Het CBP in
2013
Voorwoord 5 Inleiding 9 Gezondheidszorg 14 Arbeidsrelatie 22
Internet en telecom 28
Handel en diensten 38
Overheid 46
Politie en justitie 54
Internationaal 58 Organisatie 66
Inhoud
H e t C B P i n 2 0 1 3|C B P
4 C B P|V O O r w O O r d 5
‘Jullie zijn geen haar beter dan wij’, reageren de Amerikanen als anderen kritiek uiten op de werkwijze van de Amerikaanse veiligheidsdienst. Of zij gelijk hebben, weten wij niet. De onthul- lingen van Snowden brachten wel – zij het pas in tweede instantie – aan het licht dat ook Nederlandse inlichtingendiensten op zeer grote schaal verkeersgegevens oftewel metagegevens verzamelden en verzamelen. Metagegevens zijn overigens – al suggereert de term iets anders – net zo goed herleidbaar tot personen en kunnen veel over hen zeggen. De commissie- Dessens, die de Wet op de inlichtingen- en veiligheidsdiensten (Wiv) evalueerde, pleitte eind 2013 voor verruiming van de bevoegdheden van de AIVD en de MIVD:
ook gegevensverkeer dat via de kabel loopt, zou onderzocht moeten kunnen worden.
Moeten de AIVD en de MIVD evenals hun Amerikaanse zusterdienst ongericht een datasleepnet kunnen uitgooien? Hoewel de inlichtingendiensten niet onder het toezichtdomein van het CBP vallen, zijn deze vragen dusdanig verweven met de essentie van de bescherming van persoons- gegevens dat het CBP er niet het zwijgen toe wil doen. Het adagium ‘wie wat bewaart, die heeft wat’ is immers tegen de principes die de wetgever heeft opgenomen in zowel de Wet bescherming persoonsgegevens als de Wiv: proportionaliteit, subsidiariteit en doelbinding.
Voorwoord
Als er één gebeurtenis is geweest in 2013 die ook bij de meest verstokte aanhanger van de mantra ‘van mij mogen ze alles weten, ik heb niets te verbergen’ de aandacht heeft getrokken, zijn het de onthullingen van de NSA-praktijken door Edward Snowden. Het idee dat de National Security Agency met een gigantisch sleepnet gegevens binnenhaalt van burgers wereldwijd, heeft velen op hun achterste benen gezet. En niet alleen burgers.
Ook acht grote Amerikaanse technologiebedrijven hebben in een gezamenlijke brief aan de Amerikaanse president geprotesteerd, onder meer tegen het grootschalig meelezen met en afluisteren van de gebruikers van hun internetdiensten. dit zijn de multinationals waar wij als Europese privacytoezichthouders doorgaans tegen ten strijde trekken.
H e t C B P i n 2 0 1 3|C B P
6 C B P|V O O r w O O r d 7
Het heeft er lang op geleken dat deze principes in de strijd tegen terrorisme het loodje moesten leggen. Dat gaat nu in de Verenigde Staten wellicht enigszins veran- deren. In reactie op een kritisch rapport van de commissie die in opdracht van het Witte Huis de NSA heeft doorgelicht, zal een aantal checks and balances worden ingebouwd die mogelijk leiden tot hervor- mingen en meer controle op het opereren van de Amerikaanse veiligheidsdienst.
Concrete aanwijzingen dat er daarmee ook een eind zal komen aan de grootschalige gegevensverzamelingen zijn er echter niet.
Het uitgangspunt voor de Amerikanen is immers − anders dan in de Europese Unie
− dat het verzamelen van gegevens niet beschermwaardig is. Pas bij het gebruik ervan moet de overheid de beperkingen in acht nemen die voortvloeien uit het vierde amendement van de Amerikaanse grondwet.
In Nederland dienen we ook alert te zijn op het mogelijk bovenmatig verzamelen van gegevens door onze inlichtingen- en veiligheidsdiensten. Zoals gezegd heeft het CBP geen bevoegdheid om de AIVD en de MIVD te controleren. Dat gebeurt door de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD). Toch is het goed stil te staan bij bovengenoemde principes uit de privacy- wetgeving alsook bij de mate van transpa- rantie van deze diensten. Natuurlijk kan
de overheid gezien de nationale veiligheid geen volledige openheid geven. Maar terecht zegt de regering in een notitie die in december 2013 verscheen: “De vraag waarvoor we staan, is hoe bij een voortgaande digitalisering in de Nederlandse samenleving op de juiste wijze inhoud kan worden gegeven aan het transparantiebeginsel op het terrein van de veiligheid. Deze opgave is van belang, omdat transparantie kan bijdragen aan het vertrouwen dat burgers hebben in de wijze waarop overheidsdiensten op het terrein van de veiligheid gegevens verzamelen en verder verwerken. Dat belang neemt toe, omdat de gemiddelde burger niet op de hoogte zal zijn van alle moderne technische mogelijkheden op dat vlak.”1 Deze boodschap deel ik volledig.
Het wordt alleen wel interessant te zien hoe de regering op het terrein van de nationale veiligheid hieraan inhoud geeft, ook tegen de achtergrond van de voortgaande digitali- sering van de samenleving.
Wij kunnen in ons land en in de Europese Unie het grondrecht op de bescherming van persoonsgegevens zo goed mogelijk proberen te beschermen, maar het data- verkeer houdt niet op bij de grenzen.
En in weerwil van de steeds frequentere trans-Atlantische contacten verkeren de VS en Europa op privacygebied nog steeds in verschillende werelden. In de EU is bescherming van persoonsgegevens een grondrecht en moet de overheid garant staan voor de bescherming hiervan in haar
1. Notitie van de minister van Veiligheid en Justitie, de staatssecretaris van Veiligheid en Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties getiteld Vrijheid en veiligheid in de digitale samenleving.
Een agenda voor de toekomst, pagina 9.
relatie tot de burger, en regels stellen voor de rechten van de burger in zijn rol van consument in de verhouding tot bedrijven.
In de VS ligt het initiatief om op te treden tegen misbruik van persoonsgegevens primair bij de burger.
Tot op zekere hoogte is de hiervoor reeds genoemde reactie van de hightechbe- drijven in de VS op de onthullingen van Snowden tekenend. De bedrijven voelen dat het vertrouwen van hun klanten terug- loopt, omdat hun privégegevens bij deze bedrijven niet in veilige handen blijken te zijn. Europa ontwikkelt mede als gevolg daarvan gaandeweg haar eigen ‘silicon valleys’. Wellicht bieden deze ontwikke- lingen de kans om op de golven van een gemeenschappelijke verontwaardiging de trans-Atlantische verschillen tussen de methodieken van privacybescherming op pragmatische wijze aan te pakken. De Amerikaanse consument en de Europese burger hebben immers dezelfde wensen:
onbespied door het rechtmatige deel van het leven gaan.
Jacob Kohnstamm
Voorzitter College bescherming persoonsgegevens
H e t C B P i n 2 0 1 3|C B P
8 C B P|I N L E I d I N G 9
Iedereen moet erop kunnen rekenen dat met de persoonsgegevens die hij – al dan niet bewust – afgeeft aan overheden en bedrijven, zorgvuldig wordt omgegaan.
Zo moeten overheden en bedrijven een wettelijke grondslag hebben om gegevens te verwerken en mogen zij gegevens niet voor totaal andere doelen gebruiken dan waarvoor zij zijn verkregen. Het is voor de meeste mensen niet meer mogelijk zicht te houden op wat er met hun persoons- gegevens gebeurt en waarvoor die worden gebruikt. Daarom is het zo belangrijk dat bedrijven en overheden hierover heldere informatie geven.
Het CBP bevordert door zijn werkzaam- heden de naleving van de Wet bescherming persoonsgegevens. In veel gevallen leidt het optreden van het CBP tot beëindiging van de geconstateerde overtredingen. Vaak
betekent dit niet alleen dat de onderzochte bedrijven of instellingen volgens de wet gaan handelen, maar dat ook andere bedrijven of instellingen en brancheorganisa- ties meer aandacht besteden aan de naleving van de wettelijke eisen.
Patiëntgegevens
Beroemd of onbekend, rijk of arm, iedere patiënt komt dezelfde mate van bescher- ming tegen onbevoegde inzage van zijn medische gegevens toe. Aan de toegangs- beveiliging van patiëntgegevens schort echter nog het nodige, blijkt uit een groot onderzoek van het CBP bij zorginstellingen, huisartsenposten en apothekers. Door onvoldoende beveiligingsmaatregelen bestaat het risico dat medische dossiers zijn in te zien door medewerkers met wie patiënten geen behandelrelatie hebben.
