Het Amerikaanse bedrijf Cerebral, dat online geestelijke gezondheidszorg en gerelateerde diensten biedt, heeft van meer dan drie miljoen cliënten gevoelige persoonlijke informatie gedeeld met LinkedIn, TikTok en Snapchat. De gegevens werden vervolgens voor advertenties gebruikt. Cliënten die zich aanmelden voor de diensten van Cerebral moeten allerlei persoonlijke data verstrekken, waaronder adresgegevens, e-mailadressen, geboortedata, medisch verleden, medicijngebruik, rekeninggegevens en rijbewijsnummer, alsmede informatie over hun behandelplannen, apotheek, zorgverzekering, geloofsovertuiging en seksuele geaardheid.
Volgens de Amerikaanse toezichthouder FTC claimde Cerebral dat het gegevens van cliënten veilig zou houden, maar in werkelijkheid werden die met allerlei derde partijen voor advertentiedoeleinden gedeeld. Disclaimers over het delen van de data stonden in het moeilijk leesbare privacybeleid, maar het bedrijf stelde geregeld dat het gebruikersgegevens niet zonder toestemming voor marketing zou delen.
Door middel van trackingpixels en andere software op de websites van Cerebral en in de apps van het bedrijf, werden gegevens van bijna 3,2 miljoen cliënten gedeeld met LinkedIn, Snapchat en TikTok. Via de trackingtools kregen derde partijen toegang tot allerlei persoonlijke gegevens van Cerebral-cliënten, waaronder namen, medisch verleden, medicijngebruik, adresgegevens, e-mailadressen, telefoonnummers, geboortedata, demografische informatie, ip-adressen, apotheek, zorgverzekeringsinformatie en andere gezondheidsgegevens.
De toezichthouder laat verder weten dat het bedrijf toegang tot cliëntgegevens niet beperkte tot medewerkers die er toegang tot moesten hebben, ex-medewerkers nog steeds toegang tot dossiers hadden en procedures en training met betrekking tot het omgaan met gevoelige data ontbraken. Verder ontbraken ook adequate informatiebeveiligingsstandaarden, -beleid en -procedures. Tevens gebruikte Cerebral onveilige toegangsmethodes, waardoor cliënten die op hetzelfde moment op de cliëntenportaal inlogden gegevens van andere cliënten te zien kregen.
Cerebral en de FTC zijn een schikking overeengekomen, waarbij het bedrijf 7,1 miljoen dollar betaalt. Daarnaast mag het persoonlijke en gezondheidsgegevens van cliënten niet meer voor advertentiedoeleinden gebruiken, moet het toestemming hebben voor het delen van data, moet het eerlijk zijn over security- en privacybeleid, moet het een privacy- en securityprogramma implementeren en alle gegevens van cliënten verwijderen die niet nodig zijn voor behandeling of betaling. De FTC diende ook een aanklacht in tegen de ceo, maar die besloot niet te schikken. De rechter zal zich nu over deze zaak buigen.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.