De Amerikaanse ggz-aanbieder Cerebral heeft persoonlijke gegevens van ruim 3,1 miljoen patiënten met adverteerders gedeeld. Dit vond plaats via een trackingpixel waardoor data naar Google, Meta, TikTok en andere derde partijen werd verzonden. Cerebral heeft dit recentelijk zelf bekendgemaakt.
Het bedrijf biedt sinds 2019 online therapie voor uiteenlopende psychische klachten, waaronder depressie. Vanaf het begin gebruikte Cerebral op zijn platforms trackingpixels en andere trackingtechnologieën. Hierdoor werden gebruikersgegevens aan techbedrijven en andere derde partijen verzonden. Het betrof naam, telefoonnummer, e-mailadres, geboortedatum, IP-adres, klantnummer en demografische informatie.
Van gebruikers die een self-assessment deden, werd ook de gekozen dienst en gezondheidsinformatie doorgestuurd. Van cliënten die een abonnement bij Cerebral afnamen, werd het type abonnement, afspraakdatums, behandeling en andere klinische informatie gelekt.
Het bedrijf zegt pas begin dit jaar ontdekt te hebben dat gegevens van gebruikers met derde partijen werden gedeeld. Alle trackers zijn inmiddels verwijderd. Omdat het bedrijf vertrouwelijke gezondheidsgegevens verwerkt, dient het zich te houden aan de Amerikaanse Health Insurance Portability and Accountability Act (HIPAA). Dat houdt onder meer in dat Cerebral het datalek bij de overheid dient te melden, wat het bedrijf gedaan heeft.