Inleiding
Het jaar 2013 was voor het College bescherming persoonsgegevens (CBP) een enerverend en succesvol jaar. Het CBP heeft naar een veelheid aan onderwerpen onderzoeken gedaan, handhavend opgetreden, wetgevingsadviezen uitgebracht en externe contacten onderhouden. de bescherming van medische gegevens, gegevensverwerking in de arbeidsrelatie en profilering waren hierbij de belangrijkste thema’s. daarnaast kwamen de wettelijke principes van doelbinding, toestemming, transparantie en beveiliging in het bijzonder terug in de werkzaamheden van het CBP.
H e t C B P i n 2 0 1 3|C B P
10 C B P|I N L E I d I N G 11
Het CBP meent op basis van het onderzoek, nieuwe signalen en gesprekken met koepel- organisaties dat de aangetroffen situatie op grote schaal voorkomt in de zorgsector.
Ook aan het verstrekken van patiëntgege- vens door de ene aan de andere instantie in de keten, zoals door een ggz-instelling aan een zorgverzekeraar, zijn stringente eisen gesteld. Dat geldt evenzo bij het verstrekken van medische gegevens aan derden, zoals fabrikanten van medische hulpmiddelen.
Dat mag niet zonder de toestemming van de betrokkenen. Het CBP onderzocht de verstrekking van medische gegevens aan een fabrikant van incontinentiemateriaal en concludeerde dat apothekers onvoldoende waarborgen hadden getroffen om de pati- entgegevens te beschermen en daarnaast niet alle patiënten toestemming hadden gevraagd om hun gegevens door te geven aan de fabrikant.
Arbeidsrelatie
Het is helemaal niet noodzakelijk – en bovendien verboden – dat werkgevers het medisch doopceel van hun werknemers lichten. Arbodienstverleners, zoals zoge- heten verzuimbedrijven en arbodiensten, moeten er dan ook vanzelfsprekend van zijn doordrongen dat zij geen gegevens over de medische behandeling van werk- nemers doorgeven aan de werkgever. Het CBP deed in 2013 onderzoek bij twee arbo- dienstverleners. Beide bleken in strijd met de wet medische gegevens van werknemers aan hun opdrachtgever, de werkgever, te verstrekken.
Ook op de werkvloer hebben werknemers recht op bescherming van hun persoonlijke levenssfeer. Zo mogen werkgevers beelden van beveiligingscamera’s niet gebruiken om hun personeel aan te spreken op hun functioneren.
De inzet van verborgen camera’s is alleen toegestaan in uitzonderlijke situaties en zeker niet geoorloofd voor trainingsdoeleinden. Het CBP-onderzoek bij Media Markt, waarbij deze beide kwesties aan de orde kwamen, kreeg veel aandacht van pers en publiek.
Online gegevens en profilering
Gegevens over de programma’s die mensen bekijken op tv, de internetsites die zij bezoeken en de apps die zij downloaden, zeggen veel over hun gedrag en voor- keuren. Wat er met deze door telecomaan- bieders of app-ontwikkelaars verzamelde gegevens vervolgens gebeurt, onttrekt zich doorgaans aan hun waarneming. Veel mensen zijn zich er niet van bewust dat zij voor veel online diensten betalen met hun persoonsgegevens. Bedrijven en organi- saties moeten hen voldoende informeren over het gebruik van hun gegevens en waar nodig hiervoor om toestemming vragen.
Het CBP heeft in 2013 onderzoek gedaan naar ongeoorloofde data-analyse (packet inspection) door vier telecomaanbieders. Deze bedrijven bleken onder meer in strijd met de wet op detailniveau gegevens te bewaren over de door hun klanten bezochte websites en apps en hen hierover niet of onjuist te informeren. Ook onderzocht het CBP het verzamelen en bewaren van gegevens over het online kijkgedrag, gebruik van apps en
websitebezoek van gebruikers van smart tv’s.
Kamervragen over het gebruik van cookies op de websites van de Nederlandse Publieke Omroep (NPO) gaven het CBP aanleiding het toepasselijk wettelijk kader toe te lichten.
De NPO mag bezoekers de toegang tot de NPO-websites niet weigeren als zij geen toestemming geven voor het laten volgen van hun surfgedrag, aldus het CBP.
Over de grens
De lopende herziening van de Europese privacyregelgeving is van groot belang voor burgers, bedrijven, overheden en de priva- cytoezichthouders. Het CBP heeft zich dan ook op nationaal en Europees niveau inten- sief ingezet voor een EU-verordening die past bij de huidige tijdgeest en die een voldoende beschermingsniveau biedt. In de Raad van ministers van Justitie en Binnenlandse Zaken van de Europese Unie was echter eind 2013 op een aantal cruciale onderdelen van de nieuwe privacywetgeving nog geen politieke overeenstemming bereikt, hetgeen vertraging oplevert voor de onderhandelingen tussen de Europese Commissie, de Raad en het Europees Parlement.
Los van de ontwikkelingen rond een nieuwe EU-privacyverordening zet het CBP actief in op toenemende samenwerking tussen de privacytoezichthouders, niet alleen binnen Europa maar ook mondiaal.
Dat is ook onontbeerlijk gezien het grens- overschrijdende karakter van veel gege- vensverwerkingen. Zo heeft het CBP samen met de Canadese toezichthouder onderzoek gedaan naar WhatsApp en samen met
andere Europese toezichthouders naar de nieuwe privacyvoorwaarden van Google.
De onthullingen over surveillanceprogram- ma’s van de Amerikaanse en Europese inlichtingendiensten, in het bijzonder de NSA, hebben wereldwijd veel stof doen opwaaien. Jacob Kohnstamm, voorzitter van het CBP en van de Artikel 29-werkgroep van Europese privacytoezichthouders, heeft namens deze werkgroep in twee brieven aan de Europese Commissie ernstige zorgen geuit over de privacygevolgen voor Europese burgers. Ook heeft Kohnstamm op verzoek van de Europese Commissie plaatsgenomen in een ad hoc-werkgroep van de EU en de VS die onderzoek heeft gedaan naar de inhoud en rechtmatigheid van de verschillende Amerikaanse surveil- lanceprogramma’s. Bovendien zijn het CBP en de Belgische privacytoezichthouder eind 2013 een gezamenlijk onderzoek gestart naar mogelijk onrechtmatige toegang door derden tot de bankgegevens van Europese burgers bij de organisatie SWIFT.
> deze publicatie behandelt de belang- rijkste werkzaamheden van het CBP in 2013. Meer informatie en de cijfers van dat jaar zijn te vinden in de online bijlage: www.cbpweb.nl/13/2
daarnaast is er de samenvatting 2013 - Het CBP in vogelvlucht, die zowel op papier als online beschikbaar is: www.cbpweb.nl/13/3
Apothekers zijn net als andere zorgverleners gebonden aan het medisch beroeps- geheim. Zij hebben de plicht hun patiënt- gegevens vertrouwelijk te behandelen en
adequaat te beveiligen.
H e t C B P i n 2 0 1 3|C B P
14 C B P|G E Z O N d H E I d S Z O r G 15
Onvoldoende beveiliging tegen inzage door onbevoegden
Zorginstellingen
Na een uitgebreid onderzoek bij negen zorginstellingen concludeerde het CBP dat zorginstellingen onvoldoende maatregelen treffen om ervoor te zorgen dat uitsluitend bevoegde medewerkers van ziekenhuizen, ggz-instellingen of huisartsenposten toegang hebben tot digitale patiëntendos- siers en andere medewerkers dus niet. Die instellingen gaan onzorgvuldig om met de medische gegevens van hun patiënten en overtreden zo de wet.
Medewerkers van een zorginstelling mogen alleen dán toegang krijgen tot patiëntge- gevens als zij een behandelrelatie met de betreffende patiënt hebben of als de toegang noodzakelijk is voor de beheersmatige
afwikkeling van de behandeling. Daarnaast moeten de instellingen bijhouden wie welke dossiers raadpleegt (loggen) en dit contro- leren. Het CBP gaat er op basis van het onderzoek, nieuwe signalen en gesprekken met koepelorganisaties vanuit dat de aange- troffen situatie op grote schaal voorkomt in de zorgsector.
Een aantal onderzochte instellingen heeft inmiddels maatregelen genomen. Vooral de onderzochte ziekenhuizen moeten echter nadere stappen zetten wil er sprake zijn van naleving van de wet. Als het CBP consta- teert dat de instellingen de overtredingen niet beëindigen, zal het CBP handhavend optreden.
> Lees het onderzoeksrapport:
www.cbpweb.nl/13/4
Huisartsenposten
Het CBP onderzocht op basis van een steek- proef drie huisartsenposten om te bekijken of deze voldoen aan de eisen die gelden voor een adequate beveiliging van patiënt- gegevens. Daaronder vallen bijvoorbeeld de eis van unieke gebruikersidentificatie, zoals een pas op naam, en de eis van zoge- heten tweefactorauthenticatie om toegang te kunnen krijgen tot het systeem, bijvoor- beeld een chipcard in combinatie met een pincode. Als deze eisen niet worden nage- leefd, bestaat het risico dat medewerkers gegevens kunnen inzien van personen met wie zij geen behandelrelatie hebben.
