Voorwoord. ook gegevensverkeer dat via de kabel loopt, zou onderzocht moeten kunnen worden

Het CBP in 2013

Inhoud Voorwoord 5 Inleiding 9 Gezondheidszorg 14 Arbeidsrelatie 22 Internet en telecom 28 Handel en diensten 38 Overheid 46 Politie en justitie 54 Internationaal 58 Organisatie 66

Voorwoord Als er één gebeurtenis is geweest in 2013 die ook bij de meest verstokte aanhanger van de mantra ‘van mij mogen ze alles weten, ik heb niets te verbergen’ de aandacht heeft getrokken, zijn het de onthullingen van de NSA-praktijken door Edward Snowden. Het idee dat de National Security Agency met een gigantisch sleepnet gegevens binnenhaalt van burgers wereldwijd, heeft velen op hun achterste benen gezet. En niet alleen burgers. Ook acht grote Amerikaanse technologiebedrijven hebben in een gezamenlijke brief aan de Amerikaanse president geprotesteerd, onder meer tegen het grootschalig meelezen met en afluisteren van de gebruikers van hun internetdiensten. Dit zijn de multinationals waar wij als Europese privacytoezichthouders doorgaans tegen ten strijde trekken.

‘Jullie zijn geen haar beter dan wij’, reageren de Amerikanen als anderen kritiek uiten op de werkwijze van de Amerikaanse veiligheidsdienst. Of zij gelijk hebben, weten wij niet. De onthullingen van Snowden brachten wel – zij het pas in tweede instantie – aan het licht dat ook Nederlandse inlichtingendiensten op zeer grote schaal verkeersgegevens oftewel metagegevens verzamelden en verzamelen. Metagegevens zijn overigens – al suggereert de term iets anders – net zo goed herleidbaar tot personen en kunnen veel over hen zeggen. De commissieDessens, die de Wet op de inlichtingenen veiligheidsdiensten (Wiv) evalueerde, pleitte eind 2013 voor verruiming van de bevoegdheden van de AIVD en de MIVD:

4

Het CBP in 2013 CBP |

C B P voo r w oo r d |

ook gegevensverkeer dat via de kabel loopt, zou onderzocht moeten kunnen worden. Moeten de AIVD en de MIVD evenals hun Amerikaanse zusterdienst ongericht een datasleepnet kunnen uitgooien? Hoewel de inlichtingendiensten niet onder het toezichtdomein van het CBP vallen, zijn deze vragen dusdanig verweven met de essentie van de bescherming van persoonsgegevens dat het CBP er niet het zwijgen toe wil doen. Het adagium ‘wie wat bewaart, die heeft wat’ is immers tegen de principes die de wetgever heeft opgenomen in zowel de Wet bescherming persoonsgegevens als de Wiv: proportionaliteit, subsidiariteit en doelbinding.

5

Het heeft er lang op geleken dat deze principes in de strijd tegen terrorisme het loodje moesten leggen. Dat gaat nu in de Verenigde Staten wellicht enigszins veranderen. In reactie op een kritisch rapport van de commissie die in opdracht van het Witte Huis de NSA heeft doorgelicht, zal een aantal checks and balances worden ingebouwd die mogelijk leiden tot hervormingen en meer controle op het opereren van de Amerikaanse veiligheidsdienst. Concrete aanwijzingen dat er daarmee ook een eind zal komen aan de grootschalige gegevensverzamelingen zijn er echter niet. Het uitgangspunt voor de Amerikanen is immers − anders dan in de Europese Unie − dat het verzamelen van gegevens niet beschermwaardig is. Pas bij het gebruik ervan moet de overheid de beperkingen in acht nemen die voortvloeien uit het vierde amendement van de Amerikaanse grondwet.

de overheid gezien de nationale veiligheid geen volledige openheid geven. Maar terecht zegt de regering in een notitie die in december 2013 verscheen: “De vraag waarvoor we staan, is hoe bij een voortgaande digitalisering in de Nederlandse samenleving op de juiste wijze inhoud kan worden gegeven aan het transparantiebeginsel op het terrein van de veiligheid. Deze opgave is van belang, omdat transparantie kan bijdragen aan het vertrouwen dat burgers hebben in de wijze waarop overheidsdiensten op het terrein van de veiligheid gegevens verzamelen en verder verwerken. Dat belang neemt toe, omdat de gemiddelde burger niet op de hoogte zal zijn van alle moderne technische mogelijkheden op dat vlak.”1 Deze boodschap deel ik volledig. Het wordt alleen wel interessant te zien hoe de regering op het terrein van de nationale veiligheid hieraan inhoud geeft, ook tegen de achtergrond van de voortgaande digitalisering van de samenleving.

In Nederland dienen we ook alert te zijn op het mogelijk bovenmatig verzamelen van gegevens door onze inlichtingenen veiligheidsdiensten. Zoals gezegd heeft het CBP geen bevoegdheid om de AIVD en de MIVD te controleren. Dat gebeurt door de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD). Toch is het goed stil te staan bij bovengenoemde principes uit de privacywetgeving alsook bij de mate van transparantie van deze diensten. Natuurlijk kan

Wij kunnen in ons land en in de Europese Unie het grondrecht op de bescherming van persoonsgegevens zo goed mogelijk proberen te beschermen, maar het dataverkeer houdt niet op bij de grenzen. En in weerwil van de steeds frequentere trans-Atlantische contacten verkeren de VS en Europa op privacygebied nog steeds in verschillende werelden. In de EU is bescherming van persoonsgegevens een grondrecht en moet de overheid garant staan voor de bescherming hiervan in haar

1.

6

relatie tot de burger, en regels stellen voor de rechten van de burger in zijn rol van consument in de verhouding tot bedrijven. In de VS ligt het initiatief om op te treden tegen misbruik van persoonsgegevens primair bij de burger. Tot op zekere hoogte is de hiervoor reeds genoemde reactie van de hightechbedrijven in de VS op de onthullingen van Snowden tekenend. De bedrijven voelen dat het vertrouwen van hun klanten terugloopt, omdat hun privégegevens bij deze bedrijven niet in veilige handen blijken te zijn. Europa ontwikkelt mede als gevolg daarvan gaandeweg haar eigen ‘silicon valleys’. Wellicht bieden deze ontwikkelingen de kans om op de golven van een gemeenschappelijke verontwaardiging de trans-Atlantische verschillen tussen de methodieken van privacybescherming op pragmatische wijze aan te pakken. De Amerikaanse consument en de Europese burger hebben immers dezelfde wensen: onbespied door het rechtmatige deel van het leven gaan. Jacob Kohnstamm Voorzitter College bescherming persoonsgegevens

Notitie van de minister van Veiligheid en Justitie, de staatssecretaris van Veiligheid en Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties getiteld Vrijheid en veiligheid in de digitale samenleving. Een agenda voor de toekomst, pagina 9.


C B P voo r w oo r d |

7

Inleiding Het jaar 2013 was voor het College bescherming persoonsgegevens (CBP) een enerverend en succesvol jaar. Het CBP heeft naar een veelheid aan onderwerpen onderzoeken gedaan, handhavend opgetreden, wetgevingsadviezen uitgebracht en externe contacten onderhouden. De bescherming van medische gegevens, gegevensverwerking in de arbeidsrelatie en profilering waren hierbij de belangrijkste thema’s. Daarnaast kwamen de wettelijke principes van doelbinding, toestemming, transparantie en beveiliging in het bijzonder terug in de werkzaamheden van het CBP.

Iedereen moet erop kunnen rekenen dat met de persoonsgegevens die hij – al dan niet bewust – afgeeft aan overheden en bedrijven, zorgvuldig wordt omgegaan. Zo moeten overheden en bedrijven een wettelijke grondslag hebben om gegevens te verwerken en mogen zij gegevens niet voor totaal andere doelen gebruiken dan waarvoor zij zijn verkregen. Het is voor de meeste mensen niet meer mogelijk zicht te houden op wat er met hun persoonsgegevens gebeurt en waarvoor die worden gebruikt. Daarom is het zo belangrijk dat bedrijven en overheden hierover heldere informatie geven. Het CBP bevordert door zijn werkzaamheden de naleving van de Wet bescherming persoonsgegevens. In veel gevallen leidt het optreden van het CBP tot beëindiging van de geconstateerde overtredingen. Vaak

8


CBP INLEIDING |

betekent dit niet alleen dat de onderzochte bedrijven of instellingen volgens de wet gaan handelen, maar dat ook andere bedrijven of instellingen en brancheorganisaties meer aandacht besteden aan de naleving van de wettelijke eisen.

Patiëntgegevens Beroemd of onbekend, rijk of arm, iedere patiënt komt dezelfde mate van bescherming tegen onbevoegde inzage van zijn medische gegevens toe. Aan de toegangsbeveiliging van patiëntgegevens schort echter nog het nodige, blijkt uit een groot onderzoek van het CBP bij zorginstellingen, huisartsenposten en apothekers. Door onvoldoende beveiligingsmaatregelen bestaat het risico dat medische dossiers zijn in te zien door medewerkers met wie patiënten geen behandelrelatie hebben.

9

Het CBP meent op basis van het onderzoek, nieuwe signalen en gesprekken met koepelorganisaties dat de aangetroffen situatie op grote schaal voorkomt in de zorgsector. Ook aan het verstrekken van patiëntgegevens door de ene aan de andere instantie in de keten, zoals door een ggz-instelling aan een zorgverzekeraar, zijn stringente eisen gesteld. Dat geldt evenzo bij het verstrekken van medische gegevens aan derden, zoals fabrikanten van medische hulpmiddelen. Dat mag niet zonder de toestemming van de betrokkenen. Het CBP onderzocht de verstrekking van medische gegevens aan een fabrikant van incontinentiemateriaal en concludeerde dat apothekers onvoldoende waarborgen hadden getroffen om de patiëntgegevens te beschermen en daarnaast niet alle patiënten toestemming hadden gevraagd om hun gegevens door te geven aan de fabrikant.

Arbeidsrelatie Het is helemaal niet noodzakelijk – en bovendien verboden – dat werkgevers het medisch doopceel van hun werknemers lichten. Arbodienstverleners, zoals zogeheten verzuimbedrijven en arbodiensten, moeten er dan ook vanzelfsprekend van zijn doordrongen dat zij geen gegevens over de medische behandeling van werknemers doorgeven aan de werkgever. Het CBP deed in 2013 onderzoek bij twee arbodienstverleners. Beide bleken in strijd met de wet medische gegevens van werknemers aan hun opdrachtgever, de werkgever, te verstrekken.

10

Ook op de werkvloer hebben werknemers recht op bescherming van hun persoonlijke levenssfeer. Zo mogen werkgevers beelden van beveiligingscamera’s niet gebruiken om hun personeel aan te spreken op hun functioneren. De inzet van verborgen camera’s is alleen toegestaan in uitzonderlijke situaties en zeker niet geoorloofd voor trainingsdoeleinden. Het CBP-onderzoek bij Media Markt, waarbij deze beide kwesties aan de orde kwamen, kreeg veel aandacht van pers en publiek.

websitebezoek van gebruikers van smart tv’s. Kamervragen over het gebruik van cookies op de websites van de Nederlandse Publieke Omroep (NPO) gaven het CBP aanleiding het toepasselijk wettelijk kader toe te lichten. De NPO mag bezoekers de toegang tot de NPO-websites niet weigeren als zij geen toestemming geven voor het laten volgen van hun surfgedrag, aldus het CBP.

Online gegevens en profilering Gegevens over de programma’s die mensen bekijken op tv, de internetsites die zij bezoeken en de apps die zij downloaden, zeggen veel over hun gedrag en voorkeuren. Wat er met deze door telecomaanbieders of app-ontwikkelaars verzamelde gegevens vervolgens gebeurt, onttrekt zich doorgaans aan hun waarneming. Veel mensen zijn zich er niet van bewust dat zij voor veel online diensten betalen met hun persoonsgegevens. Bedrijven en organisaties moeten hen voldoende informeren over het gebruik van hun gegevens en waar nodig hiervoor om toestemming vragen.

Over de grens De lopende herziening van de Europese privacyregelgeving is van groot belang voor burgers, bedrijven, overheden en de privacytoezichthouders. Het CBP heeft zich dan ook op nationaal en Europees niveau intensief ingezet voor een EU-verordening die past bij de huidige tijdgeest en die een voldoende beschermingsniveau biedt. In de Raad van ministers van Justitie en Binnenlandse Zaken van de Europese Unie was echter eind 2013 op een aantal cruciale onderdelen van de nieuwe privacywetgeving nog geen politieke overeenstemming bereikt, hetgeen vertraging oplevert voor de onderhandelingen tussen de Europese Commissie, de Raad en het Europees Parlement.

Het CBP heeft in 2013 onderzoek gedaan naar ongeoorloofde data-analyse (packet inspection) door vier telecomaanbieders. Deze bedrijven bleken onder meer in strijd met de wet op detailniveau gegevens te bewaren over de door hun klanten bezochte websites en apps en hen hierover niet of onjuist te informeren. Ook onderzocht het CBP het verzamelen en bewaren van gegevens over het online kijkgedrag, gebruik van apps en

Los van de ontwikkelingen rond een nieuwe EU-privacyverordening zet het CBP actief in op toenemende samenwerking tussen de privacytoezichthouders, niet alleen binnen Europa maar ook mondiaal. Dat is ook onontbeerlijk gezien het grensoverschrijdende karakter van veel gegevensverwerkingen. Zo heeft het CBP samen met de Canadese toezichthouder onderzoek gedaan naar WhatsApp en samen met


C B P inlei d ing |

andere Europese toezichthouders naar de nieuwe privacyvoorwaarden van Google. De onthullingen over surveillanceprogramma’s van de Amerikaanse en Europese inlichtingendiensten, in het bijzonder de NSA, hebben wereldwijd veel stof doen opwaaien. Jacob Kohnstamm, voorzitter van het CBP en van de Artikel 29-werkgroep van Europese privacytoezichthouders, heeft namens deze werkgroep in twee brieven aan de Europese Commissie ernstige zorgen geuit over de privacygevolgen voor Europese burgers. Ook heeft Kohnstamm op verzoek van de Europese Commissie plaatsgenomen in een ad hoc-werkgroep van de EU en de VS die onderzoek heeft gedaan naar de inhoud en rechtmatigheid van de verschillende Amerikaanse surveillanceprogramma’s. Bovendien zijn het CBP en de Belgische privacytoezichthouder eind 2013 een gezamenlijk onderzoek gestart naar mogelijk onrechtmatige toegang door derden tot de bankgegevens van Europese burgers bij de organisatie SWIFT.

> Deze publicatie behandelt de belang-

rijkste werkzaamheden van het CBP in 2013. Meer informatie en de cijfers van dat jaar zijn te vinden in de online bijlage: www.cbpweb.nl/13/2 Daarnaast is er de samenvatting 2013 - Het CBP in vogelvlucht, die zowel op papier als online beschikbaar is: www.cbpweb.nl/13/3

11

Apothekers zijn net als andere zorgverleners gebonden aan het medisch beroepsgeheim. Zij hebben de plicht hun patiëntgegevens vertrouwelijk te behandelen en adequaat te beveiligen.

