De Autoriteit Persoonsgegevens: Jaarverslag 2015

Terug naar articles

19 april, 2016

Het is donderdagochtend, 14 april. De voorzitter van de Autoriteit Persoonsgegevens overhandigt het jaarverslag van de toezichthouder aan de leden van de vaste commissie voor Veiligheid en Justitie van de Tweede Kamer. Aangezien de relevantie van bescherming van persoonsgegevens gigantisch is gegroeid in de samenleving, spreekt de voorzitter de noodzaak voor een groter budget voor de Autoriteit uit. Wat kreeg de toezichthouder met een beperkt budget voor elkaar in 2015?

De Autoriteit bepaalt ieder jaar een aantal thema’s waar zij zich dat jaar op zal richten. In 2015 waren dat profiling, bijzondere persoonsgegevens, lokale overheden, arbeidsrelaties en beveiliging. De rode draad hierin was de manier waarop bedrijven en organisaties betrokkenen informeren over het verwerken van hun persoonsgegevens (transparantie). De Autoriteit heeft vorig jaar 48 onderzoeken afgerond. Het eerste thema dat aan bod komt is profiling. Profilering is volgens de Autoriteit onder verantwoordelijken en verwerkers eerder regel dan uitzondering. Ziggo en de NPO, die onder andere gebruik maakten van profiling voor adverteringsdoeleinden verduidelijkten hun manier van informeren naar aanleiding van een onderzoek van de waakhond. Voor een aangescherpt privacybeleid van Google en medewerking van Facebook was een last onder dwangsom nodig.

Rond het thema bijzondere persoonsgegevens richtte de toezichthouder zich voornamelijk op medische gegevens. Dit komt onder andere door de sterke groei van lifestyle apps. Deze apps, zoals de Nike+ Running app, verzamelen – vaak zonder dat de gebruiker zich daar bewust van is – grote hoeveelheden gezondheidsgegevens. Onder andere Nike is hiervoor op het matje geroepen.

Gemeenten hebben meer taken op hun bord gekregen, waaronder verantwoordelijkheden op het gebied van jeugdzorg. Twee Bureaus Jeugdzorg stonden in de schijnwerpers. Er werd vastgesteld dat er onder andere onvoldoende onderscheid werd gemaakt tussen feiten en ‘zachte’ gegevens. De kwaliteit van de gegevens(registratie) werd hierdoor niet gewaarborgd, omdat de kans zo groter was om verkeerde, ingrijpende beslissingen te maken.

Ook werkgevers en uitzendbureaus zijn op hun vingers getikt. Zo mogen winkeliers camera’s gebruiken tegen winkeldiefstal, maar mogen zij hun werknemers niet zonder gegronde en gemotiveerde redenen in de gaten houden door middel van (beveiligings)camera’s. Daarnaast mogen werkgevers niet informeren naar de aard en de oorzaak van de ziekte van een werknemer. Slechts de arbodienst of bedrijfsarts is daartoe bevoegd.

Dit was voor de Autoriteit aanleiding om onderzoek te doen naar de beveiliging van verzuimsystemen waarin dit soort informatie geregistreerd wordt. Bij een veelgebruikt systeem (Humannet) kwam naar voren dat de medische gegevens van werknemers onvoldoende werden beveiligd. Ondertussen wordt er wel een passend beveiligingsniveau gehanteerd. Ook de beveiliging van DigiD(-inloggegevens) bleek onvoldoende. De Autoriteit heeft gewaarschuwd voor misbruik door onbevoegden en heeft gepleit voor extra veiligheidsvoorzieningen bij de overheid.

Bovenstaande is slechts een kleine greep uit alle onderzoeken die de waakhond heeft verricht. Ondanks het beperkte budget heeft zij bij een respectabel aantal (grotere) organisaties nalatigheid met betrekking tot de informatieplicht of beveiliging aan de kaak gesteld. Dat heeft in veel gevallen tot een grote hoeveelheid negatieve publiciteit voor deze organisaties geleid. Dit jaar zal de Autoriteit in grote lijnen haar aandacht op dezelfde thema’s vestigen. Dat zal zij niet alleen blijven doen. In de nabije toekomst krijgt de toezichthouder hulp van een hoop privacy officers (zie een vorige blog over de nieuwe Algemene Verordening Gegevensbescherming) die door een groot aantal organisaties verplicht moeten worden aangesteld. Dat, in combinatie met de nieuwe, ruime boetebevoegdheid zou genoeg reden moeten zijn om uw privacybeleid op orde te hebben.

Wilt u meer weten informatie over hoe u als bedrijf optimaal voorbereid kunt zijn op de ontwikkelingen? Neem dan contact met ons op.

,

Considerati_Navid
Navid Kamalzadeh

Juridisch Adviseur

Gerelateerde blogs

1D3_1513

Het opzetten van een Privacy Programma: hoe te werk te gaan?

Privacy officers, privacy managers, compliance officers, risk managers, information security,...

Lees meer

Considerati seminar over drones in Brussel

Naar aanleiding van het onlangs gepubliceerde artikel over de privacyrechtelijke aspecten van...

Lees meer

Op de hoogte blijven?

Schrijf je dan in voor onze nieuwsbrief. Zie ons privacy statement.