14 maart 2014 -
Het fenomeen big data heeft in 2013 een grote vlucht genomen. Via big data worden op geavanceerde wijze enorme hoeveelheden persoonsgegevens verwerkt. Het College bescherming persoonsgegevens (CBP) waarschuwt voor de risico's van dit soort gigantische databases en de bijbehorende geautomatiseerde verwerking van persoonsgegevens.
Uit de grote berg gegevens kunnen bedrijven en overheden verbanden en behoeften destilleren waardoor zij toekomstig gedrag van mensen kunnen voorspellen, zónder dat mensen dit zelf ook maar kunnen vermoeden. Organisaties kunnen hierdoor mensen anders behandelen dan anderen. Dit kan grote impact hebben op iemands leven. "Voor veel doelen waarvoor big data wordt ingezet, zijn tot de persoon herleidbare gegevens helemaal niet nodig. De gegevens moeten dan onomkeerbaar worden geanonimiseerd. Als organisaties voor hun doel wél herleidbare gegevens verwerken, moeten zij aan alle eisen van de Wet bescherming persoonsgegevens (Wbp) voldoen. Zo moeten zij mensen goed informeren over wat er met hun gegevens gebeurt en hen vaak ook om toestemming vragen," zegt Jacob Kohnstamm, voorzitter van het CBP, bij de presentatie van het jaarverslag 2013. Hij biedt vandaag de eerste exemplaren aan de leden van de commissie voor Veiligheid en Justitie van de Tweede Kamer aan.
CBP in 2013
In 2013 heeft het CBP talloze voorbeelden gezien van praktijken of plannen waarbij ongebreideld gegevens worden verzameld. Het CBP heeft in 2013 in zijn toezicht en handhaving speciale aandacht besteed aan de volgende wettelijke beginselen: transparantie van gegevensverwerkingen, toestemming van burgers, doelbinding en beveiliging. De thematische speerpunten waren profilering, bescherming van medische gegevens en gegevensverwerking binnen de arbeidsrelatie.
Een selectie van de werkzaamheden van het CBP in 2013:
Profilering
Het CBP heeft onderzoek gedaan naar ongeoorloofde data-analyse (packet inspection) door vier telecomaanbieders. Deze bedrijven bleken onder meer in strijd met de wet op detailniveau gegevens te bewaren over de door hun klanten bezochte websites en apps en hen hierover niet of onjuist te informeren.
Ook onderzocht het CBP het verzamelen en bewaren van gegevens over het online kijkgedrag, gebruik van apps en websitebezoek van gebruikers van smart tv's. TP Vision, producent van Philips smart tv's, bleek tv-kijkers onvoldoende en onvolledige informatie over de verwerking van hun persoonsgegevens via smart tv's te geven.
Bescherming van medische gegevens
Mensen moeten erop kunnen vertrouwen dat artsen zorgvuldig omgaan met hun medische gegevens. De patiënt mag rekenen op én een goede medische behandeling én zorgvuldige omgang met zijn gegevens. Aan de toegangsbeveiliging van patiëntgegevens schort echter nog het nodige, bleek uit een groot onderzoek van het CBP bij zorginstellingen, huisartsenposten en apothekers. Door onvoldoende beveiligingsmaatregelen bestaat het risico dat medische dossiers zijn in te zien door medewerkers met wie patiënten geen behandelrelatie hebben. Het CBP gaat ervan uit dat de aangetroffen situatie op grote schaal voorkomt in de zorgsector.
Gegevensverwerking binnen de arbeidsrelatie
Werkgevers mogen niet het medisch doopceel van hun werknemers lichten. Arbodienstverleners, zoals zogeheten verzuimbedrijven en arbodiensten, mogen dan ook geen gegevens over de medische behandeling van werknemers doorgeven aan de werkgever. Uit onderzoek van het CBP bij twee arbodienstverleners bleek dat zij dit in strijd met de wet wel deden.
Het CBP concludeerde na onderzoek dat Media Markt in strijd met de wet zijn personeel heimelijk heeft gefilmd. Ook bleek dat het management de medewerkers aansprak op hun functioneren op basis van camerabeelden van beveiligingscamera's. Werkgevers mogen beelden van beveiligingscamera's niet gebruiken om hun personeel aan te spreken op hun functioneren. De inzet van verborgen camera's is alleen toegestaan in uitzonderlijke situaties en zeker niet geoorloofd voor trainingsdoeleinden.
Internationaal
Het CBP heeft zich op nationaal en Europees niveau intensief ingezet voor een nieuwe EU-privacyverordening die past bij de huidige tijdgeest en die een voldoende beschermingsniveau biedt. In de Raad van ministers van Justitie en Binnenlandse Zaken van de Europese Unie was echter eind 2013 op een aantal cruciale onderdelen van de nieuwe privacywetgeving nog geen politieke overeenstemming bereikt.
Het CBP heeft in 2013 de samenwerking tussen de internationale privacytoezichthouders verder bevorderd. Dat is ook nodig, gezien het grensoverschrijdende karakter van veel gegevensverwerkingen. Het CBP heeft samen met de Canadese toezichthouder onderzoek gedaan naar WhatsApp en samen met andere Europese toezichthouders naar de nieuwe privacyvoorwaarden van Google.
Jacob Kohnstamm heeft in zijn rol als voorzitter van de Artikel 29-werkgroep van Europese privacytoezichthouders bij de Europese Commissie ernstige zorgen geuit over de privacygevolgen voor Europese burgers van de grootschalige afluisterpraktijken door Amerikaanse veiligheidsdiensten. Ook heeft Kohnstamm op verzoek van de Europese Commissie plaatsgenomen in een werkgroep van de EU en de VS. Deze werkgroep heeft onderzoek gedaan naar de inhoud en rechtmatigheid van de verschillende Amerikaanse surveillanceprogramma's.
