CBP presenteert jaarverslag 2014 - Extra aandacht voor profilering
"Steeds vaker verzamelen bedrijven en overheden steeds meer persoonsgegevens van ons. We worden op basis van die gegevens geprofileerd en ons profiel bepaalt op welke manier wij worden behandeld of benaderd. Wij leven in een maatschappij waarin sprake is van 'digitale predestinatie'. Dit kan mensen beperken in hun vrije ontwikkeling en vrije keuzes." Met deze woorden overhandigde de voorzitter van het College bescherming persoonsgegevens Jacob Kohnstamm vandaag het jaarverslag 2014 aan de leden van de vaste Kamercommissie van Veiligheid en Justitie van de Tweede Kamer.
In 2014 waren profilering, decentralisatie en de verwerking van persoonsgegevens in de arbeidsrelatie belangrijke thema's voor het CBP.
Profilering
In 2014 had het CBP speciale aandacht voor profilering. De toezichthouder heeft verschillende onderzoeken gedaan naar het volgen van surfgedrag van internetters. Via zogeheten tracking cookies kunnen organisaties grote hoeveelheden persoonsgegevens verzamelen. Door deze gegevens vervolgens te analyseren en te combineren kunnen organisaties mensen in bepaalde profielen indelen en hen vervolgens anders behandelen of gerichter benaderen. Dat kan prettig zijn, als mensen daarover tenminste worden geinformeerd en zelf een keuze hebben kunnen maken. Maar het kan voor hen ook ongunstige gevolgen hebben.
In onderzoeken bij advertentiebedrijf YD (inmiddels: Yieldr) en de Nederlandse Publieke Omroep (NPO) concludeerde het CBP dat deze organisaties de wet overtraden door via tracking cookies persoonsgegevens te verzamelen zonder daarvoor vooraf toestemming te vragen. Het CBP legde internetbedrijf Google een last onder dwangsom op voor het combineren van persoonsgegevens zonder dat Google internetgebruikers hierover vooraf goed informeerde en zonder dat het bedrijf hiervoor toestemming vroeg. De dwangsom kan oplopen tot 15 miljoen euro.
Decentralisatie
Het CBP heeft in 2014 verschillende keren aandacht gevraagd voor de risico's op het gebied van persoonsgegevens die ontstaan door de overheveling van taken van het Rijk naar gemeenten. Zo benadrukte het CBP dat gemeenten de naleving van de Wet bescherming persoonsgegevens niet kunnen opschorten als gevolg van een 'lerende praktijk'. Hiermee reageerde het CBP op de beleidsvisie van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties over privacy in het sociaal domein, waarin wordt gesproken over een 'lerende praktijk' binnen gemeenten.
Ook wees het CBP in een advies over een privacy impact assessment voor het jeugddomein erop dat een deugdelijke, overkoepelende wettelijke basis ontbreekt voor de verwerking van persoonsgegevens bij de uitvoering van nieuwe taken binnen de verschillende onderdelen van het sociaal domein. In 2015 onderzoekt het CBP of de verwerking van persoonsgegevens in het sociale domein in overeenstemming met de privacywetgeving plaatsvindt.
Arbeid
Randstad en Adecco, twee van de grootste Nederlandse uitzendbureaus, bleken tijdens onderzoek van het CBP op verschillende punten de wet te overtreden. Beide uitzendbureaus vroegen medische gegevens aan uitzendkrachten die zich ziek meldden, maakten kopieen van identiteitsbewijzen tijdens intakegesprekken en bewaarden de gegevens van uitzendkrachten langer dan noodzakelijk.
Het CBP onderzocht ook de beveiliging van Suwinet, een systeem waarmee verschillende overheidsorganisaties (gevoelige) gegevens uitwisselen op het gebied van werk en inkomen. Zowel bij het UWV (als beheerder van Suwinet) als bij de gemeente 's-Hertogenbosch (als afnemer) bleken de beveiligingsmaatregelen niet toereikend.
Vooruitblik: Internationale conferentie
Het College bescherming persoonsgegevens (CBP) organiseert van 26 tot en met 29 oktober 2015 de Internationale Privacyconferentie met als thema 'Building bridges'. De bescherming van persoonsgegevens is in de verschillende rechtsstelsels op zeer uiteenlopende wijze in wetgeving vastgelegd. Zonder daar verandering in te willen aanbrengen, zullen tijdens deze conferentie privacyexperts van over de hele wereld praktische en pragmatische oplossingen bespreken die tot doel hebben te zorgen voor een betere privacybescherming.