Gezondheidszorg Medische gegevens zijn per definitie privacygevoelig. De beveiliging van deze gegevens moet dan ook aan de hoogste normen voldoen. Mensen moeten erop kunnen vertrouwen dat zorgverleners zorgvuldig omgaan met de medische gegevens die zij hun toevertrouwen en dat deze niet in verkeerde handen terechtkomen.

Onvoldoende beveiliging tegen inzage door onbevoegden Zorginstellingen Na een uitgebreid onderzoek bij negen zorginstellingen concludeerde het CBP dat zorginstellingen onvoldoende maatregelen treffen om ervoor te zorgen dat uitsluitend bevoegde medewerkers van ziekenhuizen, ggz-instellingen of huisartsenposten toegang hebben tot digitale patiëntendossiers en andere medewerkers dus niet. Die instellingen gaan onzorgvuldig om met de medische gegevens van hun patiënten en overtreden zo de wet. Medewerkers van een zorginstelling mogen alleen dán toegang krijgen tot patiëntgegevens als zij een behandelrelatie met de betreffende patiënt hebben of als de toegang noodzakelijk is voor de beheersmatige

14

afwikkeling van de behandeling. Daarnaast moeten de instellingen bijhouden wie welke dossiers raadpleegt (loggen) en dit controleren. Het CBP gaat er op basis van het onderzoek, nieuwe signalen en gesprekken met koepelorganisaties vanuit dat de aangetroffen situatie op grote schaal voorkomt in de zorgsector. Een aantal onderzochte instellingen heeft inmiddels maatregelen genomen. Vooral de onderzochte ziekenhuizen moeten echter nadere stappen zetten wil er sprake zijn van naleving van de wet. Als het CBP constateert dat de instellingen de overtredingen niet beëindigen, zal het CBP handhavend optreden. > Lees het onderzoeksrapport: www.cbpweb.nl/13/4


Huisartsenposten Het CBP onderzocht op basis van een steekproef drie huisartsenposten om te bekijken of deze voldoen aan de eisen die gelden voor een adequate beveiliging van patiëntgegevens. Daaronder vallen bijvoorbeeld de eis van unieke gebruikersidentificatie, zoals een pas op naam, en de eis van zogeheten tweefactorauthenticatie om toegang te kunnen krijgen tot het systeem, bijvoorbeeld een chipcard in combinatie met een pincode. Als deze eisen niet worden nageleefd, bestaat het risico dat medewerkers gegevens kunnen inzien van personen met wie zij geen behandelrelatie hebben. Geen van de drie huisartsenposten voldeed aan alle beveiligingseisen. De voornaamste gebreken waren het gebruik van al dan niet algemene leenpassen, waardoor de patiëntinformatie van alle patiënten in de hele regio kon worden ingezien, het kunnen inloggen met uitsluitend een wachtwoord en onvoldoende controle op de loggegevens. De onderzochte huisartsenposten hebben naar aanleiding van het onderzoek de overtredingen beëindigd.

Huisartsen en apothekers Online aanvragen voor herhaalrecepten worden vaak over een onbeveiligde verbinding verzonden. Dit blijkt uit een steekproef die het CBP in de eerste helft van 2013 uitvoerde onder 150 websites van huisartsen en apotheken. Bijna een derde van de sites bleek op dit punt onbeveiligd. Hierdoor kunnen derden medische informatie eenvoudig meelezen, verwijderen

C B P gezon d hei d szo r g |

of aanpassen. Huisartsen en apothekers die niet zorgen voor een goed beveiligde verbinding (bijvoorbeeld te zien aan https in de URL) handelen in strijd met de Wet bescherming persoonsgegevens. Het CBP zal vervolgonderzoek doen om te controleren of huisartsen en apothekers de verbindingen hebben beveiligd.

Apothekers Apothekers zijn net als andere zorgverleners gebonden aan het medisch beroepsgeheim. Zij hebben de plicht hun patiëntgegevens vertrouwelijk te behandelen, adequaat te beschermen en te beveiligen. Naar aanleiding van berichten dat dit niet altijd goed gebeurt, heeft het CBP een steekproefonderzoek gedaan bij acht apotheken. Alle onderzochte apotheken bleken tekort te schieten. Zo hadden vier apotheken niet alle vereiste maatregelen genomen om ervoor te zorgen dat alleen bevoegde personen toegang hebben tot hun patiëntgegevens. Er werd alleen van wachtwoorden gebruikgemaakt om in te loggen in plaats van de vereiste tweefactorauthenticatie. Het CBP zal controleren in hoeverre de geconstateerde overtredingen nog voortduren.

Verstrekking medische gegevens Verstrekking van gegevens door apothekers aan fabrikanten Bij vier andere apotheken is onderzoek gedaan naar de verstrekking van medische

15

gegevens aan een fabrikant van incontinentiemateriaal. Aanleiding voor dit onderzoek waren berichten dat deze fabrikant patiënten met incontinentieproblemen telefonisch benaderde voor een zogeheten TENA Consult. In zo’n consult werden onder meer vragen gesteld over de mate van incontinentie. Het TENA Consult zou plaatsvinden in samenwerking met apotheken en als doel hebben een zogenoemd patiëntprofiel te bepalen. Aan de hand van de patiëntprofielen wordt in de overeenkomst tussen apotheken en zorgverzekeraars vastgesteld op welke materiaalvergoeding patiënten recht hebben. Apotheken kunnen het opstellen van deze profielen uitbesteden aan derden, zogeheten bewerkers. Het CBP constateerde dat de apothekers onvoldoende waarborgen hadden getroffen om de patiëntgegevens te beschermen. Zo ontbrak een bewerkersovereenkomst tussen de apotheken en de fabrikant, waarin afspraken opgenomen moeten zijn over onder meer de beveiliging van de gegevens en het doel waarvoor de bewerker de verschillende gegevens verwerkt. Inmiddels heeft de fabrikant met de onderzochte apothekers met wie nog wordt samengewerkt een bewerkersovereenkomst gesloten, waardoor de overtredingen op dit punt zijn beëindigd. Uit het onderzoek bleek ook dat niet alle apothekers aan alle patiënten toestemming hadden gevraagd om hun patiëntgegevens door te geven aan de fabrikant. Dat was in

16

strijd met de wet. Deze overtredingen zijn inmiddels beëindigd, ofwel omdat patiënten alsnog toestemming hebben gegeven ofwel omdat de gegevens van patiënten die geen toestemming hebben gegeven zijn vernietigd.

Verstrekking van gegevens door ggz aan zorgverzekeraars Het CBP heeft een advies uitgebracht over het voorstel tot wijziging van de Regeling zorgverzekering en geadviseerd deze niet zo in te voeren. In het voorstel wordt het aantal persoonsgegevens dat hulpverleners in de geestelijke gezondheidszorg (ggz) aan zorgverzekeraars moeten doorgeven uitgebreid. Voortaan zouden de hulpverleners niet alleen verplicht zijn de diagnosebehandelcombinatie (DBC) door te geven, maar ook de zogeheten zorgvraagzwaarteindicator. Dit is een getal dat een indicatie geeft van de aard en omvang van de hulpverlening. De bedoeling van het voorstel is om door zorgverzekeraars ervaren knelpunten in de wettelijk verplichte controle op declaraties weg te werken. Voor beide soorten medische gegevens geldt dat zij uiterst privacygevoelig zijn. Deze gegevens raken de kern van het privéleven van de betrokken persoon en daarom moet uiterst zorgvuldig en terughoudend worden omgegaan met patiëntgegevens en met doorgifte hiervan aan derden die niet bij de behandeling betrokken zijn.

Het CBP adviseert om de wettelijk verplichte verstrekking van informatie over de zorgvraagzwaarte te beperken tot die diagnosegroepen waarvoor het aannemelijk is dat de daaraan verbonden indicator ook daadwerkelijke voorspellende waarde heeft voor de behandelinzet. Onderzoek toont namelijk aan dat dit niet altijd het geval is. Verder adviseert het CBP de effecten van de invoering van de zorgvraagzwaarte-indicator zorgvuldig te monitoren voordat wordt besloten tot bredere invoering. Tot slot adviseert het CBP twee uitzonderingen op de verplichte verstrekking mogelijk te maken, namelijk ten eerste als de verzekerde de rekening zelf betaalt en ten tweede als patiënt en hulpverlener een zogeheten privacyverklaring ondertekenen.

Wet Langdurige Intensieve Zorg Het CBP bracht in 2013 een kritisch advies uit over het wetsvoorstel Langdurige Intensieve Zorg (LIZ). Dit wetsvoorstel maakt onderdeel uit van de hervorming van de langdurige zorg. Hierbij is sprake van gedeeltelijke overheveling van de verantwoordelijkheid voor die zorg naar gemeenten en zorgverzekeraars. Het CBP heeft in dat verband ook geadviseerd over de voorstellen voor de Wet maatschappelijke ondersteuning 2015 (Wmo 2015) en de Jeugdwet (zie hiervoor het hoofdstuk ‘Overheid’ van dit jaarverslag). De voorstellen leveren een aanzienlijke wijziging op van taken en verantwoordelijk-



heden van diverse instanties. Gelet hierop heeft het CBP al opgemerkt dat het noodzakelijk is om tot een meer overkoepelende en onderbouwde visie op de verwerking van persoonsgegevens te komen. Transparantie over de verwerking van persoonsgegevens is hierbij een belangrijk aandachtspunt. Het CBP constateert dat ook in het wetsvoorstel LIZ geen onderbouwde visie op de verwerking van persoonsgegevens aanwezig is. Het CBP adviseert daarom te voorzien in een grondige beschouwing over de verwerking van persoonsgegevens in de nieuwe situatie zoals beschreven in het wetsvoorstel. Deze verwerking moet ook in samenhang worden bekeken met de veranderingen vanuit de voorstellen voor de Wmo 2015 en de Jeugdwet, die aanleiding kunnen geven tot gegevensuitwisseling bij het afstemmen van de uitvoering van die wetten. Het CBP acht het daarbij van belang dat het wetsvoorstel LIZ voldoende specificeert over welke gegevens instanties mogen beschikken voor welke taak en welke gegevens ze daarbij aan elkaar moeten verstrekken. Het CBP adviseert ook in het wetsvoorstel LIZ een wettelijke verplichting op te nemen voor het door derden verstrekken van gegevens die noodzakelijk zijn voor de zogeheten indicatiestelling. Toestemming kan hiervoor namelijk niet als grondslag dienen, omdat de mensen om wie het gaat bij dit soort gegevens feitelijk niet in vrijheid toestemming kunnen geven.

17

Verwerking persoonsgegevens door zorgverzekeraars Bij uitspraak van de Rechtbank Amsterdam van 13 november 2013 is het besluit van het CBP tot afgifte van een goedkeurende verklaring voor de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars met bijbehorend Protocol Materiële Controle (d.d. 13 december 2011) van Zorgverzekeraars Nederland vernietigd. De Rechtbank Amsterdam heeft in die uitspraak een aantal beroepsgronden tegen de afgifte van die goedkeurende verklaring, zoals aangevoerd door de Stichting Koepel van DBC-vrije Praktijken van Psychotherapeuten en Psychiaters, gegrond verklaard. De rechtbank oordeelt dat de gedragscode onvoldoende waarborgen bevat voor de veilige en voldoende beschermde verwerking van medische gegevens. Zorgverzekeraars Nederland heeft op 17 december 2013 hoger beroep ingesteld tegen de uitspraak van de Rechtbank Amsterdam bij de afdeling Bestuursrechtspraak van de Raad van State. Omdat Zorgverzekeraars Nederland binnen de door de rechter vastgestelde termijn van zes weken geen aan de uitspraak aangepaste gedragscode ter goedkeuring aan het CBP heeft voorgelegd, heeft het CBP op 19 december 2013 een nieuw besluit genomen, dat het verzoek van Zorgverzekeraars Nederland tot afgifte van een goedkeurende verklaring voor de gedragscode afwijst.

18



19

Arbodienstverleners mogen geen gevoelige medische informatie van zieke werknemers, zoals aard en oorzaak van de ziekte, medicijngebruik en behandeling, doorgeven aan de werkgever.

Arbeidsrelatie Onder werktijd heeft iemand niet dezelfde vrijheden als daarbuiten. Het grondrecht op de bescherming van persoonsgegevens geldt echter ook op de werkvloer. Naleving van dit recht vergt temeer aandacht omdat werknemers in een afhankelijke positie staan ten opzichte van hun werkgever.

Verwerking medische gegevens personeel Doorgeven medische gegevens aan werkgever Voor de re-integratie en begeleiding van zieke werknemers mag een arbodienst gebruikmaken van een beperkt aantal noodzakelijke medische persoonsgegevens van deze werknemers. Dit betreft onder meer gegevens over de verwachte duur van het verzuim en de mate waarin een werknemer arbeidsongeschikt is. Een verzuimbedrijf dat de verzuimbegeleiding uitvoert voor de werkgever mag in beginsel ook alleen deze beperkte set medische gegevens verwerken en verstrekken aan de werkgever. Ook een gecertificeerde arbodienst mag voor verzuimbegeleiding slechts een beperkt aantal medische gegevens verstrekken aan de werkgever. Gevoelige medische informatie, zoals de aard

22

en de oorzaak van de ziekte, medicijngebruik en behandeling, mogen deze arbodienstverleners niet doorgeven aan de werkgever. Het CBP heeft bij twee arbodienstverleners – een gecertificeerde arbodienst en een verzuimbedrijf – geconstateerd dat zij in strijd met de wet medische gegevens van werknemers verwerkten. Het verzuimbedrijf heeft naar aanleiding van het onderzoek van het CBP de overtredingen beëindigd. De arbodienst, waar het ging het om de gegevens van bijna 58.000 werknemers, is onderwerp van nadere controle. > Lees het persbericht van het CBP: www.cbpweb.nl/13/5

Melden medicijngebruik Een bedrijf riep in een nieuwsbrief aan zijn personeel alle medewerkers op hun medicijn-


doosjes af te geven, om controle mogelijk te maken op medicijngebruik dat van invloed kan zijn op de rijvaardigheid. Dit gebeurde om de veiligheid op de werkvloer, waar met heftrucks wordt rondgereden, te verhogen. De ondernemingsraad van het bedrijf gaf over deze oproep een signaal af bij het CBP. Ingrijpen van het CBP leidde er uiteindelijk toe dat de werkwijze is aangepast en werknemers het medicijngebruik niet bij de werkgever moeten melden maar bij de bedrijfsarts.

Ziekmelding werknemers Het CBP ontving ook een signaal over het beleid van een groot bedrijf ten aanzien van de ziekmelding van werknemers. Bij de ziekmelding vroeg de werkgever aan de werknemer naar de aard en oorzaak van de ziekte. Na tussenkomst van het CBP heeft het bedrijf zijn beleid en de documenten waarin de werkwijze bij ziekmelding is beschreven aangepast. Ook is de verzuimapplicatie gewijzigd waarin de leidinggevenden aard en oorzaak van de ziekte invoerden. De reeds verzamelde medische gegevens zijn vernietigd.