Geen van de drie huisartsenposten voldeed aan alle beveiligingseisen. De voornaamste gebreken waren het gebruik van al dan niet algemene leenpassen, waardoor de patiëntinformatie van alle patiënten in de hele regio kon worden ingezien, het kunnen inloggen met uitsluitend een wachtwoord en onvoldoende controle op de loggege- vens. De onderzochte huisartsenposten hebben naar aanleiding van het onderzoek de overtredingen beëindigd.
Huisartsen en apothekers
Online aanvragen voor herhaalrecepten worden vaak over een onbeveiligde verbinding verzonden. Dit blijkt uit een steekproef die het CBP in de eerste helft van 2013 uitvoerde onder 150 websites van huisartsen en apotheken. Bijna een derde van de sites bleek op dit punt onbeveiligd.
Hierdoor kunnen derden medische infor- matie eenvoudig meelezen, verwijderen
of aanpassen. Huisartsen en apothekers die niet zorgen voor een goed beveiligde verbinding (bijvoorbeeld te zien aan https in de URL) handelen in strijd met de Wet bescherming persoonsgegevens. Het CBP zal vervolgonderzoek doen om te contro- leren of huisartsen en apothekers de verbin- dingen hebben beveiligd.
Apothekers
Apothekers zijn net als andere zorgverleners gebonden aan het medisch beroepsgeheim.
Zij hebben de plicht hun patiëntgegevens vertrouwelijk te behandelen, adequaat te beschermen en te beveiligen. Naar aanlei- ding van berichten dat dit niet altijd goed gebeurt, heeft het CBP een steekproefonder- zoek gedaan bij acht apotheken. Alle onder- zochte apotheken bleken tekort te schieten.
Zo hadden vier apotheken niet alle vereiste maatregelen genomen om ervoor te zorgen dat alleen bevoegde personen toegang hebben tot hun patiëntgegevens. Er werd alleen van wachtwoorden gebruikgemaakt om in te loggen in plaats van de vereiste tweefactorauthenticatie.
Het CBP zal controleren in hoeverre de geconstateerde overtredingen nog voort- duren.
Verstrekking medische gegevens
Verstrekking van gegevens door apothekers aan fabrikanten
Bij vier andere apotheken is onderzoek gedaan naar de verstrekking van medische
Gezondheidszorg
Medische gegevens zijn per definitie privacygevoelig. de beveiliging van deze gegevens moet dan ook aan de hoogste normen voldoen. Mensen moeten erop kunnen ver- trouwen dat zorgverleners zorgvuldig omgaan met de medische gegevens die zij hun toevertrouwen en dat deze niet in verkeerde handen terechtkomen.
H e t C B P i n 2 0 1 3|C B P
16 C B P|G E Z O N d H E I d S Z O r G 17
gegevens aan een fabrikant van incontinen- tiemateriaal. Aanleiding voor dit onderzoek waren berichten dat deze fabrikant pati- enten met incontinentieproblemen telefo- nisch benaderde voor een zogeheten TENA Consult. In zo’n consult werden onder meer vragen gesteld over de mate van inconti- nentie.
Het TENA Consult zou plaatsvinden in samenwerking met apotheken en als doel hebben een zogenoemd patiëntprofiel te bepalen. Aan de hand van de patiënt- profielen wordt in de overeenkomst tussen apotheken en zorgverzekeraars vastgesteld op welke materiaalvergoeding patiënten recht hebben. Apotheken kunnen het opstellen van deze profielen uitbesteden aan derden, zogeheten bewerkers.
Het CBP constateerde dat de apothekers onvoldoende waarborgen hadden getroffen om de patiëntgegevens te beschermen.
Zo ontbrak een bewerkersovereenkomst tussen de apotheken en de fabrikant, waarin afspraken opgenomen moeten zijn over onder meer de beveiliging van de gege- vens en het doel waarvoor de bewerker de verschillende gegevens verwerkt. Inmiddels heeft de fabrikant met de onderzochte apothekers met wie nog wordt samen- gewerkt een bewerkersovereenkomst gesloten, waardoor de overtredingen op dit punt zijn beëindigd.
Uit het onderzoek bleek ook dat niet alle apothekers aan alle patiënten toestemming hadden gevraagd om hun patiëntgegevens door te geven aan de fabrikant. Dat was in
Het CBP adviseert om de wettelijk verplichte verstrekking van informatie over de zorg- vraagzwaarte te beperken tot die diagno- segroepen waarvoor het aannemelijk is dat de daaraan verbonden indicator ook daadwerkelijke voorspellende waarde heeft voor de behandelinzet. Onderzoek toont namelijk aan dat dit niet altijd het geval is.
Verder adviseert het CBP de effecten van de invoering van de zorgvraagzwaarte-in- dicator zorgvuldig te monitoren voordat wordt besloten tot bredere invoering. Tot slot adviseert het CBP twee uitzonderingen op de verplichte verstrekking mogelijk te maken, namelijk ten eerste als de verzekerde de rekening zelf betaalt en ten tweede als patiënt en hulpverlener een zogeheten priva- cyverklaring ondertekenen.
Wet Langdurige Intensieve Zorg
Het CBP bracht in 2013 een kritisch advies uit over het wetsvoorstel Langdurige Intensieve Zorg (LIZ). Dit wetsvoorstel maakt onderdeel uit van de hervorming van de langdurige zorg. Hierbij is sprake van gedeeltelijke overheveling van de verantwoordelijkheid voor die zorg naar gemeenten en zorgverzekeraars. Het CBP heeft in dat verband ook geadviseerd over de voorstellen voor de Wet maatschappe- lijke ondersteuning 2015 (Wmo 2015) en de Jeugdwet (zie hiervoor het hoofdstuk
‘Overheid’ van dit jaarverslag).
De voorstellen leveren een aanzienlijke wijziging op van taken en verantwoordelijk- strijd met de wet. Deze overtredingen zijn
inmiddels beëindigd, ofwel omdat pati- enten alsnog toestemming hebben gegeven ofwel omdat de gegevens van patiënten die geen toestemming hebben gegeven zijn vernietigd.
Verstrekking van gegevens door ggz aan zorgverzekeraars
Het CBP heeft een advies uitgebracht over het voorstel tot wijziging van de Regeling zorgverzekering en geadviseerd deze niet zo in te voeren. In het voorstel wordt het aantal persoonsgegevens dat hulpverleners in de geestelijke gezondheidszorg (ggz) aan zorgverzekeraars moeten doorgeven uitge- breid. Voortaan zouden de hulpverleners niet alleen verplicht zijn de diagnosebehan- delcombinatie (DBC) door te geven, maar ook de zogeheten zorgvraagzwaarte- indicator. Dit is een getal dat een indicatie geeft van de aard en omvang van de hulp- verlening.
De bedoeling van het voorstel is om door zorgverzekeraars ervaren knelpunten in de wettelijk verplichte controle op declaraties weg te werken. Voor beide soorten medi- sche gegevens geldt dat zij uiterst privacy- gevoelig zijn. Deze gegevens raken de kern van het privéleven van de betrokken persoon en daarom moet uiterst zorgvuldig en terughoudend worden omgegaan met patiëntgegevens en met doorgifte hiervan aan derden die niet bij de behandeling betrokken zijn.
heden van diverse instanties. Gelet hierop heeft het CBP al opgemerkt dat het noodza- kelijk is om tot een meer overkoepelende en onderbouwde visie op de verwerking van persoonsgegevens te komen. Transparantie over de verwerking van persoonsgegevens is hierbij een belangrijk aandachtspunt.
Het CBP constateert dat ook in het wets- voorstel LIZ geen onderbouwde visie op de verwerking van persoonsgegevens aanwezig is. Het CBP adviseert daarom te voorzien in een grondige beschouwing over de verwerking van persoonsgegevens in de nieuwe situatie zoals beschreven in het wetsvoorstel. Deze verwerking moet ook in samenhang worden bekeken met de veranderingen vanuit de voorstellen voor de Wmo 2015 en de Jeugdwet, die aanlei- ding kunnen geven tot gegevensuitwisse- ling bij het afstemmen van de uitvoering van die wetten.
Het CBP acht het daarbij van belang dat het wetsvoorstel LIZ voldoende speci- ficeert over welke gegevens instanties mogen beschikken voor welke taak en welke gegevens ze daarbij aan elkaar moeten verstrekken. Het CBP adviseert ook in het wetsvoorstel LIZ een wettelijke verplichting op te nemen voor het door derden verstrekken van gegevens die noodzakelijk zijn voor de zogeheten indi- catiestelling. Toestemming kan hiervoor namelijk niet als grondslag dienen, omdat de mensen om wie het gaat bij dit soort gegevens feitelijk niet in vrijheid toestem- ming kunnen geven.
