIn-account en het bijbehorend aantal volgers. 

Ik ben dus, inderdaad, niet de enige waar deze gegevens van verzameld worden. Dat gebeurt met alle gebruikers van de app. Als ik zeg dat SkinVision daarmee de wet overtreedt, besluit Enevoldson dat hij eerst intern moet overleggen. 

Excuses

Enkele uren later biedt Enevoldson zijn excuses aan voor de gang van zaken. Hij legt uit dat het 'zijn rol is om partners te vinden', of het nu gaat om verzekeraars of journalisten. Dat is logisch, zeg ik, maar in dit geval was ik een gebruiker van de app. Een 'patiënt', die toevallig ook journalist is. Voor een reactie daarop moet ik bij de ceo zijn, zegt hij.

Enevoldson stelt verder dat dit 'an isolated case' is. Maar dat klopt uiteraard niet. Het data-systeem analyseert de social-mediagegevens van álle gebruikers, zonder dat ze daar toestemming voor hebben gegeven. Ook daarvoor moet ik bij de baas, Erik de Heus, zijn.

Privacybeleid

Die stuurt me die avond nog een formele reactie. Volgens de Heus is de gang van zaken 'in overeenstemming met de privacy policy'. Maar wie die erbij pakt, vindt bij het kopje 'personal data we collect' niks over het verzamelen van social media-data op basis van je emailadres. Los daarvan moet het bedrijf zich nog altijd aan de wet houden, en volgens de benaderde advocaten is dat niet het geval. 

De Heus lijkt zich in elk geval bewust van de naderende nieuwe Europese privacywet en schrijft dat SkinVision naar aanleiding daarvan "zal kijken hoe zij haar privacy policy nog beter kan laten aansluiten op de verwachtingen en wensen van haar gebruikers."

Gevoelige info

Als het om privacy gaat, wordt er vaak gezegd: "Maar ik heb toch niks te verbergen?" Maar alles met betrekking tot mijn medische gegevens, is bij uitstek gevoelig en privé.

Dat er voor medische apps striktere privacy-regels gelden, lijkt me dan ook niet meer dan terecht. En blijkbaar moeten wij, als consument, zelf scherp blijven op de naleving van die regels.

Het heeft SkinVision toch nog een tweede verhaal bij RTL Z opgeleverd. 

Bron • RTL Z / Frederieke Hegger

Gerelateerde artikelen