Cameratoezicht op personeel Heimelijk filmen van personeel Het CBP heeft na onderzoek geconcludeerd dat het bedrijf Media Markt in strijd met de wet zijn personeel heimelijk heeft gefilmd. In het voorjaar van 2013 ontving het CBP diverse signalen vanuit de media

C B P a r bei d s r ela t ie |

en van betrokkenen over het gebruik van (heimelijke) cameraobservaties door Media Markt. Uit het onderzoek van het CBP bleek dat Media Markt mystery shoppers met verborgen camera’s inzette die in verschillende vestigingen het personeel filmden in het kader van een training. Vervolgens werd het personeel met deze beelden in groepsverband geconfronteerd. Ook bleek uit het onderzoek dat het management van Media Markt medewerkers heeft aangesproken op hun functioneren op basis van camerabeelden van beveiligingscamera’s. Media Markt heeft eveneens met behulp van deze beveiligingsbeelden een klacht afgehandeld. Het aanspreken van personeel en het afhandelen van klachten zijn onverenigbaar met het doel van de opnamen van beveiligingscamera’s en daarmee ook in strijd met de wet. Het CBP heeft begin januari 2014 zijn onderzoeksresultaten gepubliceerd en zal nog besluiten of het opleggen van sanctionerende maatregelen noodzakelijk is. > Lees het onderzoeksrapport: www.cbpweb.nl/13/6

Onjuist gebruik beveiligingsbeelden Zoals hiervoor bij het onderzoek naar Media Markt al naar voren kwam, mag een bedrijf zijn werknemers niet aanspreken op hun gedrag op basis van camerabeelden die zijn gemaakt met het oog op beveiliging. Het CBP heeft een opslagbedrijf dat zich schuldig maakte aan dit soort praktijken

23

gemeld dat dit een onverenigbaar gebruik is van beveiligingscamera’s. Het bedrijf heeft hierop aangegeven te zijn gestopt met deze verwerking.

Onterecht beoordelingscriterium Voor werknemers die na een periode van detachering bij hun bedrijf terugkeerden, telde bij hun beoordeling mee of ze al dan niet een (bijgewerkt) LinkedIn-profiel hadden. Deze beoordeling bepaalde de hoogte van de bonus voor de werknemer. Na een signaal hierover van een werknemer die zijn gegevens liever niet op internet wil plaatsen, heeft het CBP het betreffende bedrijf vragen gesteld over de werkwijze. Het bedrijf gaf hierop zelf aan geen geldige grondslag te hebben om mensen te verplichten een LinkedIn-profiel aan te maken c.q. bij te houden. Het bedrijf heeft de beoordelingsformulieren aangepast en de leidinggevenden geïnformeerd dat het al dan niet hebben van een (bijgewerkt) LinkedIn-profiel geen rol mag spelen in de beoordeling.

vernietigd. Daarmee zijn de overtredingen van de Wet bescherming persoonsgegevens beëindigd. Onderzoek van het CBP in 2012 wees uit dat BJZ NB in strijd met de wet psychologischetestresultaten van zijn werknemers verzamelde. Alle werknemers van BJZ NB waren sinds 2011 verplicht mee te werken aan een assessment voor personeelsbeoordeling en -ontwikkeling. Uit het onderzoek kwam onder meer naar voren dat er voor de verwerking van de testresultaten geen wettelijke grondslag was, omdat van vrijelijk gegeven toestemming van de werknemers geen sprake was. Het CBP oordeelde ook dat het verplicht laten afnemen van een assessment door alle medewerkers niet noodzakelijk is voor de bedrijfsvoering. Een deel van de testresultaten, de functiegerelateerde competenties, was behalve door de betreffende medewerker ook in te zien door de leidinggevende. De gegevens die bij de testen werden verzameld zijn gevoelig van aard. Zij zeggen iets over de psychische gesteldheid, vaardigheden en beperkingen van betrokkenen.

Testgegevens vernietigd Naar aanleiding van onderzoek van het CBP heeft Bureau Jeugdzorg Noord-Brabant (BJZ NB) in 2013 aangegeven de resultaten van psychologische tests van zijn werknemers niet langer te gebruiken en deze te hebben

24


C B P a r bei d s r ela t ie |

25

Een smartphonegebruiker heeft gemiddeld zo’n 37 apps gedownload. Apps kunnen enorme hoeveelheden gegevens van die persoon verwerken, bijvoorbeeld door toegang tot contacten en foto’s.

Internet en telecom Veel mensen zijn zich er niet van bewust dat zij voor online diensten vaak betalen met hun persoonsgegevens. Bedrijven en organisaties moeten hen voldoende informeren over het gebruik van hun gegevens en waar dat wettelijk verplicht is, hiervoor toestemming vragen.

Gegevens online kijkgedrag op smart tv’s Waar je online naar kijkt op tv, bijvoorbeeld via ‘Uitzending gemist’, welke apps je downloadt of welke sites je bezoekt: deze gegevens worden door het bedrijf TP Vision verzameld en bewaard. De gegevens kunnen een indringend beeld geven van iemands gedrag en belangstelling. TP Vision is de producent van Philips-televisies met internetfunctionaliteiten, beter bekend als smart tv’s. Op basis van de gegevens doet TP Vision persoonlijke kijkaanbiedingen en wil het bedrijf gepersonaliseerde advertenties gaan tonen. Door het gebrek aan heldere informatie zijn gebruikers zich hiervan vaak niet bewust. Bovendien worden tv-kijkers hierdoor niet in staat gesteld om rechtsgeldige toestemming te geven voor de verwerking van hun

28

persoonsgegevens. TP Vision handelt op deze manier in strijd met de Wet bescherming persoonsgegevens, zo oordeelde het CBP na onderzoek. Volgend op dit onderzoek heeft het bedrijf een deel van de overtredingen betreffende de informatieplicht beëindigd. Het bedrijf heeft de gebruiksvoorwaarden uitgebreid met een privacystatement en een cookiebeleid en hierin informatie opgenomen over de bewaartermijnen van de gegevens. Deze aanpassingen waren bij sluiting van het onderzoek in juli 2013 echter zodanig dat het voor een gebruiker nog steeds onvoldoende inzichtelijk was dat TP Vision de zogeheten verantwoordelijke is (voor de gegevensverwerking), welke cookies het bedrijf plaatst, welke persoonsgegevens het verzamelt en hoe lang het deze bewaart. De informatie in de gebruiksvoorwaarden,


het privacystatement en het cookiebeleid waren op dat moment inconsistent en onvoldoende publiek toegankelijk. Het privacystatement en het cookiebeleid waren bij sluiting van het onderzoek bijvoorbeeld alleen in het Engels beschikbaar. TP Vision gebruikt cookies om persoonsgegevens van de gebruikers te verzamelen. TP Vision heeft naar aanleiding van het onderzoek een toestemmingsvraag ingevoerd voor cookies die het kijkgedrag vastleggen, om persoonlijke kijkaanbiedingen te kunnen doen. Door het ontbreken van volledige en duidelijke informatie is deze toestemming echter niet rechtsgeldig. Voor advertentiecookies en de cookies waarmee TP Vision het appgebruik en websitebezoek vastlegt, vraagt het bedrijf helemaal geen toestemming. Als het CBP constateert dat de overtredingen niet alle worden beëindigd, zal het CBP handhavend optreden. > Lees het persbericht van het CBP: www.cbpweb.nl/13/7

vrijelijk toestemming hebben kunnen geven. Dit is in strijd met de Europese privacyregelgeving. Daarbij komt nog het privacyrisico dat sommige apps veel meer gegevens gebruiken dan noodzakelijk voor de werking van de app en rekbare doeleinden formuleren voor de gegevensverwerking, zoals ‘marktonderzoek’. Ook onvoldoende beveiligingsmaatregelen in de app vormen een risico. Slechte beveiliging van de app kan ertoe leiden dat (gevoelige) persoonsgegevens in handen van anderen komen, bijvoorbeeld door een datalek.

Apps

De gezamenlijke Europese privacytoezichthouders hebben in een opinie van 14 maart 2013 de grootste privacyrisico’s van apps in kaart gebracht en de concrete verplichtingen uitgewerkt waaraan app-ontwikkelaars en alle andere betrokken partijen bij de ontwikkeling en distributie van apps moeten voldoen. Andere partijen zijn onder meer app stores, advertentiebedrijven en fabrikanten van besturingssystemen. In de opinie is speciale aandacht voor apps gericht op kinderen.

Europese privacytoezichthouders Een smartphonegebruiker heeft gemiddeld zo’n 37 apps gedownload. Apps kunnen enorme hoeveelheden, vaak intieme, persoonsgegevens van die gebruiker verwerken, onder meer door toegang tot de contactenlijst en het fotoalbum of door het gebruik van locatiegegevens. Dit gebeurt vaak zonder dat gebruikers hierover goed zijn geïnformeerd en zonder dat zij hiervoor

Internationale privacytoezichthouders Tijdens hun jaarlijkse conferentie in september 2013 hebben privacytoezichthouders van over de hele wereld aangekondigd de privacy van appgebruikers te willen verbeteren en verschillende spelers in de app-industrie aan te spreken en te wijzen op hun verantwoordelijkheden. Indien nodig zullen de privacytoezichthouders gezamenlijk

C B P i n t e r ne t en t elecom |

29

handhavend optreden. De discussies over de ‘verappisering’ van de samenleving leidden tot een slotverklaring met als teneur dat de toezichthouders het gemak en het plezier die apps bieden zeker niet willen bederven, maar dat zij wel misbruik van persoonsgegevens willen tegengaan. Het is belangrijk dat gebruikers zeggenschap houden over hun eigen gegevens. Zij moeten zelf kunnen beslissen welke informatie zij met wie delen en voor welke doelen. Zij moeten niet verrast worden door verborgen functies van de app die zorgen voor geheime overdracht van gegevens. App-ontwikkelaars moeten voldoen aan diverse bestaande privacywet- en regelgeving. Om dat te bereiken én tegelijk een gebruiksvriendelijke app te blijven aanbieden, is het van belang dat al bij de ontwikkeling van een app wordt nagedacht over privacyaspecten. Op deze manier kan privacy ook een concurrentievoordeel opleveren, omdat het product aan consumentenvertrouwen wint. Daarnaast hebben ook de aanbieders van mobiele platforms een verantwoordelijkheid: zij moeten ervoor zorgen dat ook mobiele apparaten over duidelijke en gedetailleerde privacyinstellingen beschikken. > Lees meer over privacy bij apps: www.cbpweb.nl/13/8

Onderzoek WhatsApp In januari 2013 heeft het CBP samen met de Canadese privacytoezichthouder de bevindingen gepubliceerd van het gezamenlijke onderzoek naar de verwerking

30

van persoonsgegevens door WhatsApp. De privacytoezichthouders constateerden in hun onderzoek meerdere overtredingen van de privacywetten. De beveiliging van de app was op verschillende punten onder de maat. Zo bleek tijdens het onderzoek dat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden derden de inhoud daarvan in leesbare vorm onderscheppen, zonder dat de oorspronkelijke ‘whatsapper’ daar weet van had. Naar aanleiding van het onderzoek heeft WhatsApp maatregelen genomen om het berichtenverkeer te versleutelen. Een andere geconstateerde overtreding is dat gebruikers van WhatsApp verplicht zijn toegang te geven tot het volledige adresboek op hun telefoon. Het bedrijf verzamelt vervolgens álle telefoonnummers uit die adresboeken, ook de nummers van contacten die geen WhatsApp gebruiken. Gebruikers kunnen er niet voor kiezen om alleen de nummers door te geven van contacten met wie zij ook echt willen whatsappen. Hierdoor hebben dus niet alleen de WhatsApp-gebruikers geen zeggenschap over welke gegevens zij willen delen, maar geldt dit zelfs voor mensen die de app niet gebruiken. Alleen de iPhone met het besturingssysteem iOS 6 biedt de mogelijkheid om per app de toegang tot het adresboek uit of aan te zetten. Het CBP bekijkt thans in hoeverre de geconstateerde overtredingen voortduren en beslist vervolgens of het handhavende maatregelen neemt.


Data-analyse door telecomaanbieders Het CBP heeft in juni 2013 gerapporteerd over zijn uitvoerige onderzoek naar analyse van het dataverkeer (packet inspection) over het mobiele netwerk door de telecomaanbieders KPN, Tele2, T-Mobile en Vodafone. Deze vier telecomaanbieders zijn de grootste mobielenetwerkaanbieders in Nederland. Bij alle bedrijven zijn overtredingen van de Wet bescherming persoonsgegevens en de Telecommunicatiewet vastgesteld. De bedrijven bleken onder meer in strijd met de wet op detailniveau gegevens te bewaren over de door hun klanten bezochte websites en gebruikte apps. Dergelijke gegevens moeten op basis van de wet zo snel mogelijk na het verzamelen worden verwijderd of onomkeerbaar worden geanonimiseerd. Gegevens over bezochte websites en gebruikte apps via de mobiele telefoon zeggen veel over het gedrag en de voorkeuren van mensen. Het is in veel gevallen niet noodzakelijk om deze gegevens op klantniveau te bewaren. Uit het onderzoek kwam ook naar voren dat de telecomaanbieders klanten niet of onjuist informeren over het feit dat zij gedetailleerde informatie over hen verzamelen en wat zij hiermee doen. Dit gebrek aan transparantie is ook in strijd met de wet. De vier telecomaanbieders hebben naar aanleiding van het onderzoek een deel van de overtredingen beëindigd. KPN heeft inmiddels alle overtredingen stopgezet,


de andere drie aanbieders nog niet (geheel). Bij voortduring van deze overtredingen beslist het CBP of het handhavende maatregelen zal nemen.

Voorstel brief- en telecommunicatiegeheim Artikel 13 van de Grondwet (Gw) ziet op de bescherming van het brief-, telefoon- en telegraafgeheim. De regering wil dit artikel moderniseren, zodat voortaan ook digitale communicatiemiddelen eronder vallen. Het aldus voorgestelde brief- en telecommunicatiegeheim richt zich primair tegen (heimelijke) inzage door de overheid in de inhoud van communicatie. Het CBP heeft bezwaar tegen het wetsvoorstel en adviseert het niet in de huidige vorm in te dienen. De hoofdpunten uit het CBP-advies betreffen: • Verkeersgegevens Verkeersgegevens (informatie over de communicatie, zoals wanneer en hoe lang iemand heeft gebeld of geïnternet) worden niet primair beschermd in het voorgestelde artikel 13 Gw, in tegenstelling tot de communicatie-inhoud. Het CBP adviseert ook verkeersgegevens onder de bescherming van artikel 13 te laten vallen, onder meer omdat deze gegevens ook veel over iemand kunnen zeggen. • Geïnformeerde toestemming Het CBP adviseert de passages over informed consent in de toelichting bij

31

het wetsvoorstel zodanig aan te passen dat alle drie de voorwaarden voor een geldige toestemming voor de gegevensverwerking op grond van de Wet bescherming persoonsgegevens (vrij, specifiek en geïnformeerd) worden genoemd. • Beperkingen Het CBP merkt op dat de toelichting ruimte laat voor de mogelijkheid dat de burger minder bescherming zou kunnen ontlenen aan het voorgestelde artikel 13 Gw dan aan artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). Dat heeft te maken met de ruimere mogelijkheden in artikel 13 tot beperking van het grondrecht. Deze keuze is onvoldoende gemotiveerd. • Bescherming persoonsgegevens in randapparatuur Gegevens opgeslagen in randapparatuur, zoals een pc, tablet of smartphone, worden niet beschermd in het voorgestelde artikel 13 Gw. Het CBP adviseert ook deze gegevens onder de bescherming van artikel 13 te laten vallen.