H e t C B P i n 2 0 1 3|C B P
18 C B P|G E Z O N d H E I d S Z O r G 19
Verwerking persoonsgegevens door zorgverzekeraars
Bij uitspraak van de Rechtbank Amsterdam van 13 november 2013 is het besluit van het CBP tot afgifte van een goedkeurende verklaring voor de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars met bijbehorend Protocol Materiële Controle (d.d. 13 december 2011) van Zorgverzekeraars Nederland vernietigd. De Rechtbank Amsterdam heeft in die uitspraak een aantal beroepsgronden tegen de afgifte van die goedkeurende verklaring, zoals aangevoerd door de Stichting Koepel van DBC-vrije Praktijken van Psychotherapeuten en Psychiaters, gegrond verklaard. De recht- bank oordeelt dat de gedragscode onvol- doende waarborgen bevat voor de veilige en voldoende beschermde verwerking van medische gegevens.
Zorgverzekeraars Nederland heeft op 17 december 2013 hoger beroep ingesteld tegen de uitspraak van de Rechtbank Amsterdam bij de afdeling Bestuursrechtspraak van de Raad van State. Omdat Zorgverzekeraars Nederland binnen de door de rechter vast- gestelde termijn van zes weken geen aan de uitspraak aangepaste gedragscode ter goedkeuring aan het CBP heeft voorgelegd, heeft het CBP op 19 december 2013 een nieuw besluit genomen, dat het verzoek van Zorgverzekeraars Nederland tot afgifte van een goedkeurende verklaring voor de gedragscode afwijst.
Arbodienstverleners mogen geen gevoelige medische informatie van zieke werknemers, zoals aard en oorzaak van de ziekte, medicijn- gebruik en behandeling, doorgeven aan de
werkgever.
H e t C B P i n 2 0 1 3|C B P
22 C B P|A r B E I d S r E L At I E 23
Verwerking medische gegevens personeel
Doorgeven medische gegevens aan werkgever
Voor de re-integratie en begeleiding van zieke werknemers mag een arbodienst gebruikmaken van een beperkt aantal nood- zakelijke medische persoonsgegevens van deze werknemers. Dit betreft onder meer gegevens over de verwachte duur van het verzuim en de mate waarin een werknemer arbeidsongeschikt is. Een verzuimbedrijf dat de verzuimbegeleiding uitvoert voor de werkgever mag in beginsel ook alleen deze beperkte set medische gegevens verwerken en verstrekken aan de werkgever. Ook een gecertificeerde arbodienst mag voor verzuim- begeleiding slechts een beperkt aantal medi- sche gegevens verstrekken aan de werkgever.
Gevoelige medische informatie, zoals de aard
en de oorzaak van de ziekte, medicijngebruik en behandeling, mogen deze arbodienstverle- ners niet doorgeven aan de werkgever.
Het CBP heeft bij twee arbodienstverle- ners – een gecertificeerde arbodienst en een verzuimbedrijf – geconstateerd dat zij in strijd met de wet medische gegevens van werknemers verwerkten. Het verzuim- bedrijf heeft naar aanleiding van het onderzoek van het CBP de overtredingen beëindigd. De arbodienst, waar het ging het om de gegevens van bijna 58.000 werk- nemers, is onderwerp van nadere controle.
> Lees het persbericht van het CBP:
www.cbpweb.nl/13/5
Melden medicijngebruik
Een bedrijf riep in een nieuwsbrief aan zijn personeel alle medewerkers op hun medicijn-
doosjes af te geven, om controle mogelijk te maken op medicijngebruik dat van invloed kan zijn op de rijvaardigheid. Dit gebeurde om de veiligheid op de werkvloer, waar met heftrucks wordt rondgereden, te verhogen.
De ondernemingsraad van het bedrijf gaf over deze oproep een signaal af bij het CBP.
Ingrijpen van het CBP leidde er uiteindelijk toe dat de werkwijze is aangepast en werk- nemers het medicijngebruik niet bij de werkgever moeten melden maar bij de bedrijfsarts.
Ziekmelding werknemers
Het CBP ontving ook een signaal over het beleid van een groot bedrijf ten aanzien van de ziekmelding van werknemers.
Bij de ziekmelding vroeg de werkgever aan de werknemer naar de aard en oorzaak van de ziekte. Na tussenkomst van het CBP heeft het bedrijf zijn beleid en de documenten waarin de werkwijze bij ziek- melding is beschreven aangepast. Ook is de verzuimapplicatie gewijzigd waarin de leidinggevenden aard en oorzaak van de ziekte invoerden. De reeds verzamelde medische gegevens zijn vernietigd.
Cameratoezicht op personeel
Heimelijk filmen van personeel Het CBP heeft na onderzoek geconclu- deerd dat het bedrijf Media Markt in strijd met de wet zijn personeel heimelijk heeft gefilmd. In het voorjaar van 2013 ontving het CBP diverse signalen vanuit de media
en van betrokkenen over het gebruik van (heimelijke) cameraobservaties door Media Markt. Uit het onderzoek van het CBP bleek dat Media Markt mystery shoppers met verborgen camera’s inzette die in verschil- lende vestigingen het personeel filmden in het kader van een training. Vervolgens werd het personeel met deze beelden in groeps- verband geconfronteerd.
Ook bleek uit het onderzoek dat het management van Media Markt medewer- kers heeft aangesproken op hun functi- oneren op basis van camerabeelden van beveiligingscamera’s. Media Markt heeft eveneens met behulp van deze beveili- gingsbeelden een klacht afgehandeld. Het aanspreken van personeel en het afhan- delen van klachten zijn onverenigbaar met het doel van de opnamen van beveiligings- camera’s en daarmee ook in strijd met de wet.
Het CBP heeft begin januari 2014 zijn onder- zoeksresultaten gepubliceerd en zal nog besluiten of het opleggen van sanctione- rende maatregelen noodzakelijk is.
> Lees het onderzoeksrapport:
www.cbpweb.nl/13/6
Onjuist gebruik beveiligingsbeelden Zoals hiervoor bij het onderzoek naar Media Markt al naar voren kwam, mag een bedrijf zijn werknemers niet aanspreken op hun gedrag op basis van camerabeelden die zijn gemaakt met het oog op beveiliging.
Het CBP heeft een opslagbedrijf dat zich schuldig maakte aan dit soort praktijken
Arbeidsrelatie
Onder werktijd heeft iemand niet dezelfde vrijheden als daarbuiten. Het grondrecht op de bescherming van persoonsgegevens geldt echter ook op de werkvloer. Naleving van dit recht vergt temeer aandacht omdat werknemers in een afhankelijke positie staan ten opzichte van hun werkgever.
H e t C B P i n 2 0 1 3|C B P
24 C B P|A r B E I d S r E L At I E 25
gemeld dat dit een onverenigbaar gebruik is van beveiligingscamera’s. Het bedrijf heeft hierop aangegeven te zijn gestopt met deze verwerking.
Onterecht
beoordelingscriterium
Voor werknemers die na een periode van detachering bij hun bedrijf terugkeerden, telde bij hun beoordeling mee of ze al dan niet een (bijgewerkt) LinkedIn-profiel hadden. Deze beoordeling bepaalde de hoogte van de bonus voor de werknemer.
Na een signaal hierover van een werknemer die zijn gegevens liever niet op internet wil plaatsen, heeft het CBP het betreffende bedrijf vragen gesteld over de werk- wijze. Het bedrijf gaf hierop zelf aan geen geldige grondslag te hebben om mensen te verplichten een LinkedIn-profiel aan te maken c.q. bij te houden. Het bedrijf heeft de beoordelingsformulieren aangepast en de leidinggevenden geïnformeerd dat het al dan niet hebben van een (bijgewerkt) LinkedIn-profiel geen rol mag spelen in de beoordeling.
Testgegevens vernietigd
Naar aanleiding van onderzoek van het CBP heeft Bureau Jeugdzorg Noord-Brabant (BJZ NB) in 2013 aangegeven de resultaten van psychologische tests van zijn werknemers niet langer te gebruiken en deze te hebben
vernietigd. Daarmee zijn de overtredingen van de Wet bescherming persoonsgegevens beëindigd.
Onderzoek van het CBP in 2012 wees uit dat BJZ NB in strijd met de wet psycholo- gischetestresultaten van zijn werknemers verzamelde. Alle werknemers van BJZ NB waren sinds 2011 verplicht mee te werken aan een assessment voor personeelsbeoor- deling en -ontwikkeling. Uit het onderzoek kwam onder meer naar voren dat er voor de verwerking van de testresultaten geen wettelijke grondslag was, omdat van vrijelijk gegeven toestemming van de werknemers geen sprake was.
Het CBP oordeelde ook dat het verplicht laten afnemen van een assessment door alle medewerkers niet noodzakelijk is voor de bedrijfsvoering. Een deel van de testresul- taten, de functiegerelateerde competenties, was behalve door de betreffende mede- werker ook in te zien door de leidingge- vende. De gegevens die bij de testen werden verzameld zijn gevoelig van aard. Zij zeggen iets over de psychische gesteldheid, vaardig- heden en beperkingen van betrokkenen.
