De Amerikaanse ggz-aanbieder Cerebral heeft persoonlijke gegevens van ruim 3,1 miljoen patiënten met adverteerders gedeeld. Dit vond plaats via een trackingpixel waardoor data naar Google, Meta, TikTok en andere derde partijen werd verzonden. Cerebral heeft dit recentelijk zelf bekendgemaakt.
Trackingpixels
Het bedrijf biedt sinds 2019 online therapie voor uiteenlopende psychische klachten, waaronder depressie. Vanaf het begin gebruikte Cerebral op zijn platforms trackingpixels en andere trackingtechnologieën. Hierdoor werden gebruikersgegevens aan techbedrijven en andere derde partijen verzonden. Het betrof naam, telefoonnummer, e-mailadres, geboortedatum, IP-adres, klantnummer en demografische informatie.
Gezondheidsinformatie
Van gebruikers die een self-assessment deden, werd ook de gekozen dienst en gezondheidsinformatie doorgestuurd. Van cliënten die een abonnement bij Cerebral afnamen, werd het type abonnement, afspraakdatums, behandeling en andere klinische informatie gelekt.
Amerikaanse Health Insurance Portability and Accountability Act
Het bedrijf zegt pas begin dit jaar ontdekt te hebben dat gegevens van gebruikers met derde partijen werden gedeeld. Alle trackers zijn inmiddels verwijderd. Omdat het bedrijf vertrouwelijke gezondheidsgegevens verwerkt, dient het zich te houden aan de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA). Dat houdt onder meer in dat Cerebral het datalek bij de overheid dient te melden, wat het bedrijf gedaan heeft.
Klik hier voor de melding van Cerebral bij het U.S. Department of Health and Human Services Office for Civil Rights.