Cookies Cookies zijn kleine bestandjes die bedrijven en organisaties op computers van hun websitebezoekers plaatsen. Hiermee kunnen zij het zoeken klikgedrag van

32

de bezoekers volgen. Er zijn verschillende soorten cookies. Functionele cookies zijn (technisch) noodzakelijk voor de communicatie of voor door de bezoeker gevraagde dienstverlening. Niet-functionele cookies zijn onder meer analytische cookies, waarmee het websitegebruik in kaart kan worden gebracht, en tracking cookies, waarmee het gedrag van bezoekers over meerdere websites gevolgd kan worden, bijvoorbeeld voor reclamedoeleinden. Op het gebruik van cookies zijn de Telecommunicatiewet en de Wet bescherming persoonsgegevens van toepassing. Sinds 5 juni 2012 geldt op grond van de Telecommunicatiewet dat websites toestemming moeten vragen aan hun bezoekers voor het gebruik van alle niet-functionele cookies. Deze toestemming moet uit vrije wil zijn gegeven, specifiek zijn en op voldoende informatie zijn gebaseerd om rechtsgeldig te zijn.

Gebruik cookies door publieke omroep De Nederlandse Publieke Omroep (NPO) mag bezoekers de toegang tot de NPO-websites niet weigeren als zij geen toestemming geven voor het laten volgen van hun surfgedrag. Deze verduidelijking van het toepasselijk wettelijk kader heeft het CBP gegeven naar aanleiding van Kamervragen over het gebruik van cookies op de websites van de NPO. Van in vrijheid gegeven rechtsgeldige toestemming van de bezoeker is hierbij namelijk geen sprake, omdat de NPO geen andere keuze biedt dan (in een keer) toestemming te geven voor alle


soorten cookies, inclusief tracking cookies. Wie deze toestemming weigert, krijgt geen toegang tot de – met publiek geld verspreide – informatie en uitzendingen van de publieke omroepen, waarvoor ook nog eens geen (digitaal) alternatief beschikbaar is.

Aanpassing cookiebepaling Het CBP heeft geadviseerd over aanpassing van de cookiebepaling (conceptwetsvoorstel tot aanpassing van artikel 11.7a van de Telecommunicatiewet). Websites die alleen cookies met geringe privacygevolgen gebruiken – bijvoorbeeld analytische cookies waarmee níet het surfgedrag van de internetgebruiker wordt gevolgd – hoeven hierover volgens dit wetsvoorstel niet te informeren en hiervoor ook geen toestemming te verkrijgen van de betrokken internetgebruiker. Deze uitzondering geldt nu al voor functionele (technisch noodzakelijke) cookies. Het CBP heeft geen inhoudelijke bezwaren tegen deze voorgestelde extra uitzondering. Een tweede hoofdpunt uit het CBP-advies betreft het toestemmingsvereiste voor het gebruik van cookies. Het CBP onderschrijft de in de toelichting op het conceptwetsvoorstel gegeven uitleg van de term ‘toestemming’. In de toelichting wordt nader uitgelegd op welke wijze aan het toestemmingsvereiste kan worden voldaan. Onder omstandigheden kan ook uit het gedrag van de betrokken gebruiker diens toestemming worden afgeleid. Daarbij geldt dat toestemming altijd moet zijn gebaseerd op een voorafgaande, vrije, specifieke en


geïnformeerde keuze van de gebruiker en dat de toestemming moet blijken uit een actieve handeling. > Bekijk veelgestelde vragen over cookies en de Wet bescherming persoonsgegevens: www.cbpweb.nl/13/9

Privacyvoorwaarden Google Per 1 maart 2012 heeft Google nieuwe privacyvoorwaarden ingevoerd, die de mogelijkheid introduceren om persoonsgegevens te combineren die via verschillende Google-diensten worden verkregen. Dit is in strijd met de Wet bescherming persoonsgegevens, concludeerde het CBP na onderzoek. De onderzoeksresultaten zijn eind november 2013 gepubliceerd. Het CBP heeft Google inmiddels uitgenodigd voor een hoorzitting, waarna de toezichthouder zal beslissen over de inzet van handhavende middelen. Google bereikt met zijn online diensten vrijwel elke Nederlander met internettoegang. Het is bijna onmogelijk om op internet niet van Google-diensten gebruik te maken. Google combineert gegevens uit deze diensten – deels van gevoelige aard, zoals betalingsinformatie, locatiegegevens en surfgedrag over meerdere websites – onder meer om gepersonaliseerde advertenties te kunnen tonen. Google informeert internetgebruikers echter onvoldoende over om welke gegevens het gaat en voor welk doel het bedrijf gegevens koppelt. Bovendien biedt Google geen (voorafgaande) keuze-

33

mogelijkheid om hiermee in te stemmen of dit te weigeren. De door de wet vereiste toestemming kan in ieder geval niet worden verkregen via aanvaarding van de algemene (privacy)voorwaarden. Het CBP-onderzoek naar Google was het Nederlandse vervolg op een onderzoek van de Europese toezichthouders naar de wereldwijd geldende privacyvoorwaarden voor de gebruikers van alle diensten van Google. De bevindingen van dat onderzoek zijn in oktober 2012 gepubliceerd. Na dit vooronderzoek hebben zes privacytoezichthouders, in Frankrijk, Duitsland, GrootBrittannië, Italië, Spanje en Nederland, besloten om ook op nationaal niveau onderzoek te doen op basis van hun eigen privacywetgeving. > Lees het persbericht van het CBP: www.cbpweb.nl/13/10

In de brief stellen de privacytoezichthouders Google een aantal vragen waartoe berichten in de media over dit nieuwe product aanleiding gaven. Het gaat er vooral om helderheid te krijgen over de wijze waarop Google de via de bril verkregen persoonsgegevens wil gebruiken. Google heeft in juni 2013 gereageerd op de brief. De bril wordt in elk geval op korte termijn nog niet in productie genomen. Voorlopig volgt dan ook geen verdere actie van de toezichthouders. Wel zal de Berlijn Groep – de internationale werkgroep voor gegevensbescherming en telecommunicatie waaraan nationale privacytoezichthouders, wetenschappers en internationale organisaties deelnemen – een opinie schrijven over wearable computing. Google heeft tijdens de bijeenkomst van de werkgroep in september 2013 een demonstratie gegeven van Google Glass.

Google Glass Al langere tijd benadrukken privacytoezichthouders dat het belangrijk is om al in de ontwerpfase van een product of dienst rekening te houden met privacygevoelige elementen en voldoende waarborgen in te bouwen om persoonsgegevens goed te beschermen en te beveiligen. In dat kader hebben privacytoezichthouders van over de hele wereld Google aangeschreven vanwege de mogelijke privacygevolgen van de bril ‘Google Glass’. De brief is mede ondertekend door Jacob Kohnstamm, namens alle Europese privacytoezichthouders.

34

Publicatie tuchtrechtelijke uitspraken NOC*NSF, de koepel van sportbonden, heeft op aangeven van het CBP aandacht van de aangesloten bonden gevraagd voor het anonimiseren van tuchtrechtelijke uitspraken voordat deze op internet worden geplaatst. Sportbonden publiceren dergelijke uitspraken soms inclusief naam, adres, woonplaats, de overtreding/gedraging, de straf, etc. Deze wijze van publiceren, zeker als het gaat om sporters die in betrekkelijke anonimiteit hun sport beoefenen, is in strijd


met de Wet bescherming persoonsgegevens. NOC*NSF adviseert de sportbonden ervoor te zorgen dat tuchtrechtelijke uitspraken alleen geanonimiseerd en ook niet herleidbaar tot de betreffende persoon (bijvoorbeeld ‘de aanvoerder van team x van club y’) op hun websites worden geplaatst en stelt samen met enkele sportbonden en de Dopingautoriteit een richtlijn op om sportbonden te helpen op de juiste manier om te gaan met openbaarmaking van tuchtrechtuitspraken.

Datalekken Het CBP is volop in voorbereiding op de meldplicht datalekken. Het wetsvoorstel dat deze meldplicht invoert, is momenteel in behandeling bij de Tweede Kamer. De meldplicht datalekken houdt in dat bedrijven en organisaties die persoonsgegevens verwerken, verplicht zijn een datalek te melden bij het CBP. Doen zij dit niet, dan kan het CBP een boete opleggen. Mede als voorbereiding op de meldplicht datalekken heeft het CBP in 2013, net als in 2012, meerdere datalekken onderzocht.


35

Hoewel het in het bedrijfsleven vaak gebeurt, mag het kopiëren van identiteitsbewijzen meestal niet. Stapels kopieën kunnen privacyrisico’s opleveren, zoals identiteitsfraude, met grote financiële en maatschappelijke gevolgen voor mensen.

Handel en diensten

Zoekportaal woonbemiddelaar aangepast

Persoonsgegevens zijn het nieuwe goud. Hoe meer bedrijven weten over hun klanten, hoe meer aan hen te verdienen valt. Consumenten zijn echter niet vogelvrij. Bedrijven en organisaties moeten zich aan de wet houden bij het verwerken van hun persoonsgegevens.

Verstrekking abonneegegevens voor marketingdoeleinden Het CBP concludeerde na onderzoek dat Erdee Media B.V, uitgever van onder meer het Reformatorisch Dagblad en het tijdschrift Terdege, zonder toestemming van abonnees hun naam- en adresgegevens aan andere partijen verstrekt voor directmarketingdoeleinden. Dit is in strijd met de wet. Het gaat in deze zaak om de verwerking van gegevens over iemands godsdienst. Dit zijn bijzondere persoonsgegevens waarvoor strenge wettelijke eisen gelden. Deze gegevens mogen alleen met uitdrukkelijke toestemming van betrokkenen worden verwerkt.

en Terdege volgens Erdee Media B.V. behoren tot de gereformeerde gezindte. Erdee Media B.V. stelt via onder meer haar website tegenover (potentiële) adverteerders dat de verschillende media van Erdee Media B.V. volop mogelijkheden bieden als adverteerders de ‘gereformeerde gezindte’ willen bereiken. Het label ‘behorende tot de gereformeerde gezindte’ zorgt voor een rechtstreeks verband tussen de naam- en adresgegevens van de abonnees en gegevens over hun godsdienst. De verstrekking van de abonneegegevens moet dan ook worden aangemerkt als een verwerking van bijzondere persoonsgegevens. Als het CBP constateert dat Erdee Media B.V. de overtreding niet beëindigt, kan het CBP handhavend optreden.

Uit verschillende communicatiemiddelen van Erdee Media B.V. wordt duidelijk dat de lezers van het Reformatorisch Dagblad

38


Een grote woonbemiddelaar in de sociale huurmarkt meldde op zijn online zoekportaal in zijn privacyreglement dat de persoonsgegevens van woningzoekenden met andere partijen werden gedeeld voor marketingdoeleinden. Als woningzoekenden hiermee niet akkoord gingen, konden zij zich niet inschrijven en kwamen zij dus ook niet in aanmerking voor een sociale huurwoning, met alle nadelige gevolgen van dien. Het CBP heeft de woonbemiddelaar na onderzoek gemeld dat dit beleid in strijd was met de Wet bescherming persoonsgegevens. Daarop is het online zoekportaal aangepast. Woningzoekenden kunnen nu vrijelijk aangeven of van hun gegevens gebruik mag worden gemaakt voor bepaalde marketingdoeleinden, zoals marktrapportages.

NS mag ‘reisopbrengst’ verwerken voor marketing Het CBP heeft geconcludeerd dat de NS een gerechtvaardigd belang heeft om het totale bedrag per maand waarvoor een klant bij de NS op saldo heeft gereisd (de zogeheten reisopbrengst) te verwerken voor marketingdoeleinden. Deze gegevensverwerking leidt er niet toe dat er een gedetailleerder beeld ontstaat van het reisgedrag van de reizigers. In 2008 heeft het CBP aangegeven onder welke voorwaarden persoonsgegevens uit het

C B P i han d el en d iens t en |

OV-chipkaartsysteem voor marketingdoeleinden mogen worden gebruikt. Aan de vijf kenmerken van reisgedrag die onder die voorwaarden mogen worden verwerkt – reisfrequentie, tijdsduur die is verstreken na de laatste reis, voorkeurstrajecten, voorkeursstations en binnen of buiten de spits reizen – kan nu als zesde kenmerk de reisopbrengst worden toegevoegd.

Wanbetalerslijst De Wet bescherming persoonsgegevens is ook van toepassing op persoonsgegevens afkomstig uit openbare informatie. Wettelijke vereisten, zoals een geldige grondslag voor een verwerking en verenigbaarheid van verwerkingsdoelen, blijven onverkort van kracht. Het CBP is geattendeerd op een lijst met ‘wanbetalers’, personen die door de rechter zijn veroordeeld tot betaling van een geldbedrag. Voor de samenstelling van de lijst, die elk kwartaal als papieren krant werd uitgebracht door een incassobureau, werd gebruikgemaakt van openbare vonnissen. In de lijst stonden duizenden namen en adressen van wanbetalers, alfabetisch gerangschikt op gemeente en achternaam. Het doel van de lijst was om ondernemers te waarschuwen met deze mensen geen zaken te doen. Ieder in het handelsregister ingeschreven bedrijf kon de lijst opvragen. Dit betekende dat iemand die een schuld had bij een bedrijf bekend werd bij bedrijven in andere sectoren.

39

Het CBP oordeelde dat mede gezien de gevoeligheid van deze financiële gegevens en de aanzienlijke gevolgen voor de betrokkenen, de lijst niet voldeed aan het wettelijk vereiste dat gegevens die voor het ene doel zijn verzameld, niet voor een ander, onverenigbaar doel mogen worden gebruikt. Daarnaast was de lijst in strijd met de vereisten van noodzaak, proportionaliteit en subsidiariteit. Het incassobureau dat de lijst beheerde ging tijdens het onderzoek van het CBP failliet. De lopende zaken zijn door een ander incassobureau overgenomen. Dat kantoor heeft naar aanleiding van de interventie van het CBP de uitgifte van de lijst gestaakt.