Een smartphonegebruiker heeft gemiddeld zo’n
37 apps gedownload.
Apps kunnen enorme
hoeveelheden gegevens
van die persoon verwerken,
bijvoorbeeld door toegang
tot contacten en foto’s.
H e t C B P i n 2 0 1 3|C B P
28 C B P|IN t E r N E t E N t E L E C O M 29
Gegevens online kijkgedrag op smart tv’s
Waar je online naar kijkt op tv, bijvoor- beeld via ‘Uitzending gemist’, welke apps je downloadt of welke sites je bezoekt:
deze gegevens worden door het bedrijf TP Vision verzameld en bewaard. De gege- vens kunnen een indringend beeld geven van iemands gedrag en belangstelling. TP Vision is de producent van Philips-televisies met internetfunctionaliteiten, beter bekend als smart tv’s. Op basis van de gegevens doet TP Vision persoonlijke kijkaanbie- dingen en wil het bedrijf gepersonaliseerde advertenties gaan tonen. Door het gebrek aan heldere informatie zijn gebruikers zich hiervan vaak niet bewust. Bovendien worden tv-kijkers hierdoor niet in staat gesteld om rechtsgeldige toestemming te geven voor de verwerking van hun
persoonsgegevens. TP Vision handelt op deze manier in strijd met de Wet bescher- ming persoonsgegevens, zo oordeelde het CBP na onderzoek.
Volgend op dit onderzoek heeft het bedrijf een deel van de overtredingen betreffende de informatieplicht beëindigd. Het bedrijf heeft de gebruiksvoorwaarden uitgebreid met een privacystatement en een cookiebe- leid en hierin informatie opgenomen over de bewaartermijnen van de gegevens. Deze aanpassingen waren bij sluiting van het onderzoek in juli 2013 echter zodanig dat het voor een gebruiker nog steeds onvol- doende inzichtelijk was dat TP Vision de zogeheten verantwoordelijke is (voor de gegevensverwerking), welke cookies het bedrijf plaatst, welke persoonsgegevens het verzamelt en hoe lang het deze bewaart.
De informatie in de gebruiksvoorwaarden,
het privacystatement en het cookiebeleid waren op dat moment inconsistent en onvoldoende publiek toegankelijk. Het privacystatement en het cookiebeleid waren bij sluiting van het onderzoek bijvoorbeeld alleen in het Engels beschikbaar.
TP Vision gebruikt cookies om persoons- gegevens van de gebruikers te verzamelen.
TP Vision heeft naar aanleiding van het onderzoek een toestemmingsvraag inge- voerd voor cookies die het kijkgedrag vast- leggen, om persoonlijke kijkaanbiedingen te kunnen doen. Door het ontbreken van volledige en duidelijke informatie is deze toestemming echter niet rechtsgeldig. Voor advertentiecookies en de cookies waarmee TP Vision het appgebruik en websitebezoek vastlegt, vraagt het bedrijf helemaal geen toestemming. Als het CBP constateert dat de overtredingen niet alle worden beëindigd, zal het CBP handhavend optreden.
> Lees het persbericht van het CBP:
www.cbpweb.nl/13/7
Apps
Europese privacytoezichthouders Een smartphonegebruiker heeft gemiddeld zo’n 37 apps gedownload. Apps kunnen enorme hoeveelheden, vaak intieme, persoonsgegevens van die gebruiker verwerken, onder meer door toegang tot de contactenlijst en het fotoalbum of door het gebruik van locatiegegevens. Dit gebeurt vaak zonder dat gebruikers hierover goed zijn geïnformeerd en zonder dat zij hiervoor
vrijelijk toestemming hebben kunnen geven. Dit is in strijd met de Europese privacyregelgeving.
Daarbij komt nog het privacyrisico dat sommige apps veel meer gegevens gebruiken dan noodzakelijk voor de werking van de app en rekbare doeleinden formuleren voor de gegevensverwerking, zoals ‘marktonderzoek’. Ook onvoldoende beveiligingsmaatregelen in de app vormen een risico. Slechte beveiliging van de app kan ertoe leiden dat (gevoelige) persoons- gegevens in handen van anderen komen, bijvoorbeeld door een datalek.
De gezamenlijke Europese privacytoezicht- houders hebben in een opinie van 14 maart 2013 de grootste privacyrisico’s van apps in kaart gebracht en de concrete verplich- tingen uitgewerkt waaraan app-ontwikke- laars en alle andere betrokken partijen bij de ontwikkeling en distributie van apps moeten voldoen. Andere partijen zijn onder meer app stores, advertentiebedrijven en fabrikanten van besturingssystemen.
In de opinie is speciale aandacht voor apps gericht op kinderen.
Internationale privacytoezichthouders Tijdens hun jaarlijkse conferentie in september 2013 hebben privacytoezichthou- ders van over de hele wereld aangekondigd de privacy van appgebruikers te willen verbeteren en verschillende spelers in de app-industrie aan te spreken en te wijzen op hun verantwoordelijkheden. Indien nodig zullen de privacytoezichthouders gezamenlijk
Internet
en telecom
Veel mensen zijn zich er niet van bewust dat zij voor online diensten vaak betalen met hun persoonsgegevens. Bedrijven en organisaties moeten hen voldoende informeren over het gebruik van hun gegevens en waar dat wettelijk verplicht is, hiervoor toestemming vragen.
H e t C B P i n 2 0 1 3|C B P
30 C B P|IN t E r N E t E N t E L E C O M 31
handhavend optreden. De discussies over de ‘verappisering’ van de samenleving leidden tot een slotverklaring met als teneur dat de toezichthouders het gemak en het plezier die apps bieden zeker niet willen bederven, maar dat zij wel misbruik van persoonsgegevens willen tegengaan.
Het is belangrijk dat gebruikers zeggen- schap houden over hun eigen gegevens.
Zij moeten zelf kunnen beslissen welke informatie zij met wie delen en voor welke doelen. Zij moeten niet verrast worden door verborgen functies van de app die zorgen voor geheime overdracht van gegevens.
App-ontwikkelaars moeten voldoen aan diverse bestaande privacywet- en regel- geving. Om dat te bereiken én tegelijk een gebruiksvriendelijke app te blijven aanbieden, is het van belang dat al bij de ontwikkeling van een app wordt nagedacht over privacyaspecten. Op deze manier kan privacy ook een concurrentievoordeel opleveren, omdat het product aan consu- mentenvertrouwen wint. Daarnaast hebben ook de aanbieders van mobiele platforms een verantwoordelijkheid: zij moeten ervoor zorgen dat ook mobiele apparaten over duidelijke en gedetailleerde privacy- instellingen beschikken.
> Lees meer over privacy bij apps:
www.cbpweb.nl/13/8
Onderzoek WhatsApp
In januari 2013 heeft het CBP samen met de Canadese privacytoezichthouder de bevindingen gepubliceerd van het geza- menlijke onderzoek naar de verwerking
Data-analyse door telecomaanbieders
Het CBP heeft in juni 2013 gerapporteerd over zijn uitvoerige onderzoek naar analyse van het dataverkeer (packet inspection) over het mobiele netwerk door de telecomaan- bieders KPN, Tele2, T-Mobile en Vodafone.
Deze vier telecomaanbieders zijn de grootste mobielenetwerkaanbieders in Nederland.
Bij alle bedrijven zijn overtredingen van de Wet bescherming persoonsgegevens en de Telecommunicatiewet vastgesteld.
De bedrijven bleken onder meer in strijd met de wet op detailniveau gegevens te bewaren over de door hun klanten bezochte websites en gebruikte apps. Dergelijke gegevens moeten op basis van de wet zo snel mogelijk na het verzamelen worden verwijderd of onomkeerbaar worden geanonimiseerd. Gegevens over bezochte websites en gebruikte apps via de mobiele telefoon zeggen veel over het gedrag en de voorkeuren van mensen. Het is in veel gevallen niet noodzakelijk om deze gege- vens op klantniveau te bewaren.
Uit het onderzoek kwam ook naar voren dat de telecomaanbieders klanten niet of onjuist informeren over het feit dat zij gedetail- leerde informatie over hen verzamelen en wat zij hiermee doen. Dit gebrek aan trans- parantie is ook in strijd met de wet.
De vier telecomaanbieders hebben naar aanleiding van het onderzoek een deel van de overtredingen beëindigd. KPN heeft inmiddels alle overtredingen stopgezet, van persoonsgegevens door WhatsApp.
De privacytoezichthouders constateerden in hun onderzoek meerdere overtredingen van de privacywetten. De beveiliging van de app was op verschillende punten onder de maat. Zo bleek tijdens het onderzoek dat WhatsApp de berichten via de app op onver- sleutelde wijze verstuurde. Hierdoor konden derden de inhoud daarvan in leesbare vorm onderscheppen, zonder dat de oorspronke- lijke ‘whatsapper’ daar weet van had.
