Op humanitas.nl draait een session-replay tool die elke muisbeweging, klik, scroll en formulier-input van bezoekers vastlegt. Een opname van wat je doet, wat je intypt, hoe lang je hapert.
Op een platform voor mensen die hulp zoeken bij eenzaamheid, rouw, schulden, mantelzorg.
Waarom?
Geen functionele reden. Microsoft Clarity is een marketing- en UX-tool, niet noodzakelijk voor het verlenen van sociale hulp. De opnames gaan naar Microsoft Corporation in de Verenigde Staten, onder CLOUD Act-jurisdictie.
En Clarity is één van achttien externe domeinen die data ontvangen bij elk bezoek aan humanitas.nl.
Achttien endpoints, zeven unieke ontvangende partijen. De meerderheid is marketing-, analytics- of advertising-infrastructuur.
De kernbevinding
Klikken op ‘weigeren’ plaatst juist een nieuwe cookie. Bezoekers die hun privacy proberen te beschermen, krijgen extra tracking als gevolg van hun weigering.
AVG artikel 7 lid 3 vereist het tegenovergestelde.
Nederlandse rechters hebben in de Xandr-trilogie (Hof en Rechtbank Amsterdam, 2023–2025) vastgesteld dat tracking zonder of tegen geldige toestemming onrechtmatig is.
Bezoek aan specifieke onderdelen van humanitas.nl kan afgeleide gezondheidsdata onthullen die onder AVG artikel 9 (bijzondere persoonsgegevens) vallen.
Hoor en wederhoor
Hackedemia heeft Humanitas voorafgaand schriftelijk om wederhoor gevraagd via de persvoorlichter, met deadline 12 mei 14:00. Er is geen reactie ontvangen. De uitnodiging blijft openstaan; bij ontvangst worden de bevindingen aangevuld.
Wat volgt
Het volledige rapport volgt later deze week op hackedemia.nl. Het sectorrapport over negen Nederlandse hulpverleningssites volgt parallel.
De vrijwilligersdiensten van Humanitas — luisterend oor, mantelzorgondersteuning, rouwverwerking — gaan via aparte kanalen (telefoon, persoonlijk contact) en blijven bereikbaar.
We gaan ook naar andere zorginstellingen kijken de komende periode; patiëntveiligheid moet immers ook in het “digitale ziekenhuis” geborgd zijn.