Verwisselingen bij reparatiebedrijven Het komt voor dat mensen na reparatie van hun smartphone, laptop of computer van de reparateur het verkeerde toestel terugkrijgen. Op deze toestellen kan zeer persoonlijke informatie staan, zoals financiële gegevens, amoureuze conversaties of beroepsmatig verkregen gevoelige gegevens over derden. Na melding aan het CBP door de slachtoffers van dergelijke ongelukkige verwisselingen, heeft het CBP hier onderzoek naar gedaan. Door de interventie van het CBP zijn bij de onderzochte bedrijven de logistieke processen sterk verbeterd, zodat er minder risico is dat toestellen worden verwisseld. Zo is de eindcontrole uitgebreid en wordt bij smartphones het geheugen gewist, zodat geen persoonsgegevens meer

40

in handen van derden komen mocht er toch een toestel worden verwisseld. Een ander incident betrof het gebruik van een back-upmachine bij een computerreparatiebedrijf. De back-ups werden nooit verwijderd. Na een reparatie van een computer plaatste het bedrijf een verkeerde back-up terug, waardoor persoonlijke data van een ander op deze computer terechtkwamen. Ook deze procedure is na tussenkomst van het CBP aangepast.

Online aanbieden van vliegtickets Naar aanleiding van signalen onderzocht het CBP de beveiliging van een online aanbieder van vliegtickets. Slechte beveiliging maakte ongeautoriseerde toegang mogelijk tot gegevens als kopieën van paspoorten en medische verklaringen. Interventie door het CBP heeft ertoe geleid dat de beveiliging sterk is verbeterd.

CBP in juli 2012 richtsnoeren gepubliceerd voor het gebruik van ‘kopietjes paspoort’ in de private sector. Het CBP heeft toen ook aangekondigd actie te ondernemen bij signalen van burgers over het onrechtmatig verzamelen en gebruiken van kopieën van identiteitsbewijzen. > Bekijk de richtsnoeren kopie paspoort: www.cbpweb.nl/13/11 en de veelgestelde vragen: www.cbpweb.nl/13/12

Individuele bedrijven Sinds het uitbrengen van genoemde richtsnoeren zijn meer dan 1.000 signalen binnengekomen. Het CBP constateert op basis hiervan dat in uiteenlopende sectoren om een kopie van het paspoort wordt gevraagd. Het CBP heeft hierop per sector met een aantal − willekeurig uit de signalen gekozen − individuele bedrijven contact opgenomen. Enkele voorbeelden:

Kopie paspoort

Sportschool Een sportschooleigenaar vroeg een kopie paspoort als iemand een abonnement wilde afsluiten. Na contact met het CBP wijzigde de eigenaar zijn beleid en vernietigde hij de kopieën van identiteitsbewijzen die hij al in zijn bezit had.

Hoewel het in het bedrijfsleven vaak gebeurt, is het kopiëren of scannen van identiteitsbewijzen lang niet altijd toegestaan − en bovendien niet nodig. Ook kan het privacyrisico’s opleveren, variërend van misbruik voor marketingdoeleinden tot oplichting en identiteitsfraude. Om de wettelijke regels te verduidelijken, heeft het

Evenement Een organisator van een evenement vroeg aan alle deelnemers die zich wilden inschrijven een kopie van hun paspoort. Bovendien weigerde de organisator een kopie te accepteren waarop het burgerservicenummer (BSN) en de foto waren afgeschermd. Wie geen kopie opstuurde, mocht



niet deelnemen. Na contact met het CBP paste de organisator zijn werkwijze aan en vernietigde hij de reeds in bezit zijnde kopieën. Metaalhandel Een metaalhandelaar maakte kopieën van de paspoorten van klanten. Op navraag van het CBP verklaarde de handelaar dat hij begin 2013 geconfronteerd werd met de wettelijke verplichting een opkopersregister bij te houden en dat hij nog niet goed wist wat daarvoor de regels zijn. Krijgt iemand contant betaald voor koper, koperkabel of koperlegeringen, dan moet deze verkoper zich legitimeren en moet de handelaar enkele gegevens van het getoonde identiteitsbewijs registreren. Een kopie maken is hierbij echter niet toegestaan. De handelaar is hier inmiddels mee gestopt.

(Branche)organisaties Naast de contacten met individuele bedrijven uit de verschillende sectoren, is het CBP in contact getreden met meerdere (branche-) organisaties, waaronder de Belastingdienst en Transport en Logistiek Nederland. Belastingdienst Ondernemers die goederen leveren aan inwoners van een land buiten de Europese Unie, hoeven hierbij geen omzetbelasting in rekening te brengen. Om bij controle aan te kunnen tonen dat zij dit terecht niet hebben gedaan, schrijft de Belastingdienst voor dat zij een kopie van het paspoort van hun klanten maken. Naar aanleiding van vragen van het CBP is het ministerie van

41

Financiën, waaronder de Belastingdienst valt, echter tot de conclusie gekomen dat het niet nodig is een kopie te maken van de pasfoto en het BSN in het paspoort. Dit zijn zogeheten bijzondere persoonsgegevens, die extra privacygevoelig zijn. Inmiddels is in de regeling vastgelegd dat deze moeten worden afgeschermd bij het maken van een kopie. Het CBP ontving in 2013 maandelijks meerdere signalen over inleners/aannemers die een kopie paspoort verlangen van werknemers die zij inhuren van een ander bedrijf. Werkgevers mogen een kopie van het identiteitsbewijs van hun werknemers verwerken, maar bedrijven die personeel inhuren of werk uitbesteden mogen dat niet. De Belastingdienst bleek bedrijven te adviseren een kopie van het identiteitsbewijs te maken vanwege de ‘Matiging ketenen inlenersaansprakelijkheid bij toepassing anoniementarief’. Het CBP heeft ervoor gezorgd dat de Belastingdienst bedrijven nu informeert dat het maken van een kopie paspoort niet noodzakelijk is. Transport en Logistiek Nederland (TLN) Vrachtwagenchauffeurs willen weten of het verplicht is een kopie van hun identiteitsbewijs af te staan bij de ingang van een bedrijf waar zij goederen komen afleveren. Als een chauffeur weigert, kan hij zijn lading niet kwijt en/of weigert het bedrijf nog langer zaken te doen met het vervoersbedrijf waarvoor hij werkt. Het CBP heeft naar aanleiding van de steeds terugkerende vragen contact opgenomen met brancheorganisatie TLN, die beide ‘partijen’ – vervoerders en

42

logistiek dienstverleners – als achterban heeft. Hierop heeft TLN zijn achterban laten weten dat chauffeurs bij het afleveren van goederen niet om een kopie paspoort mag worden gevraagd.

Registratie vakbekwaamheid financiële dienstverleners

van het burgerservicenummer (BSN) en de bewaartermijn van de gegevens in het informatiesysteem. Voor het mogen verwerken van het BSN is een wettelijke grondslag vereist. Deze lijkt te ontbreken voor de exameninstituten. Het CBP adviseert in deze lacune te voorzien. Daarnaast adviseert het CBP te motiveren waarom de gegevens in het informatiesysteem twintig jaar lang zouden moeten worden bewaard.

Vanaf 1 januari 2014 zijn financiële dienstverleners verplicht hun vakbekwaamheid met een diploma aan te tonen. Daarnaast moeten zij periodiek een examen met goed gevolg afleggen. Gegevens over de diploma’s en examens van de dienstverleners worden volgens het wetsvoorstel tot wijziging van de Wet op het financieel toezicht (Wft) geregistreerd in een nieuw in te stellen informatiesysteem. Het CBP heeft geadviseerd duidelijk te maken wie bij het informatiesysteem de zogeheten verantwoordelijke is en wie de mogelijke bewerker. De verantwoordelijke dient namelijk toe te zien op de naleving van de technische en organisatorische beveiligingsmaatregelen door de bewerker. Het ‘Besluit tot wijziging van het Besluit Gedragstoezicht financiële ondernemingen Wft’, waarover het CBP eveneens advies heeft uitgebracht, regelt het hierboven genoemde informatiesysteem. De minister van Financiën, de Dienst Uitvoering Onderwijs (DUO) en erkende exameninstituten hebben toegang tot dit informatiesysteem. De belangrijkste opmerkingen van het CBP bij het besluit betreffen verwerking



43

De voorgenomen overheveling van taken naar gemeenten op het gebied van bijvoorbeeld jeugdzorg brengt grote privacyrisico’s met zich mee voor de mensen om wie het gaat.

Overheid De overheid is een van de grootste verwerkers van persoonsgegevens. De gegevens worden met meerdere partijen gedeeld, wat de dienstverlening ten goede kan komen maar waarbij zorgvuldigheid geboden is. Zicht houden op wat er met de gegevens gebeurt, is zowel voor burgers als de overheid zelf van belang.

Decentralisatie: privacywaarborgen vereist Het CBP heeft in oktober 2013 in een brief aan de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) zijn zorgen geuit over de privacygevolgen van de zogeheten decentralisatie. Het gaat om de door het kabinet ingezette overheveling van taken naar gemeenten op de gebieden van jeugdzorg, werk & inkomen en zorg aan langdurig zieken en ouderen. Het kabinet wil dat gemeenten deze taken integraal gaan uitvoeren. Het ontbreken van een adequate uitwerking van privacywaarborgen voor deze aanpak levert ernstige risico’s op voor de persoonlijke levenssfeer van betrokkenen, aldus het CBP in zijn brief. Deze risico’s betreffen het bovenmatig delen van persoonsgegevens, het gebruik van de gegevens voor een doel

46

dat niet verenigbaar is met het oorspronkelijke doel waarvoor zij zijn verzameld en de beveiliging van de gegevens. Bovendien dreigt dat het noch voor burgers, noch voor de overheid zelf inzichtelijk is wie welke gegevens verzamelt en gebruikt en met welk doel dat gebeurt. Het CBP benadrukt dat zonder een duidelijke omschrijving van het doel en een beschrijving van welke gegevens daarvoor nodig zijn, de verwerking van persoonsgegevens bij de genoemde integrale aanpak niet in overeenstemming kan zijn met de privacyregelgeving. Het CBP dringt bij het Rijk aan op een zogenoemd Privacy Impact Assessment (PIA) dat de risico’s en privacywaarborgen in kaart brengt. Van belang daarbij is dat de afzonderlijke wetsvoorstellen in samenhang worden bezien.


Het CBP heeft over het onderwerp decentralisatie in nauw contact gestaan met het ministerie van BZK en de Vereniging van Nederlandse Gemeenten (VNG). Ook heeft het CBP in december 2013 deelgenomen aan de hoorzitting van de Eerste Kamer over dit onderwerp. > Lees de brief van het CBP: www.cbpweb.nl/13/13

Wet maatschappelijke ondersteuning In het voorstel voor de beoogde nieuwe Wet maatschappelijke ondersteuning (Wmo 2015) krijgen gemeenten meer verantwoordelijkheden bij het organiseren van passende ondersteuning aan huis voor langdurig zieken en ouderen. Dit betekent dat gemeenten meer (bijzondere) persoonsgegevens gaan verwerken van meer mensen. De overheveling van Wmo-taken naar de gemeenten moet in samenhang worden gezien met de decentralisatie van taken op het gebied van jeugdzorg en werk & inkomen. Het CBP concludeert dat deze integrale aanpak ertoe kan leiden dat persoonsgegevens die in het ene deel van het sociale domein voor de daartoe omschreven doelen worden verwerkt, ook in de overige delen van het sociale domein worden gebruikt. Het CBP heeft bezwaar tegen het wetsvoorstel en adviseert onder meer om in de toelichting bij het wetsvoorstel een uiteenzetting op te nemen over de waarborgen die worden getroffen ter ondervanging van de eerdergenoemde risico’s. Ook adviseert het CBP om een PIA uit te voeren, waarmee in

C B P ove r hei d |

kaart wordt gebracht welke gegevens zullen worden verwerkt voor welk doel en welke waarborgen moeten worden getroffen om deze verwerking(en) in overeenstemming te brengen met de eisen van de Wet bescherming persoonsgegevens.

Jeugdwet De concept-Jeugdwet regelt de overheveling van taken, zowel bestuurlijk als financieel, van het Rijk naar gemeenten op het gebied van ondersteuning, hulp en zorg bij opgroeien en opvoeden en bij psychische problemen van jeugdigen. Hoe een en ander wordt geregeld, is nog niet uitgewerkt. Wel is te verwachten dat de eerdergenoemde decentralisatie van taken op meerdere gebieden ertoe zal leiden dat gemeenten aanzienlijke hoeveelheden gegevens gaan verwerken. Verder leidt de integrale aanpak van jeugd- en gezinsproblemen naar verwachting tot meer uitwisseling van persoonsgegevens tussen de betrokken partijen. De eerdergenoemde risico’s van bovenmatige gegevensverwerking, het gebruik van persoonsgegevens voor een ander (niet-verenigbaar) doel en onvoldoende beveiliging liggen op de loer. Uit openbare informatie over de decentralisatie van de jeugdzorg blijkt niet dat gemeenten en andere betrokken partijen maatregelen nemen om deze risico’s voldoende te ondervangen. Ook blijkt uit de conceptwet niet dat middelen ter beschikking zijn gesteld voor een systeem dat een zorgvuldige gegevensverwerking waarborgt. Het CBP vindt het daarom van

47

belang dat ook gemeenten worden verplicht een PIA en audits uit te voeren en dit te regelen in de voorgestelde Jeugdwet of in een algemene maatregel van bestuur.

Het CBP doet in zijn advies verder nog een aantal suggesties om beleidsmakers en wetgevingsjuristen meer handvatten te geven voor de beoordeling van de privacyrisico’s van het beoogde project.

Toetsmodel PIA Rijksdienst Suwinet Het CBP heeft op verzoek van de minister van BZK geadviseerd over het voorgestelde Toetsmodel Privacy Impact Assessment Rijksdienst. Het CBP is verheugd dat hiermee uitvoering wordt gegeven aan de motie-Franken, die tijdens het beleidsdebat over privacy in de Eerste Kamer in mei 2011 is aangenomen. In de motie werd de regering verzocht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een PIA. Het is de bedoeling dat het toetsmodel standaard zal worden toegepast in het wetgevingstraject. In zijn advies over het concept-toetsmodel wijst het CBP erop dat een PIA niet hetzelfde is als een compliancetoets. Deze begrippen worden soms door elkaar gehaald. Een PIA is een instrument om in een zeer vroeg stadium van de ontwikkeling van nieuwe producten, diensten en beleidsvoornemens de privacyrisico’s hiervan op overzichtelijke wijze in kaart te brengen. Gewapend met deze kennis kan vervolgens het product, de dienst of het voornemen verder worden ontwikkeld en kan daarna de compliancetoets worden uitgevoerd, om te checken of de uitwerking voldoet aan de eisen van de Wet bescherming persoonsgegevens.