Naar aanleiding van het onderzoek heeft WhatsApp maatregelen genomen om het berichtenverkeer te versleutelen. Een andere geconstateerde overtreding is dat gebruikers van WhatsApp verplicht zijn toegang te geven tot het volledige adres- boek op hun telefoon. Het bedrijf verza- melt vervolgens álle telefoonnummers uit die adresboeken, ook de nummers van contacten die geen WhatsApp gebruiken.
Gebruikers kunnen er niet voor kiezen om alleen de nummers door te geven van contacten met wie zij ook echt willen whatsappen. Hierdoor hebben dus niet alleen de WhatsApp-gebruikers geen zeggenschap over welke gegevens zij willen delen, maar geldt dit zelfs voor mensen die de app niet gebruiken. Alleen de iPhone met het besturingssysteem iOS 6 biedt de mogelijkheid om per app de toegang tot het adresboek uit of aan te zetten.
Het CBP bekijkt thans in hoeverre de geconstateerde overtredingen voortduren en beslist vervolgens of het handhavende maatregelen neemt.
de andere drie aanbieders nog niet (geheel).
Bij voortduring van deze overtredingen beslist het CBP of het handhavende maat- regelen zal nemen.
Voorstel brief- en
telecommunicatiegeheim
Artikel 13 van de Grondwet (Gw) ziet op de bescherming van het brief-, telefoon- en telegraafgeheim. De regering wil dit artikel moderniseren, zodat voortaan ook digitale communicatiemiddelen eronder vallen.
Het aldus voorgestelde brief- en telecom- municatiegeheim richt zich primair tegen (heimelijke) inzage door de overheid in de inhoud van communicatie. Het CBP heeft bezwaar tegen het wetsvoorstel en adviseert het niet in de huidige vorm in te dienen. De hoofdpunten uit het CBP-advies betreffen:
• Verkeersgegevens
Verkeersgegevens (informatie over de communicatie, zoals wanneer en hoe lang iemand heeft gebeld of geïnternet) worden niet primair beschermd in het voorgestelde artikel 13 Gw, in tegen- stelling tot de communicatie-inhoud.
Het CBP adviseert ook verkeersgege- vens onder de bescherming van artikel 13 te laten vallen, onder meer omdat deze gegevens ook veel over iemand kunnen zeggen.
• Geïnformeerde toestemming Het CBP adviseert de passages over informed consent in de toelichting bij
H e t C B P i n 2 0 1 3|C B P
32 C B P|IN t E r N E t E N t E L E C O M 33
het wetsvoorstel zodanig aan te passen dat alle drie de voorwaarden voor een geldige toestemming voor de gege- vensverwerking op grond van de Wet bescherming persoonsgegevens (vrij, specifiek en geïnformeerd) worden genoemd.
• Beperkingen
Het CBP merkt op dat de toelichting ruimte laat voor de mogelijkheid dat de burger minder bescherming zou kunnen ontlenen aan het voorgestelde artikel 13 Gw dan aan artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de funda- mentele vrijheden (EVRM). Dat heeft te maken met de ruimere mogelijkheden in artikel 13 tot beperking van het grondrecht. Deze keuze is onvoldoende gemotiveerd.
• Bescherming persoonsgegevens in randapparatuur
Gegevens opgeslagen in randappara- tuur, zoals een pc, tablet of smartphone, worden niet beschermd in het voorge- stelde artikel 13 Gw. Het CBP adviseert ook deze gegevens onder de bescher- ming van artikel 13 te laten vallen.
Cookies
Cookies zijn kleine bestandjes die bedrijven en organisaties op computers van hun websitebezoekers plaatsen. Hiermee kunnen zij het zoek- en klikgedrag van
soorten cookies, inclusief tracking cookies.
Wie deze toestemming weigert, krijgt geen toegang tot de – met publiek geld verspreide – informatie en uitzendingen van de publieke omroepen, waarvoor ook nog eens geen (digitaal) alternatief beschikbaar is.
Aanpassing cookiebepaling
Het CBP heeft geadviseerd over aanpas- sing van de cookiebepaling (conceptwets- voorstel tot aanpassing van artikel 11.7a van de Telecommunicatiewet). Websites die alleen cookies met geringe privacyge- volgen gebruiken – bijvoorbeeld analytische cookies waarmee níet het surfgedrag van de internetgebruiker wordt gevolgd – hoeven hierover volgens dit wetsvoorstel niet te informeren en hiervoor ook geen toestem- ming te verkrijgen van de betrokken inter- netgebruiker. Deze uitzondering geldt nu al voor functionele (technisch noodzakelijke) cookies. Het CBP heeft geen inhoudelijke bezwaren tegen deze voorgestelde extra uitzondering.
Een tweede hoofdpunt uit het CBP-advies betreft het toestemmingsvereiste voor het gebruik van cookies. Het CBP onderschrijft de in de toelichting op het conceptwets- voorstel gegeven uitleg van de term
‘toestemming’. In de toelichting wordt nader uitgelegd op welke wijze aan het toestemmingsvereiste kan worden voldaan.
Onder omstandigheden kan ook uit het gedrag van de betrokken gebruiker diens toestemming worden afgeleid. Daarbij geldt dat toestemming altijd moet zijn gebaseerd op een voorafgaande, vrije, specifieke en de bezoekers volgen. Er zijn verschillende
soorten cookies. Functionele cookies zijn (technisch) noodzakelijk voor de commu- nicatie of voor door de bezoeker gevraagde dienstverlening. Niet-functionele cookies zijn onder meer analytische cookies, waarmee het websitegebruik in kaart kan worden gebracht, en tracking cookies, waarmee het gedrag van bezoekers over meerdere websites gevolgd kan worden, bijvoorbeeld voor reclamedoeleinden.
Op het gebruik van cookies zijn de Telecommunicatiewet en de Wet bescher- ming persoonsgegevens van toepassing.
Sinds 5 juni 2012 geldt op grond van de Telecommunicatiewet dat websites toestem- ming moeten vragen aan hun bezoekers voor het gebruik van alle niet-functionele cookies. Deze toestemming moet uit vrije wil zijn gegeven, specifiek zijn en op voldoende informatie zijn gebaseerd om rechtsgeldig te zijn.
Gebruik cookies door publieke omroep De Nederlandse Publieke Omroep (NPO) mag bezoekers de toegang tot de NPO-websites niet weigeren als zij geen toestemming geven voor het laten volgen van hun surfgedrag. Deze verduidelijking van het toepasselijk wettelijk kader heeft het CBP gegeven naar aanleiding van Kamervragen over het gebruik van cookies op de websites van de NPO. Van in vrijheid gegeven rechtsgeldige toestemming van de bezoeker is hierbij namelijk geen sprake, omdat de NPO geen andere keuze biedt dan (in een keer) toestemming te geven voor alle
geïnformeerde keuze van de gebruiker en dat de toestemming moet blijken uit een actieve handeling.
> Bekijk veelgestelde vragen over cookies
en de wet bescherming persoonsgegevens:
www.cbpweb.nl/13/9
Privacyvoorwaarden Google
Per 1 maart 2012 heeft Google nieuwe privacyvoorwaarden ingevoerd, die de mogelijkheid introduceren om persoonsge- gevens te combineren die via verschillende Google-diensten worden verkregen. Dit is in strijd met de Wet bescherming persoons- gegevens, concludeerde het CBP na onder- zoek. De onderzoeksresultaten zijn eind november 2013 gepubliceerd. Het CBP heeft Google inmiddels uitgenodigd voor een hoorzitting, waarna de toezichthouder zal beslissen over de inzet van handhavende middelen.
Google bereikt met zijn online diensten vrijwel elke Nederlander met internettoe- gang. Het is bijna onmogelijk om op internet niet van Google-diensten gebruik te maken.
Google combineert gegevens uit deze diensten – deels van gevoelige aard, zoals betalingsinformatie, locatiegegevens en surfgedrag over meerdere websites – onder meer om gepersonaliseerde advertenties te kunnen tonen. Google informeert internet- gebruikers echter onvoldoende over om welke gegevens het gaat en voor welk doel het bedrijf gegevens koppelt. Bovendien biedt Google geen (voorafgaande) keuze-
H e t C B P i n 2 0 1 3|C B P
34 C B P|IN t E r N E t E N t E L E C O M 35
mogelijkheid om hiermee in te stemmen of dit te weigeren. De door de wet vereiste toestemming kan in ieder geval niet worden verkregen via aanvaarding van de algemene (privacy)voorwaarden.
Het CBP-onderzoek naar Google was het Nederlandse vervolg op een onderzoek van de Europese toezichthouders naar de wereldwijd geldende privacyvoorwaarden voor de gebruikers van alle diensten van Google. De bevindingen van dat onderzoek zijn in oktober 2012 gepubliceerd. Na dit vooronderzoek hebben zes privacytoezicht- houders, in Frankrijk, Duitsland, Groot- Brittannië, Italië, Spanje en Nederland, besloten om ook op nationaal niveau onderzoek te doen op basis van hun eigen privacywetgeving.