48

Kort na de waarschuwing voor de privacyrisico’s van decentralisatie waarover hierboven is geschreven, heeft het CBP verontrust gereageerd op de uitkomst van een onderzoek naar de uitwisseling van gegevens binnen het systeem Suwinet. In dit systeem kunnen onder meer gemeenten, het UWV en de Sociale Verzekeringsbank persoonsgegevens uitwisselen van mensen op het gebied van werk en inkomen. Uit het onderzoek, dat is uitgevoerd door de Inspectie van het ministerie van Sociale Zaken en Werkgelegenheid (SZW), bleek dat slechts 4% van de onderzochte gemeenten bij het gebruik van Suwinet voldoende maatregelen heeft genomen om de vertrouwelijkheid van uitgewisselde gegevens te waarborgen. Uit het onderzoek bleek overigens ook dat in 16% van de onderzochte gemeenten gegevens van bekende Nederlanders zonder reden werden geraadpleegd. Het CBP neemt de uitkomsten van het onderzoek van de Inspectie SZW zwaar op. Mensen moeten erop kunnen vertrouwen dat de gegevens die zij – vaak verplicht – afgeven aan gemeenten en instanties als het UWV, met de grootst mogelijke zorg-


vuldigheid worden behandeld. Dit klemt des te meer in het licht van de eerdergenoemde decentralisatievoornemens van het kabinet, waardoor een enorme hoeveelheid persoonsgegevens bij de gemeenten komt te liggen. Zowel de staatssecretaris van het ministerie van SZW als de Vereniging van Nederlandse Gemeenten hebben aangekondigd snel stappen te ondernemen om de situatie te verbeteren en het CBP te informeren over de voortgang. Het CBP volgt de ontwikkelingen op dit gebied met verscherpte aandacht. Indien de toezichthouder constateert dat de situatie medio 2014 nog steeds onvoldoende is, zal het niet aarzelen om bij afzonderlijke gemeenten op te treden.

Opsporing bijstandsfraude met verborgen camera De gemeente Nijmegen is van plan verborgen camera’s in te zetten om bijstandsfraude op te sporen. Het CBP acht deze inzet in bepaalde, uitzonderlijke gevallen rechtmatig. Heimelijk cameratoezicht is een ingrijpend middel dat alleen in uitzonderlijke gevallen mag worden ingezet. Daarnaast moet worden voldaan aan de waarborgen uit de Wet bescherming persoonsgegevens. Deze voorwaarden zijn opgenomen in een door de gemeente Nijmegen uitgewerkt protocol. De gemeente gaat alleen over tot cameraobservatie als een gegrond vermoeden bestaat dat iemand fraudeert met zijn

C B P ove r hei d |

bijstandsuitkering, door bewust onjuiste of onvolledige gegevens te verstrekken. Een tweede voorwaarde is dat de gemeente geen voor de betrokkene minder ingrijpende middelen kan inzetten, zoals fysieke observatie, bijvoorbeeld omdat de fraudeverdachte eerder heeft bewezen zeer agressief te zijn. Het protocol geeft aan hoe de beelden worden beveiligd en wie er toegang toe heeft, wanneer de beelden worden vernietigd, wanneer de betrokkenen worden geïnformeerd en hoe de rechten van de betrokkenen, zoals het recht op inzage, worden gehonoreerd. Gemeenten die verborgen camera’s willen inzetten om uitkeringsfraude op te sporen, moeten de procedure voor de verwerking van de verzamelde persoonsgegevens vooraf laten onderzoeken door het CBP. Het protocol van de gemeente Nijmegen kan hierbij als voorbeeldprotocol dienen. Gemeenten die aangeven het Nijmeegse protocol onverkort te volgen, kunnen een aanzienlijk kortere onderzoeksprocedure bij het CBP doorlopen.

Aanpassing basisregistratie personen De basisregistratie personen (BRP) is de opvolger van de gemeentelijke basisadministratie persoonsgegevens (GBA). De Wet GBA wordt daartoe vervangen door de Wet BRP. Het wetsvoorstel BRP is op 2 juli 2013 aangenomen door de Eerste Kamer en op 6 januari 2014 in werking getreden.

49

Het CBP heeft geadviseerd om het ontwerpbesluit basisregistratie personen, dat een aantal bepalingen van de wet nader uitwerkt, op een aantal punten aan te passen. Een van die nadere uitwerkingen is de opname van een lijst van derden (niet-overheidsorganen) die werkzaamheden verrichten met een gewichtig maatschappelijk belang en die daarom systematisch gegevens uit de basisregistratie verstrekt krijgen. De Stichting Interkerkelijke Ledenadministratie (SILA) wordt hierbij als derde genoemd. Het CBP acht de opname van SILA als derde onvoldoende onderbouwd en adviseert deze nader te motiveren. Daarbij benadrukt het CBP dat het enkele feit dat iemand in de basisregistratie een SILA-afnemersindicatie achter zijn of haar naam heeft staan, prijsgeeft dat deze persoon lid is van een kerkgenootschap. Daarmee is er sprake van het verwerken van bijzondere persoonsgegevens en dit behoeft daarom een nadere motivering. Het CBP had in zijn advies van 2010 over de voorgestelde Wet BRP al gewezen op de te algemene formulering van het artikel in deze wet dat de verwerking van het burgerservicenummer (BSN) door niet-overheidsorganen regelt. Hoewel het artikel is aangepast, kan dit toch nog tot interpretatieverschillen leiden. Het artikel behoeft derhalve nog een nadere verduidelijking. Het CBP benadrukt hierbij dat het verwerken van het BSN door niet-overheidsorganen een bedreiging voor de persoonlijke levenssfeer kan vormen.

50

Vingerafdrukken voor identiteitsbewijzen Het CBP heeft na onderzoek geconstateerd dat gemeenten de vingerafdrukken in de reisdocumentenadministraties niet langer bewaren dan wettelijk is toegestaan. Dat heeft het CBP de minister van Binnenlandse Zaken en Koninkrijksrelaties per brief laten weten. De minister kondigde in 2011 mede op verzoek van de Tweede Kamer aan de opslag van vingerafdrukken van aanvragers van een identiteitsbewijs in de reisdocumentenadministratie van gemeenten stop te zetten. De vingerafdrukken worden nu slechts bewaard tot de uitreiking van het document. De eerder opgeslagen vingerafdrukken worden vernietigd.

Registratie etniciteit risicojongeren De Rotterdamse deelgemeente Charlois heeft tijdig aan de eerder door het CBP opgelegde last onder dwangsom voldaan. Charlois registreert niet langer gegevens over etniciteit van risicojongeren. Ook heeft de deelgemeente de al aanwezige gegevens over ras/etniciteit tijdig uit het systeem verwijderd. De last onder dwangsom volgde na onderzoek van het CBP. Dat onderzoek leidde tot het oordeel dat Charlois structureel gegevens betreffende ras/etniciteit ten behoeve van een specifieke aanpak van risicojongeren verwerkte terwijl de deelgemeente niet kon aantonen dat deze aanpak geschikt is om de achterstand


van de jongeren te verminderen of op te heffen. Hierdoor handelde de deelgemeente in strijd met artikel 16 van de Wet bescherming persoonsgegevens.

Beveiliging studentgegevens hogescholen De Hogeschool Utrecht (HU) en de Hogeschool van Arnhem en Nijmegen (HAN) hadden onvoldoende beveiligingsmaatregelen getroffen om de studentgegevens in interne informatiesystemen te beveiligen tegen verlies of onrechtmatige verwerking. Dat concludeerde het CBP in februari 2013 na onderzoek. De beveiliging van studentgegevens, zoals studieresultaten, foto’s, informatie over leningen of notities van decanen, is van groot belang. Studenten moeten erop kunnen vertrouwen dat hun persoonsgegevens bij hun school in goede handen zijn en dat hun privacy is gewaarborgd. Scholen moeten voorkomen dat onbevoegden persoonsgegevens, zoals cijfers, kunnen wijzigen in het systeem. In juli 2013 heeft het CBP het onderzoek afgerond, toen bleek dat de scholen passende maatregelen hadden getroffen om de informatiesystemen beter te beveiligen. Beide scholen hebben een onafhankelijke periodieke beveiligingsaudit ingesteld. Daarmee kan inzicht worden verkregen in zwakke plekken in informatiebeveiliging op basis waarvan de school maatregelen kan treffen.

C B P ove r hei d |

51

Voor de verwerking van politiegegevens gelden strenge wettelijke eisen. Zo moeten de gegevens worden verwijderd zodra zij niet langer noodzakelijk zijn voor het doel waarvoor ze werden verwerkt.

Politie en justitie

de eenheid de wettelijk vereiste noodzakelijkheidstoets niet minstens een keer per jaar uit te voeren. Als gevolg hiervan werden de CIE-gegevens langer bewaard dan toegestaan.

Politie en justitie hebben persoonsgegevens nodig voor de opsporing en vervolging van strafbare feiten. Het gaat hierbij om gevoelige gegevens. De waarborgen voor het gebruik van justitiële en politiegegevens moeten daarom zonder meer in orde zijn.

Te lang bewaarde politiegegevens De Criminele Inlichtingeneenheid (CIE) van het voormalige Regionaal politiekorps Flevoland (thans behorend tot de politie-eenheid Midden-Nederland) bewaarde te lang gegevens over zware criminaliteit, bleek uit onderzoek van het CBP. Ook de CIE’s bij het voormalige Regionaal politiekorps Brabant Zuid-Oost en de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport handelden in strijd met de wet. Zij hebben echter na het onderzoek van het CBP de overtredingen beëindigd. De politie-eenheid Midden-Nederland deed pas toezeggingen dat te zullen doen nadat het CBP een last onder dwangsom had opgelegd. De eenheid heeft tot 20 juni 2014 de tijd om maatregelen te nemen.

54

De CIE’s verwerken politiegegevens om inzicht te krijgen in de betrokkenheid van personen bij het beramen en plegen van ernstige en georganiseerde misdrijven. Voor de verwerking van deze gevoelige (politie-) gegevens gelden strenge wettelijke eisen. Zo moeten de gegevens worden verwijderd zodra zij niet langer noodzakelijk zijn voor het doel waarvoor ze werden verwerkt. De wet eist daarom een periodieke (jaarlijkse) toets om vast te stellen in hoeverre de gegevens nog noodzakelijk zijn. Bovendien geldt een maximale bewaartermijn van vijf jaar nadat voor het laatst gegevens aan een dossier zijn toegevoegd. Uit het onderzoek van het CBP is gebleken dat de politie-eenheid Midden-Nederland onvoldoende maatregelen had getroffen om ervoor te zorgen dat de CIE-gegevens tijdig werden verwijderd of vernietigd. Zo bleek


vrijwilligersorganisaties en opsporingsinstanties en de toevoeging van een verstrekkingsgrond naar aanleiding van de Evaluatie- en uitbreidingswet Bibob. Op dit laatste onderdeel adviseert het CBP de formulering van de verstrekkingsgrond aan te passen.

Verstrekking strafvorderlijke gegevens door OM In maart 2013 heeft het CBP geadviseerd over het voorstel van het Openbaar Ministerie om de Aanwijzing Wet justitiële en strafvorderlijke gegevens te wijzigen. Deze aanwijzing bevat de regels die het OM hanteert bij het verstrekken van strafvorderlijke gegevens voor buiten de strafrechtspleging gelegen doeleinden, onder meer voor hulp aan slachtoffers, het voorkomen en opsporen van strafbare feiten en het handhaven van orde en veiligheid. De hoofdreden voor de wijziging is de wens van het OM een aantal onderdelen van de aanwijzing te verplaatsen naar een interne instructie en de overige bepalingen aan te passen en samen te vatten. Het CBP heeft opmerkingen over de onderdelen die volgens het voorstel worden verplaatst uit de tekst van de aanwijzing naar de interne instructie en adviseert de aanwijzing op enkele punten aan te vullen. Verder gaat het om een wijziging van het beleid voor de gevallen waarin informatie kan worden verstrekt aan belanghebbenden, de vaststelling van een nieuwe grond bij civielrechtelijke aansprakelijkstelling, de toevoeging van een grond om verstrekking van gegevens mogelijk te maken aan

C B P poli t ie en j u s t i t ie |

DNA-gegevens en vingerafdrukken vrijgesprokenen Met de inwerkingtreding van de Wet herziening ten nadele per 1 oktober 2013 is in het Wetboek van Strafvordering een regeling opgenomen die het onder stringente voorwaarden mogelijk maakt een onherroepelijke vrijspraak te herzien. Met het oog op zo’n herziening kunnen DNA-gegevens en vingerafdrukken van personen die zijn vrijgesproken worden bewaard. Het CBP heeft geadviseerd over een ontwerpbesluit dat de verwerking regelt van deze DNA-gegevens en vingerafdrukken. Het ontwerpbesluit voorziet in een bewaarregeling door het Besluit DNA-onderzoek in strafzaken (DNA-Besluit) en het Besluit identiteitsvaststelling verdachten en veroordeelden (BIVV) zodanig aan te passen dat in die besluiten regels worden gesteld voor de verwerking van DNA-gegevens en vingerafdrukken van vrijgesprokenen. Het CBP merkt op dat de vernietiging van DNA-gegevens wanneer de gewezen verdachte wordt vrijgesproken na een herzieningsprocedure ten nadele niet is uitgewerkt in de wijziging van het DNA-besluit, terwijl de vernietiging van vingerafdrukken wel expliciet is geregeld in de wijziging van het BIVV.

55

Het CBP doet steeds vaker onderzoek samen met buitenlandse collegaprivacytoezichthouders. Ook wisselt het CBP kennis, ervaring en onderzoeksmethodes met hen uit, bijvoorbeeld tijdens internationale conferenties.

Internationaal De verwerking van persoonsgegevens houdt niet op bij de Nederlandse grens. In toenemende mate worden persoonsgegevens wereldwijd verwerkt voor uiteenlopende doeleinden. Om die reden is internationale samenwerking tussen de toezichthouders van groot belang.

Voortgang herziening Europese privacyregelgeving Op 25 januari 2012 publiceerde de Europese Commissie (EC) de voorstellen voor de herziening van de Europese privacyrichtlijn. Deze voorstellen omvatten een algemene Europese privacyverordening, die de huidige privacyrichtlijn moet gaan vervangen, en daarnaast een nieuwe richtlijn voor gegevensverwerking door politie en justitie. Hierna zijn de wetgevingsprocedures in het Europees Parlement (EP) en de Raad van ministers van Justitie en Binnenlandse Zaken van de Europese Unie (Raad) van start gegaan.

Europees Parlement In het EP zijn zo’n vierduizend amendementen ingediend. De rapporteurs namens

58

de commissie voor burgerlijke vrijheden, justitie en binnenlandse zaken (LIBEcommissie) hebben in samenspraak met andere politieke groepen en betrokken commissies in het EP voor alle artikelen compromis-amendementen geformuleerd. Deze zijn tijdens een stemming op 21 oktober 2013 bijna unaniem aanvaard door de leden van de LIBE-commissie. Dit resultaat vormt de onderhandelingsbasis van het EP in de onderhandelingen tussen EP, EC en Raad over de beide instrumenten (verordening en richtlijn).

Toezichthouders De Artikel 29-werkgroep, waarin alle 28 privacytoezichthouders in de Europese Unie (EU) zitting hebben, heeft eind 2013 een reactie op de stemming in de LIBEcommissie gepresenteerd. Deze reactie


bevat zowel positieve punten als punten die nog nader aan de orde zouden moeten komen tijdens de onderhandelingen, omdat deze, zoals thans geformuleerd, het niveau van de bescherming mogelijk verlagen. Het gaat hierbij om het vasthouden aan de kernbegrippen van de bestaande privacywetgeving, het voorgestelde samenwerkingsmodel en de wijze waarop publieke autoriteiten, met name inlichtingendiensten, toegang hebben tot persoonsgegevens.