> Lees het persbericht van het CBP:
www.cbpweb.nl/13/10
Google Glass
Al langere tijd benadrukken privacytoe- zichthouders dat het belangrijk is om al in de ontwerpfase van een product of dienst rekening te houden met privacygevoelige elementen en voldoende waarborgen in te bouwen om persoonsgegevens goed te beschermen en te beveiligen. In dat kader hebben privacytoezichthouders van over de hele wereld Google aangeschreven vanwege de mogelijke privacygevolgen van de bril
‘Google Glass’. De brief is mede onderte- kend door Jacob Kohnstamm, namens alle Europese privacytoezichthouders.
met de Wet bescherming persoonsgegevens.
NOC*NSF adviseert de sportbonden ervoor te zorgen dat tuchtrechtelijke uitspraken alleen geanonimiseerd en ook niet herleid- baar tot de betreffende persoon (bijvoor- beeld ‘de aanvoerder van team x van club y’) op hun websites worden geplaatst en stelt samen met enkele sportbonden en de Dopingautoriteit een richtlijn op om sport- bonden te helpen op de juiste manier om te gaan met openbaarmaking van tuchtrecht- uitspraken.
Datalekken
Het CBP is volop in voorbereiding op de meldplicht datalekken. Het wetsvoorstel dat deze meldplicht invoert, is momenteel in behandeling bij de Tweede Kamer.
De meldplicht datalekken houdt in dat bedrijven en organisaties die persoons- gegevens verwerken, verplicht zijn een datalek te melden bij het CBP. Doen zij dit niet, dan kan het CBP een boete opleggen.
Mede als voorbereiding op de meldplicht datalekken heeft het CBP in 2013, net als in 2012, meerdere datalekken onderzocht.
In de brief stellen de privacytoezichthouders Google een aantal vragen waartoe berichten in de media over dit nieuwe product aanlei- ding gaven. Het gaat er vooral om helder- heid te krijgen over de wijze waarop Google de via de bril verkregen persoonsgegevens wil gebruiken.
Google heeft in juni 2013 gereageerd op de brief. De bril wordt in elk geval op korte termijn nog niet in productie genomen.
Voorlopig volgt dan ook geen verdere actie van de toezichthouders. Wel zal de Berlijn Groep – de internationale werkgroep voor gegevensbescherming en telecommunicatie waaraan nationale privacytoezichthouders, wetenschappers en internationale orga- nisaties deelnemen – een opinie schrijven over wearable computing. Google heeft tijdens de bijeenkomst van de werkgroep in september 2013 een demonstratie gegeven van Google Glass.
Publicatie tuchtrechtelijke uitspraken
NOC*NSF, de koepel van sportbonden, heeft op aangeven van het CBP aandacht van de aangesloten bonden gevraagd voor het anonimiseren van tuchtrechtelijke uitspraken voordat deze op internet worden geplaatst. Sportbonden publiceren derge- lijke uitspraken soms inclusief naam, adres, woonplaats, de overtreding/gedraging, de straf, etc. Deze wijze van publiceren, zeker als het gaat om sporters die in betrekkelijke anonimiteit hun sport beoefenen, is in strijd
Hoewel het in het bedrijfs- leven vaak gebeurt, mag het kopiëren van identiteits-
bewijzen meestal niet.
Stapels kopieën kunnen privacyrisico’s opleveren, zoals identiteitsfraude, met grote financiële en
maatschappelijke gevolgen
voor mensen.
H e t C B P i n 2 0 1 3|C B P
38 C B P|IH A N d E L E N d I E N S t E N 39
Verstrekking abonneegegevens voor marketingdoeleinden
Het CBP concludeerde na onderzoek dat Erdee Media B.V, uitgever van onder meer het Reformatorisch Dagblad en het tijd- schrift Terdege, zonder toestemming van abonnees hun naam- en adresgegevens aan andere partijen verstrekt voor directmarke- tingdoeleinden. Dit is in strijd met de wet.
Het gaat in deze zaak om de verwerking van gegevens over iemands godsdienst.
Dit zijn bijzondere persoonsgegevens waar- voor strenge wettelijke eisen gelden. Deze gegevens mogen alleen met uitdrukkelijke toestemming van betrokkenen worden verwerkt.
Uit verschillende communicatiemiddelen van Erdee Media B.V. wordt duidelijk dat de lezers van het Reformatorisch Dagblad
en Terdege volgens Erdee Media B.V.
behoren tot de gereformeerde gezindte.
Erdee Media B.V. stelt via onder meer haar website tegenover (potentiële) adverteer- ders dat de verschillende media van Erdee Media B.V. volop mogelijkheden bieden als adverteerders de ‘gereformeerde gezindte’
willen bereiken. Het label ‘behorende tot de gereformeerde gezindte’ zorgt voor een rechtstreeks verband tussen de naam- en adresgegevens van de abonnees en gege- vens over hun godsdienst. De verstrekking van de abonneegegevens moet dan ook worden aangemerkt als een verwerking van bijzondere persoonsgegevens. Als het CBP constateert dat Erdee Media B.V. de overtreding niet beëindigt, kan het CBP handhavend optreden.
Zoekportaal woonbemiddelaar aangepast
Een grote woonbemiddelaar in de sociale huurmarkt meldde op zijn online zoek- portaal in zijn privacyreglement dat de persoonsgegevens van woningzoekenden met andere partijen werden gedeeld voor marketingdoeleinden. Als woningzoe- kenden hiermee niet akkoord gingen, konden zij zich niet inschrijven en kwamen zij dus ook niet in aanmerking voor een sociale huurwoning, met alle nadelige gevolgen van dien. Het CBP heeft de woon- bemiddelaar na onderzoek gemeld dat dit beleid in strijd was met de Wet bescherming persoonsgegevens. Daarop is het online zoekportaal aangepast. Woningzoekenden kunnen nu vrijelijk aangeven of van hun gegevens gebruik mag worden gemaakt voor bepaalde marketingdoeleinden, zoals marktrapportages.
NS mag ‘reisopbrengst’
verwerken voor marketing
Het CBP heeft geconcludeerd dat de NS een gerechtvaardigd belang heeft om het totale bedrag per maand waarvoor een klant bij de NS op saldo heeft gereisd (de zogeheten reisopbrengst) te verwerken voor marketingdoeleinden. Deze gege- vensverwerking leidt er niet toe dat er een gedetailleerder beeld ontstaat van het reisgedrag van de reizigers. In 2008 heeft het CBP aangegeven onder welke voorwaarden persoonsgegevens uit het
OV-chipkaartsysteem voor marketingdoel- einden mogen worden gebruikt. Aan de vijf kenmerken van reisgedrag die onder die voorwaarden mogen worden verwerkt – reisfrequentie, tijdsduur die is verstreken na de laatste reis, voorkeurstrajecten, voorkeursstations en binnen of buiten de spits reizen – kan nu als zesde kenmerk de reisopbrengst worden toegevoegd.
Wanbetalerslijst
De Wet bescherming persoonsgegevens is ook van toepassing op persoonsgege- vens afkomstig uit openbare informatie.
Wettelijke vereisten, zoals een geldige grondslag voor een verwerking en verenigbaarheid van verwerkingsdoelen, blijven onverkort van kracht. Het CBP is geattendeerd op een lijst met ‘wanbeta- lers’, personen die door de rechter zijn veroordeeld tot betaling van een geldbe- drag. Voor de samenstelling van de lijst, die elk kwartaal als papieren krant werd uitgebracht door een incassobureau, werd gebruikgemaakt van openbare vonnissen.
In de lijst stonden duizenden namen en adressen van wanbetalers, alfabetisch gerangschikt op gemeente en achternaam.
Het doel van de lijst was om ondernemers te waarschuwen met deze mensen geen zaken te doen. Ieder in het handelsregister ingeschreven bedrijf kon de lijst opvragen.
Dit betekende dat iemand die een schuld had bij een bedrijf bekend werd bij bedrijven in andere sectoren.
Handel
en diensten
Persoonsgegevens zijn het nieuwe goud. Hoe meer bedrijven weten over hun klanten, hoe meer aan hen te verdienen valt. Consumenten zijn echter niet vogelvrij.
Bedrijven en organisaties moeten zich aan de wet houden bij het verwerken van hun persoonsgegevens.
H e t C B P i n 2 0 1 3|C B P
40 C B P|IH A N d E L E N d I E N S t E N 41
Het CBP oordeelde dat mede gezien de gevoeligheid van deze financiële gege- vens en de aanzienlijke gevolgen voor de betrokkenen, de lijst niet voldeed aan het wettelijk vereiste dat gegevens die voor het ene doel zijn verzameld, niet voor een ander, onverenigbaar doel mogen worden gebruikt. Daarnaast was de lijst in strijd met de vereisten van noodzaak, proportio- naliteit en subsidiariteit. Het incassobureau dat de lijst beheerde ging tijdens het onder- zoek van het CBP failliet. De lopende zaken zijn door een ander incassobureau overge- nomen. Dat kantoor heeft naar aanleiding van de interventie van het CBP de uitgifte van de lijst gestaakt.