Raad In de Raad is gedurende het verslagjaar minder voortgang geboekt. Eind 2013 was nog geen politieke overeenstemming bereikt over een aantal cruciale onderdelen van de nieuwe privacywetgeving. Het is zeer de vraag of deze overeenstemming er wel zal zijn vóór het eind van de zittingstermijn van het EP en de EC, in mei respectievelijk oktober 2014. Een belangrijk discussiepunt in de Raad is of voor de publieke sector nog meer uitzonderingsmogelijkheden gecreëerd moeten worden dan reeds in de voorstellen van de EC zijn opgenomen. Overheden behoeven voor hun specifieke taken de nodige armslag. Het recht op gegevensbescherming is evenwel een grondrecht, dat in eerste instantie – zeker in historisch perspectief – de relatie tussen de burger en de overheid betreft. Het is daarom van groot belang een alomvattend wettelijk kader te hebben dat in beginsel ook op de overheid van toepassing is. Dit biedt burgers ook rechtszekerheid en duidelijkheid over hoe hun

C B P in t e r na t ionaal |

gegevens worden verwerkt, ongeacht door wie. Een ander discussiepunt is de wens om aan de ene kant het bedrijfsleven te faciliteren met een éénloketfunctie, waardoor ook die bedrijven die in meerdere EU-lidstaten actief zijn, zich slechts tot één toezichthouder hoeven te wenden. Aan de andere kant is er de noodzaak om het nabijheidsbeginsel voor burgers te respecteren. Dit is het beginsel dat een burger zich met een klacht tot de toezichthouder in zijn eigen land kan wenden en niet naar de toezichthouder in een ander land hoeft. Vooral op dit laatste punt lijken de meningen ernstig verdeeld.

Standpunt CBP Het CBP en ook de Artikel 29-werkgroep, waarvan CBP-voorzitter Jacob Kohnstamm sinds 2010 voorzitter is, hebben op verschillende manieren geprobeerd bij te dragen aan het opheffen van de bestaande obstakels. Ondanks de moeizame onderhandelingen in de Raad houdt het CBP vast aan de oproep om de nieuwe Europese privacywetgeving zo spoedig mogelijk vast te stellen. Dit is onder meer van belang omdat de technologische ontwikkelingen en de globalisering en inmiddels ook de onthullingen over de spionagepraktijken in de tweede helft van 2013 (zie ook hierna) de herziening van het wetgevend kader in de EU onontbeerlijk maken.

59

Samenwerking CBP en andere toezichthouders De herziening van de Europese privacyregelgeving is van groot belang voor het CBP, maar daarnaast wordt ook bij een groot aantal andere onderwerpen internationaal samengewerkt. Er vindt regelmatig afstemming plaats met collega-toezichthouders van binnen en buiten de EU, zowel bij concrete beleidsonderwerpen als op strategisch niveau. Daarnaast wisselt het CBP met de buitenlandse collega’s kennis, ervaring en onderzoeksmethodes uit. Het zwaartepunt van de internationale werkzaamheden van het CBP ligt in Europa. Sinds enige jaren is ervoor gekozen om, waar mogelijk, een Europese lijn aan te houden wanneer die een bijdrage kan leveren aan de uitvoering van nationale prioriteiten. Ook zijn nationale prioriteiten tot Europese prioriteiten gemaakt door actieve deelname van het CBP aan de verschillende vergaderingen van Europese en internationale toezichthouders en heeft het CBP bijgedragen aan de totstandkoming van gezamenlijke opinies en standpunten. Zie voor een overzicht van de in 2013 aangenomen opinies de online bijlage bij dit jaarverslag: www.cbpweb.nl/13/1

Artikel 29-werkgroep Opinie over doelbinding Een van de belangrijkste opinies die de Artikel 29-werkgroep in 2013 heeft aangenomen is die over doelbinding bij het

60

verwerken van persoonsgegevens. Dit houdt in dat persoonsgegevens die voor een bepaald doel worden verzameld, niet opeens voor een geheel ander doel mogen worden gebruikt. Het principe van doelbinding bestaat uit twee belangrijke bouwstenen: • Persoonsgegevens mogen alleen worden verwerkt voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. • Onder omstandigheden mogen de verzamelde gegevens later ook worden gebruikt voor een ander doel dan waarvoor ze zijn verkregen. Dat mag echter niet gebeuren op een wijze die onverenigbaar is met het doel waarvoor de gegevens zijn verzameld. De Europese privacytoezichthouders benadrukken in de opinie dat de vraag of verder gebruik van persoonsgegevens voor een ander doel verenigbaar is, afhangt van de omstandigheden van het specifieke geval. Wel dient een verwerking in elk geval plaats te vinden op basis van een wettelijke grondslag. Daarbij spelen de volgende factoren een rol: • de mate van verwantschap tussen het oorspronkelijke doel en het doel van de verdere verwerking; • de context waarin de persoonsgegevens zijn verzameld en de redelijke verwachtingen die betrokkenen (degenen van wie persoonsgegevens worden verwerkt) mogen hebben over eventuele (verdere) verwerkingen van hun persoonsgegevens;


• de aard van de gegevens en de gevolgen van de (beoogde) verwerking voor de betrokkenen; • de mate waarin passende waarborgen zijn genomen om te zorgen dat de persoonsgegevens zorgvuldig en in overeenstemming met de wet worden verwerkt. > Lees de opinie over doelbinding: www.cbpweb.nl/13/14

Opinie over ‘slimme’ grenzen De Artikel 29-werkgroep heeft kritisch gereageerd op de voorstellen van de Europese Commissie voor een in- en uitreissysteem, het zogeheten Entry Exit System (EES), en een programma voor geregistreerde reizigers (Registered Traveller Programme) voor het Schengengebied. De opinie richt zich vooral op het EES. Dat systeem behelst een centraal opslagsysteem voor gegevens over aankomst en vertrek van niet-EU-burgers die voor kort verblijf tot het Schengengebied zijn toegelaten. Deze gegevens kunnen overal worden geraadpleegd, ongeacht waar de bezoeker het Schengengebied verlaat. Het voornaamste doel van het systeem is volgens het voorstel tegen te gaan dat nietEU-burgers langer blijven dan voor kort verblijf is toegestaan (maximaal 90 dagen binnen een periode van 180 dagen). De Artikel 29-werkgroep erkent de behoefte aan gecoördineerd grensbeheer, beheersing van migratiestromen en het voorkomen van illegale migratie. Het EES zou echter een nieuwe, zeer omvangrijke database creëren en voldoet niet aan de wettelijke eisen van


noodzaak en proportionaliteit om de gestelde doelen te bereiken. Ook wordt de effectiviteit van het systeem in twijfel getrokken.

Toezicht op Europese informatiesystemen Het CBP is niet alleen nationaal toezichthouder op gegevensverwerkingen, maar is samen met zijn collega-toezichthouders binnen de EU ook toezichthouder op diverse Europese informatiesystemen, waaronder Eurodac en het Schengen Informatie Systeem.

Eurodac Eurodac is een informatiesysteem dat vingerafdrukken van vreemdelingen vergelijkt om te kunnen vaststellen welke EU-lidstaat een asielverzoek in behandeling dient te nemen. De Eurodac Supervision Coordination Group (ESCG) houdt onafhankelijk toezicht op het gebruik van Eurodac. Het CBP vertegenwoordigt Nederland in de ESCG. In 2013 rondde de ESCG een onderzoek af naar onleesbare vingerafdrukken in Eurodac. In alle EU-lidstaten is onderzocht hoe de procedures en de praktijk zijn wanneer blijkt dat van een vreemdeling geen bruikbare vingerafdrukken kunnen worden afgenomen, of in dat geval negatieve gevolgen voor de vreemdeling zijn te verwachten en of de lidstaten daarbij problemen in de uitvoering ervaren.

61

Op grond van het onderzoek adviseerde de ESCG onder meer aan de bevoegde autoriteiten van de lidstaten om te zorgen voor duidelijke en bindende procedures voor het omgaan met onleesbare vingerafdrukken, terwijl die procedures ook tussen de lidstaten onderling consistent zouden moeten zijn. Voor Nederland heeft het CBP het onderzoek uitgevoerd. Het CBP had geen opmerkingen bij de manier waarop de autoriteiten in Nederland omgaan met onleesbare vingerafdrukken van vreemdelingen.

Schengen Informatiesysteem II In april 2013 is een nieuw Schengen Informatiesysteem (SIS II) van start gegaan. SIS II, opvolger van SIS, bevat informatie voor opsporing door politie en justitie binnen het Schengengebied. Met de lancering van SIS II is ook het toezicht op het systeem een andere manier vormgegeven. Tot april 2013 werd dit uitgevoerd door de Gemeenschappelijke controleautoriteit van Schengen (GCA Schengen), die bestond uit de nationale toezichthouders op de bescherming van persoonsgegevens binnen de Schengenstaten. Het toezicht op SIS II is in handen van de Groep voor Gecoördineerd Toezicht Schengen, die bestaat uit de nationale privacytoezichthouders én de Europese toezichthouder EDPS (European Data Protection Supervisor). De GCA Schengen heeft in 2013 een onderzoek afgerond naar de toepassing in de lidstaten van artikel 95 van de Schengen Uitvoeringsovereenkomst (SUO). Dit betreft de signalering van personen die worden

62

gezocht naar aanleiding van een Europees aanhoudingsbevel. De GCA concludeerde op basis van het onderzoek dat de signaleringen in het algemeen voldoen aan de eisen, maar dat er tal van voorbeelden zijn aangetroffen waarbij de gegevens niet meer juist waren of waarbij de communicatie over de aanhoudingsbevelen niet goed verliep.

29-werkgroep hebben kritisch op het voorstel voor een nieuwe Europolverordening gereageerd. De Gemeenschappelijke Controleautoriteit Eurojust, waarvan CBP-collegelid Wilbert Tomesen sinds 2013 permanent lid is, reageerde op haar beurt kritisch op het voorstel voor een Eurojustverordening.

Voor Nederland heeft het CBP het onderzoek uitgevoerd. Het CBP heeft hiertoe een aantal dossiers onderzocht van door Nederland op grond van artikel 95 SUO gezochte personen. Bij twee dossiers bleek dat de signalering al verwijderd had moeten zijn en bij enkele andere dossiers stemden niet alle persoonsgegevens met elkaar overeen. De overige dossiers gaven geen aanleiding tot opmerkingen.

Europol en Eurojust

De belangrijkste conclusie van de toezichthouders is dat de verordeningen – bij ongewijzigde aanvaarding – tot gevolg zouden hebben dat het beschermingsregime voor de verwerking van persoonsgegevens bij en door Europol en Eurojust aanzienlijk zou verslechteren ten opzichte van de huidige situatie. In de verordeningen zijn de regels voor gegevensbescherming namelijk veel minder gedetailleerd vastgelegd dan in het nu geldende besluit. Ook de verantwoordelijkheden voor bepaalde processen voor gegevensverwerking zijn in het voorstel onvoldoende uitgewerkt.

Herziening wettelijk kader Europol en Eurojust In 2013 presenteerde de Europese Commissie voorstellen voor een nieuwe wettelijke basis voor Europol, de Europese politiedienst, en voor Eurojust, het samenwerkingsverband voor de magistratuur. Tot nu toe werken Europol en Eurojust op basis van een besluit van de Raad van de Europese Unie en dat wordt nu vervangen door verordeningen. De beoogde verordeningen omvatten ook de gegevensverwerking door die organisaties en het toezicht daarop. Zowel het Gemeenschappelijk Controleorgaan Europol als de Artikel

Onderzoek naar gegevensverwerking in Europol Informatiesysteem Het Gemeenschappelijk Controleorgaan (GCO) van Europol heeft in 2013 een onderzoek afgerond naar de gegevensverwerking in het Europol Informatiesysteem (EIS). Met het EIS kunnen de lidstaten van de Europese Unie informatie uitwisselen over lopende onderzoeken naar verdachten van (grensoverschrijdende) ernstige criminaliteit. De zogeheten Europol National Units van elke lidstaat wisselen die informatie uit. In Nederland valt deze unit onder de Landelijke Eenheid van de Nationale



Politie. Het CBP heeft het onderzoek uitgevoerd voor Nederland. Het GCO concludeerde op basis van het onderzoek onder meer dat er grote verschillen bestaan tussen de lidstaten in de rol en verantwoordelijkheden van de units en het niveau waarop wordt beslist over de gegevens die worden ingevoerd in het EIS. Als gevolg daarvan worden ook verschillende criteria gehanteerd bij de naleving van de Europolregeling. Het CBP heeft de minister van Veiligheid en Justitie verzocht om passende aandacht te besteden aan de aanbevelingen van het GCO en te zorgen voor een goede naleving.

Internationale conferenties Europese Conferentie Op 16 en 17 mei 2013 vond de jaarlijkse Europese Conferentie van Privacy- en Dataprotectietoezichthouders plaats in Lissabon, voor zowel de toezichthouders uit de EU als die uit de overige Europese landen. Tijdens deze conferentie werd onder meer stilgestaan bij de herziening van de Europese privacyregelgeving en bij privacybescherming in de informatiesamenleving.

Internationale Conferentie Eenmaal per jaar komen de privacytoezichthouders uit de hele wereld bij elkaar voor overleg. De International Data Protection and Privacy Commissioners Conference (de Internationale Conferentie) is voor een deel

63

ook toegankelijk voor vertegenwoordigers van het bedrijfsleven, non-gouvernementele organisaties en de wetenschap. Het zwaartepunt van de week ligt echter bij de zogeheten closed session van de toezichthouders, die zoals de naam al aangeeft, achter gesloten deuren plaatsvindt.

Tijdens de Internationale Conferentie is ook stilgestaan bij de discussie over surveillance en spionage die in de zomer van 2013 is losgebarsten na diverse onthullingen door klokkenluider Edward Snowden.

De conferentie vond in 2013 plaats in Warschau. Tijdens de closed session is onder leiding van Jacob Kohnstamm (sinds eind 2011 de voorzitter van het Uitvoerend Comité van de Internationale Conferentie) gesproken over diverse mondiale ontwikkelingen rondom privacy en de bescherming van persoonsgegevens. Dit jaar stond het toenemende gebruik van apps in de maatschappij centraal, de zogenoemde appificatie van de samenleving. Zie hiervoor het hoofdstuk ‘Internet & telecom’ van dit jaarverslag.

Onthullingen Edward Snowden

Resoluties De Internationale Conferentie heeft tijdens de besloten vergadering meerdere resoluties aangenomen. Een van de resoluties roept op tot een aanvulling van het Internationaal Verdrag inzake Burgerrechten en Politieke rechten. In een speciaal protocol zouden standaarden moeten worden vastgelegd om van gegevensbescherming een wereldwijd erkend grondrecht te maken. De toezichthouders namen ook een resolutie aan die criteria bevat voor webtracking, waarbij onder meer speciale aandacht zou moeten uitgaan naar kinderen en naar een betere standaard voor zeggenschap van de gebruiker. In een andere resolutie is vastgelegd dat de toezichthouders internationaal nog actiever gaan samenwerken.

64

Op 6 juni 2013 publiceerden de Britse krant The Guardian en de Amerikaanse krant The Washington Post het eerste artikel in een lange serie onthullingen over surveillanceprogramma’s van de Amerikaanse en Europese inlichtingendiensten. Wat al langer werd vermoed, werd nu aangetoond op basis van documenten die door Edward Snowden, oud-medewerker van de Amerikaanse National Security Agency (NSA), werden gelekt: persoonsgegevens worden op grote schaal verzameld, opgeslagen en doorzocht door de inlichtingendiensten. Zowel het CBP als de Artikel 29-werkgroep hebben zich in deze discussie gemengd.

Brieven aan Europese Commissie Jacob Kohnstamm heeft namens de Artikel 29-werkgroep twee brieven gestuurd aan de Europese Commissie, waarin hij zijn zorgen uit over de gevolgen van de surveillanceprogramma’s voor de privacy van Europese burgers. Deze oproep heeft hij herhaald tijdens een hoorzitting van het Europees Parlement op 12 september 2013.


Analyse Artikel 29-werkgroep De Artikel 29-werkgroep is daarnaast begonnen met een uitgebreide juridische analyse van de programma’s en de bestaande privacybeschermingsmaatregelen. Deze analyse zou begin 2014 moeten leiden tot een opinie, waarin ook aanbevelingen worden gedaan voor verbetering van de gegevensbescherming in deze context. Een van de conclusies zal waarschijnlijk zijn dat er een belangrijk verschil in opvatting over de verwerking van persoonsgegevens bestaat tussen de EU en de VS. In Europa wordt zowel het verzamelen als het gebruiken van persoonsgegevens beschouwd als een verwerking die onderworpen is aan de privacywetgeving en de daarin opgenomen waarborgen. In de VS is dat niet het geval: pas op het moment dat reeds verzamelde gegevens daadwerkelijk worden gebruikt (bijvoorbeeld wanneer een inlichtingendienst ze inziet), worden waarborgen van kracht. Het verzamelen zelf is niet gebonden aan regels op het gebied van dataprotectie. Dit verschil zal in ieder geval moeten worden geadresseerd bij het zoeken naar een oplossing voor het geschonden vertrouwen.

Werkgroep EU-VS De voorzitter van de Artikel 29-werkgroep heeft op verzoek van de Europese Commissie plaatsgenomen in een ad hoc-werkgroep van de EU en de VS die heeft geprobeerd feiten boven tafel te krijgen over de verschillende Amerikaanse surveillanceprogramma’s. Het rapport van deze werkgroep is eind november 2013


gepubliceerd en beschrijft onder meer de verschillende rechtsbases in Amerikaanse wetgeving voor deze programma’s. Aangezien het gaat om een feitenrapportage, bevat dit rapport geen aanbevelingen.

Onderzoek naar beveiliging bankgegevens In november 2013 is het CBP samen met de Belgische privacytoezichthouder, de Commissie voor de bescherming van de persoonlijke levenssfeer (CBPL), een onderzoek gestart naar de beveiliging van de betalingsnetwerken van de organisatie SWIFT (Society for Worldwide Interbank Financial Telecommunication). SWIFT verwerkt het internationale betalingsverkeer voor meer dan 10.000 financiële instellingen uit circa 200 landen. Directe aanleiding voor het onderzoek is onder meer berichtgeving in internationale media dat buitenlandse inlichtingendiensten – mogelijk de NSA – naar Europees recht onrechtmatige toegang tot het financiële gegevensverkeer bij SWIFT zouden hebben en dus tot de bankgegevens van Europese burgers. Dit zou in strijd zijn met de privacyafspraken in het Terrorist Finance and Tracking Program II Agreement (TFTPverdrag ) waar SWIFT onder valt.

65

Organisatie College en directie College

Voor het CBP was 2013 in meerdere opzichten een intensief jaar. We zagen dit jaar een stijging van het aantal onderzoeken van het CBP met ruim 25%. Steeds vaker werkt het CBP in zijn onderzoeken samen met internationale collega-privacytoezichthouders, zoals bij het in 2013 gepubliceerde onderzoek naar WhatsApp dat het CBP samen met de Canadese toezichthouder uitvoerde. Ook in zijn onderzoek naar de nieuwe privacyvoorwaarden van Google heeft het CBP nauw samengewerkt met andere privacytoezichthouders. Een andere opvallende stijging is die van het aantal perscontacten: dat nam in 2013 met ruim 20% toe ten opzichte van voorgaande jaren. Deze stijging betrof vooral de contacten met landelijke dagbladen, online media en (vak)bladen. Het CBP kreeg onder meer veel persvragen over nieuwe technologische ontwikkelingen, variërend van Google Glass tot drones,

66

en na de onthullingen van Edward Snowden over het werk van de (inter) nationale inlichtingendiensten. Ook kwamen er in 2013 bijna 14% meer vragen en signalen bij het CBP binnen dan in 2012. De meeste vragen en signalen betroffen − net als in 2012 − de sectoren handel & dienstverlening en overheid. Binnen eerstgenoemde sector gingen de vragen en signalen vooral over detailhandel en banken, binnen de sector overheid voornamelijk over de Belastingdienst en gemeenten. Ook dit is gelijk aan 2012. Het budget van het CBP was in 2013 7.586.000 euro (in 2012: 7.679.000 euro). De bezetting bedroeg in 2013 gemiddeld 74,9 fte, een lichte daling ten opzichte van 2012. > Alle cijfers over het CBP in 2013 zijn te vinden in de online bijlage bij dit jaarverslag: www.cbpweb.nl/13/2


Mr. J. Kohnstamm Voorzitter

Mr. W.B.M. Tomesen Collegelid, plv. voorzitter

Directie

Drs. P.J.J. Frencken Directeur

C B P o r ganisa t ie |

Collegelid mr. M.W. McLaggan is eind 2012 na overleg met de voorzitter van het CBP door de staatssecretaris van Veiligheid en Justitie gevraagd een onderzoeksrapport te schrijven over de ontwikkelingen op het raakvlak van bescherming van persoonsgegevens en mededinging. De bescherming van persoonsgegevens in de private sector interfereert steeds vaker met mededingingsrecht en de vraag is welke consequenties dit heeft voor de betreffende wetgeving en het toezicht daarop. Mevrouw McLaggan was bereid op dit verzoek in te gaan en is voor de duur van het onderzoek ontheven van haar reguliere taken als lid van het college.

67

Externe optredens collegeleden Het uitdragen en toelichten van het werk van het CBP in binnen- en buitenland is een belangrijke taak van de collegeleden. De onderwerpen privacy en de bescherming van persoonsgegevens stonden in 2013 volop in de publieke belangstelling en de media wisten het CBP nog meer dan in 2012 te vinden. Het aantal perscontacten is in 2013 met ruim 20% gestegen ten opzichte van voorgaande jaren. Het CBP werd om een reactie gevraagd over uiteenlopende onderwerpen, variërend van drones tot cameratoezicht en van het werk van inlichtingendiensten tot reisgegevens. Ook kreeg het CBP een toenemend aantal uitnodigingen voor optredens van de collegeleden op congressen. Daarnaast zocht het CBP zelf actief contact met media en maatschappelijke organisaties.

CBP kreeg ook veel mediaverzoeken om naar aanleiding van actuele gebeurtenissen op het gebied van privacy een reactie te geven.

In 2013 bestond een aanzienlijk deel van het werk van de collegeleden dan ook uit externe optredens. Het CBP blikt terug op een breed scala aan externe activiteiten, variërend van radio- en televisie-interviews tot (keynote)-speeches tijdens conferenties. Een belangrijk deel van de optredens had een internationaal karakter. Een selectie uit de externe werkzaamheden van de collegeleden in 2013:

In 2013 was de bescherming van medische gegevens een van de speerpunten van het CBP. Het CBP kwam met dit onderwerp ook verschillende keren uitgebreid in de pers. In juni organiseerde het CBP een persconferentie naar aanleiding van een breed onderzoek waaruit bleek dat zorginstellingen onvoldoende maatregelen treffen om ervoor te zorgen dat uitsluitend bevoegde medewerkers van ziekenhuizen, ggz-instellingen en huisartsenposten toegang hebben tot digitale patiëntendossiers. Verschillende radio- en televisieprogramma’s en geschreven media besteedden hier aandacht aan. In de zomer was er veel publiciteit voor een onderzoek van het CBP waaruit bleek dat huisartsen en apothekers de internetverbinding waarover herhaalrecepten worden aangevraagd, niet adequaat beveiligen. Ook het onderzoek waaruit bleek dat twee arbodienstverleners in strijd met de wet medische gegevens van zieke werknemers verwerken, kon rekenen op veel media-aandacht. De bescherming van medische gegevens is een belangrijk thema geweest op een aantal speeches op (medische) conferenties.

Nationaal De collegeleden gaven vele interviews aan radio, televisie en de geschreven pers. De interviews kwamen vaak voort uit door het CBP gepresenteerde onderzoeken, maar het

Eind januari plaatste de politie beelden op internet van een zware mishandeling door een groep jongeren (‘kopschoppers’) in Eindhoven. De commotie die hierna ontstond over het opsporingsbelang versus de privacy van de betrokkenen,

68


resulteerde in veel persvragen aan het CBP. Ook hebben de collegeleden deelgenomen aan publieke debatten over dit onderwerp met onder meer de politie. Zij benadrukten hierbij dat politie en justitie altijd een zorgvuldige afweging moeten maken tussen de diverse opsporingsmiddelen en dat het plaatsen van beelden op internet een zwaar middel is, waarbij voorzichtigheid geboden is. In februari presenteerde het CBP de Richtsnoeren beveiliging van persoonsgegevens. Deze richtsnoeren kregen veel aandacht in de algemene pers en zeker ook in de vakpers. Daarnaast hebben zowel collegeleden als het management van het CBP veelvuldig toespraken gehouden over de richtsnoeren tijdens conferenties. In 2013 was er in de media veel aandacht voor technologische ontwikkelingen en de risico’s hiervan voor de bescherming van persoonsgegevens. Zo was er veel aandacht voor apps. De collegeleden gaven onder meer naar aanleiding van de publicatie van de opinie van de Artikel 29-werkgroep over mobile apps meerdere interviews voor radio, televisie en geschreven pers. Deze opinie geeft verplichtingen en handvatten voor ontwikkelaars van apps. Ook besteedden de media veel aandacht aan het onderzoek van het CBP waaruit bleek dat TP Vision, producent van Philips-smart tv’s, tv-kijkers onvoldoende en onvolledige informatie geeft over de verwerking van hun persoonsgegevens via smart tv’s. In november opende het NOS-journaal zowel om 20.00 als om 22.00 uur met de

C B P o r ganisa t ie |

resultaten van het CBP-onderzoek naar de privacyvoorwaarden van Google. Google koppelt persoonsgegevens van internetgebruikers die via allerlei verschillende Google-diensten worden verkregen, zonder de gebruikers daarover vooraf goed te informeren en zonder daarvoor vervolgens toestemming te vragen. Uit het onderzoek blijkt dat Google gebruikers onvoldoende duidelijk maakt welke persoonsgegevens het bedrijf verzamelt en koppelt, en voor welke doeleinden het bedrijf dat doet. Hoorzittingen Tweede en Eerste Kamer De collegeleden van het CBP zijn in 2013 meerdere keren gevraagd om tijdens hoorzittingen in de Tweede en Eerste Kamer hun visie te geven over de plannen van het kabinet of actuele gebeurtenissen. De collegeleden namen deel aan hoorzittingen over drones, PRISM, verzuimbureaus en de Jeugdwet. Rondetafelgesprekken De collegeleden voerden ook in 2013 regelmatig gesprekken met externe stakeholders. Naast het onderhouden van de contacten hebben deze tot doel algemene beginselen van de Wet bescherming persoonsgegevens en specifieke onderzoeksresultaten van het CBP onder de aandacht te brengen. Het CBP organiseerde daarnaast in vervolg op eerdere gesprekken ook twee besloten rondetafelgesprekken. Zo sprak het CBP met een zestal grote Nederlandse bedrijven waarbij het CBP onderzoek had verricht. Het doel van dit gesprek was om de ervaringen van deze bedrijven te vernemen

69

na afloop van de tegen hen gevoerde procedures. Tot slot organiseerde het CBP een rondetafelgesprek met vertegenwoordigers van onderzoeksinstellingen, universiteiten, non-gouvernementele organisaties en consultants om te spreken over de wereldwijde technologische ontwikkelingen die op ons afkomen en die grote impact hebben op burgers. Het CBP ervaart deze rondetafels als zeer waardevol, onder meer om te vernemen hoe stakeholders het CBP percipiëren en om informatie op te doen ten behoeve van beleidskeuzes en de onderzoekspraktijk. Markttoezichthoudersberaad De collegeleden namen ook in 2013 actief deel aan het markttoezichthoudersberaad (MTB), het samenwerkingsverband van toezichthouders die zich (mede) richten op het functioneren van markten en het gedrag van marktspelers. Het CBP maakt sinds 2011 deel uit van het MTB. De overige deelnemers zijn de Autoriteit Consument & Markt (ACM), de Autoriteit Financiële Markten (AFM), De Nederlandsche Bank (DNB), de Kansspelautoriteit en de Nederlandse Zorgautoriteit (NZa). Het MTB heeft als doel kennis en ervaringen uit te wisselen en de krachten te bundelen bij gezamenlijke thema’s en vraagstukken.

van de EU-instellingen met zich mee. Het afgelopen jaar zijn over de voorstellen voor de toekomstige Europese privacyregelgeving veelvuldig interviews gegeven aan (inter)nationale media. De collegeleden namen ook deel aan verschillende Europese en mondiale conferenties en bijeenkomsten, zoals de internationale conferentie van privacytoezichthouders die in september plaatsvond in Warschau. In 2013 was er in de media veel aandacht voor de onthullingen over de werkwijze van buitenlandse inlichtingendiensten, waaronder de NSA. De collegeleden hebben onder meer diverse interviews over dit onderwerp gegeven. In het hoofdstuk ‘Internationaal’ van dit jaarverslag is meer informatie te vinden over de internationale werkzaamheden van de collegeleden en het CBP.

Colofon Het CBP in 2013 © College bescherming persoonsgegevens Den Haag, maart 2014 Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar gemaakt door middel van druk, fotokopie, microfilm of op welke wijze dan ook, zonder voorafgaande schriftelijke toestemming van het College bescherming persoonsgegevens. Ontwerp: T2 Ontwerp, Katwijk Fotografie: Nationale Beeldbank, Hollandse Hoogte, Shutterstock Fotografie college: Mark Kohn Druk: NPN drukkers, Breda

Internationaal Het voorzitterschap van de Artikel 29-werkgroep van Europese privacytoezichthouders bracht veel overleg met vertegenwoordigers

70


C B P colo f on |

71

B ezoekadres

postadres

telefoon FAX T elefonisch spreekuur

Juliana van Stolberglaan 4-10 2595 CL Den Haag Postbus 93374 2509 AJ Den Haag 070 8888 500 070 8888 501 0900 2001 201 (5 ct per minuut) www.cbpweb.nl www.mijnprivacy.nl

Voorwoord. ook gegevensverkeer dat via de kabel loopt, zou onderzocht moeten kunnen worden

Recommend Documents