Verwisselingen bij reparatiebedrijven
Het komt voor dat mensen na reparatie van hun smartphone, laptop of computer van de reparateur het verkeerde toestel terugkrijgen. Op deze toestellen kan zeer persoonlijke informatie staan, zoals finan- ciële gegevens, amoureuze conversaties of beroepsmatig verkregen gevoelige gegevens over derden. Na melding aan het CBP door de slachtoffers van dergelijke ongelukkige verwisselingen, heeft het CBP hier onder- zoek naar gedaan. Door de interventie van het CBP zijn bij de onderzochte bedrijven de logistieke processen sterk verbeterd, zodat er minder risico is dat toestellen worden verwisseld. Zo is de eindcontrole uitgebreid en wordt bij smartphones het geheugen gewist, zodat geen persoonsgegevens meer
CBP in juli 2012 richtsnoeren gepubliceerd voor het gebruik van ‘kopietjes paspoort’
in de private sector. Het CBP heeft toen ook aangekondigd actie te ondernemen bij signalen van burgers over het onrechtmatig verzamelen en gebruiken van kopieën van identiteitsbewijzen.
> Bekijk de richtsnoeren kopie paspoort:
www.cbpweb.nl/13/11 en de veelgestelde vragen: www.cbpweb.nl/13/12
Individuele bedrijven
Sinds het uitbrengen van genoemde richtsnoeren zijn meer dan 1.000 signalen binnengekomen. Het CBP constateert op basis hiervan dat in uiteenlopende sectoren om een kopie van het paspoort wordt gevraagd. Het CBP heeft hierop per sector met een aantal − willekeurig uit de signalen gekozen − individuele bedrijven contact opgenomen. Enkele voorbeelden:
Sportschool
Een sportschooleigenaar vroeg een kopie paspoort als iemand een abonnement wilde afsluiten. Na contact met het CBP wijzigde de eigenaar zijn beleid en vernietigde hij de kopieën van identiteitsbewijzen die hij al in zijn bezit had.
Evenement
Een organisator van een evenement vroeg aan alle deelnemers die zich wilden inschrijven een kopie van hun paspoort.
Bovendien weigerde de organisator een kopie te accepteren waarop het burgerser- vicenummer (BSN) en de foto waren afge- schermd. Wie geen kopie opstuurde, mocht in handen van derden komen mocht er toch
een toestel worden verwisseld.
Een ander incident betrof het gebruik van een back-upmachine bij een computerre- paratiebedrijf. De back-ups werden nooit verwijderd. Na een reparatie van een computer plaatste het bedrijf een verkeerde back-up terug, waardoor persoonlijke data van een ander op deze computer terecht- kwamen. Ook deze procedure is na tussen- komst van het CBP aangepast.
Online aanbieden van vliegtickets
Naar aanleiding van signalen onderzocht het CBP de beveiliging van een online aanbieder van vliegtickets. Slechte bevei- liging maakte ongeautoriseerde toegang mogelijk tot gegevens als kopieën van paspoorten en medische verklaringen.
Interventie door het CBP heeft ertoe geleid dat de beveiliging sterk is verbeterd.
Kopie paspoort
Hoewel het in het bedrijfsleven vaak gebeurt, is het kopiëren of scannen van identiteitsbewijzen lang niet altijd toege- staan − en bovendien niet nodig. Ook kan het privacyrisico’s opleveren, variërend van misbruik voor marketingdoeleinden tot oplichting en identiteitsfraude. Om de wettelijke regels te verduidelijken, heeft het
niet deelnemen. Na contact met het CBP paste de organisator zijn werkwijze aan en vernietigde hij de reeds in bezit zijnde kopieën.
Metaalhandel
Een metaalhandelaar maakte kopieën van de paspoorten van klanten. Op navraag van het CBP verklaarde de handelaar dat hij begin 2013 geconfronteerd werd met de wettelijke verplichting een opkopersregister bij te houden en dat hij nog niet goed wist wat daarvoor de regels zijn. Krijgt iemand contant betaald voor koper, koperkabel of koperlegeringen, dan moet deze verkoper zich legitimeren en moet de handelaar enkele gegevens van het getoonde identiteitsbewijs registreren. Een kopie maken is hierbij echter niet toegestaan. De handelaar is hier inmiddels mee gestopt.
(Branche)organisaties
Naast de contacten met individuele bedrijven uit de verschillende sectoren, is het CBP in contact getreden met meerdere (branche-) organisaties, waaronder de Belastingdienst en Transport en Logistiek Nederland.
Belastingdienst
Ondernemers die goederen leveren aan inwoners van een land buiten de Europese Unie, hoeven hierbij geen omzetbelasting in rekening te brengen. Om bij controle aan te kunnen tonen dat zij dit terecht niet hebben gedaan, schrijft de Belastingdienst voor dat zij een kopie van het paspoort van hun klanten maken. Naar aanleiding van vragen van het CBP is het ministerie van
H e t C B P i n 2 0 1 3|C B P
42 C B P|IH A N d E L E N d I E N S t E N 43
Financiën, waaronder de Belastingdienst valt, echter tot de conclusie gekomen dat het niet nodig is een kopie te maken van de pasfoto en het BSN in het paspoort. Dit zijn zogeheten bijzondere persoonsgegevens, die extra privacygevoelig zijn. Inmiddels is in de regeling vastgelegd dat deze moeten worden afgeschermd bij het maken van een kopie.
Het CBP ontving in 2013 maandelijks meerdere signalen over inleners/aanne- mers die een kopie paspoort verlangen van werknemers die zij inhuren van een ander bedrijf. Werkgevers mogen een kopie van het identiteitsbewijs van hun werknemers verwerken, maar bedrijven die personeel inhuren of werk uitbesteden mogen dat niet. De Belastingdienst bleek bedrijven te adviseren een kopie van het identiteitsbe- wijs te maken vanwege de ‘Matiging keten- en inlenersaansprakelijkheid bij toepassing anoniementarief’. Het CBP heeft ervoor gezorgd dat de Belastingdienst bedrijven nu informeert dat het maken van een kopie paspoort niet noodzakelijk is.
transport en Logistiek Nederland (tLN) Vrachtwagenchauffeurs willen weten of het verplicht is een kopie van hun identiteitsbe- wijs af te staan bij de ingang van een bedrijf waar zij goederen komen afleveren. Als een chauffeur weigert, kan hij zijn lading niet kwijt en/of weigert het bedrijf nog langer zaken te doen met het vervoersbedrijf waar- voor hij werkt. Het CBP heeft naar aanlei- ding van de steeds terugkerende vragen contact opgenomen met brancheorganisatie TLN, die beide ‘partijen’ – vervoerders en
van het burgerservicenummer (BSN) en de bewaartermijn van de gegevens in het infor- matiesysteem. Voor het mogen verwerken van het BSN is een wettelijke grondslag vereist. Deze lijkt te ontbreken voor de exameninstituten. Het CBP adviseert in deze lacune te voorzien. Daarnaast adviseert het CBP te motiveren waarom de gegevens in het informatiesysteem twintig jaar lang zouden moeten worden bewaard.
logistiek dienstverleners – als achterban heeft. Hierop heeft TLN zijn achterban laten weten dat chauffeurs bij het afleveren van goederen niet om een kopie paspoort mag worden gevraagd.
Registratie vakbekwaamheid financiële dienstverleners
Vanaf 1 januari 2014 zijn financiële dienst- verleners verplicht hun vakbekwaamheid met een diploma aan te tonen. Daarnaast moeten zij periodiek een examen met goed gevolg afleggen. Gegevens over de diploma’s en examens van de dienstver- leners worden volgens het wetsvoorstel tot wijziging van de Wet op het financieel toezicht (Wft) geregistreerd in een nieuw in te stellen informatiesysteem. Het CBP heeft geadviseerd duidelijk te maken wie bij het informatiesysteem de zogeheten verantwoordelijke is en wie de mogelijke bewerker. De verantwoordelijke dient namelijk toe te zien op de naleving van de technische en organisatorische beveiligings- maatregelen door de bewerker.
Het ‘Besluit tot wijziging van het Besluit Gedragstoezicht financiële ondernemingen Wft’, waarover het CBP eveneens advies heeft uitgebracht, regelt het hierboven genoemde informatiesysteem. De minister van Financiën, de Dienst Uitvoering Onderwijs (DUO) en erkende exameninsti- tuten hebben toegang tot dit informatiesys- teem. De belangrijkste opmerkingen van het CBP bij het besluit betreffen verwerking
