CBP pleit voor anonimisering gegevens bij gebruik big data

business_trendsHet fenomeen big data heeft in 2013 een grote vlucht genomen. Via big data worden op geavanceerde wijze enorme hoeveelheden persoonsgegevens verwerkt. Het College bescherming persoonsgegevens (CBP) waarschuwt bij de presentatie van jaarverslag 2013 voor de risico's van dit soort gigantische databases en de bijbehorende geautomatiseerde verwerking van persoonsgegevens.

Uit de grote berg gegevens kunnen bedrijven en overheden verbanden en behoeften destilleren waardoor zij toekomstig gedrag van mensen kunnen voorspellen, zónder dat mensen dit zelf ook maar kunnen vermoeden. Organisaties kunnen hierdoor mensen anders behandelen dan anderen. Dit kan grote impact hebben op iemands leven.

Jacob Kohnstamm, voorzitter van het CBP:

‘Voor veel doelen waarvoor big data wordt ingezet, zijn tot de persoon herleidbare gegevens helemaal niet nodig. De gegevens moeten dan onomkeerbaar worden geanonimiseerd. Als organisaties voor hun doel wél herleidbare gegevens verwerken, moeten zij aan alle eisen van de Wet bescherming persoonsgegevens (Wbp) voldoen. Zo moeten zij mensen goed informeren over wat er met hun gegevens gebeurt en hen vaak ook om toestemming vragen.’

In 2013 heeft het CBP talloze voorbeelden gezien van praktijken of plannen waarbij ongebreideld gegevens worden verzameld. Het CBP heeft in 2013 in zijn toezicht en handhaving speciale aandacht besteed aan de volgende wettelijke beginselen: transparantie van gegevensverwerkingen, toestemming van burgers, doelbinding en beveiliging. De thematische speerpunten waren profilering, bescherming van medische gegevens en gegevensverwerking binnen de arbeidsrelatie.

Packet inspection

Het CBP heeft in 2013 onderzoek gedaan naar ongeoorloofde data-analyse (packet inspection) door vier telecomaanbieders. Deze bedrijven bleken onder meer in strijd met de wet op detailniveau gegevens te bewaren over de door hun klanten bezochte websites en apps en hen hierover niet of onjuist te informeren. Ook onderzocht het CBP het verzamelen en bewaren van gegevens over het online kijkgedrag, gebruik van apps en websitebezoek van gebruikers van smart tv's. TP Vision, producent van Philips smart tv's, bleek tv-kijkers onvoldoende en onvolledige informatie over de verwerking van hun persoonsgegevens via smart tv's te geven.

Medische gegevens

Mensen moeten er volgens het CBP op kunnen vertrouwen dat artsen zorgvuldig omgaan met hun medische gegevens. De patiënt mag rekenen op én een goede medische behandeling én zorgvuldige omgang met zijn gegevens. Aan de toegangsbeveiliging van patiëntgegevens schort echter nog het nodige, bleek uit een groot onderzoek van het CBP bij zorginstellingen, huisartsenposten en apothekers. Door onvoldoende beveiligingsmaatregelen bestaat het risico dat medische dossiers zijn in te zien door medewerkers met wie patiënten geen behandelrelatie hebben. Het CBP gaat ervan uit dat de aangetroffen situatie op grote schaal voorkomt in de zorgsector.

Doopceel lichten

Werkgevers mogen niet het medisch doopceel van hun werknemers lichten. Arbodienstverleners, zoals zogeheten verzuimbedrijven en arbodiensten, mogen dan ook geen gegevens over de medische behandeling van werknemers doorgeven aan de werkgever. Uit onderzoek van het CBP bij twee arbodienstverleners bleek dat zij dit in strijd met de wet wél deden.

Camerabeelden

Het CBP concludeerde na onderzoek dat Media Markt in strijd met de wet zijn personeel heimelijk heeft gefilmd. Ook bleek dat het management de medewerkers aansprak op hun functioneren op basis van camerabeelden van beveiligingscamera's. Werkgevers mogen beelden van beveiligingscamera's niet gebruiken om hun personeel aan te spreken op hun functioneren. De inzet van verborgen camera's is alleen toegestaan in uitzonderlijke situaties en zeker niet geoorloofd voor trainingsdoeleinden.

Internationaal

Het CBP heeft zich volgens eigen zeggen op nationaal en Europees niveau intensief ingezet voor een nieuwe EU-privacyverordening die past bij de huidige tijdgeest en die een voldoende beschermingsniveau biedt. In de Raad van ministers van Justitie en Binnenlandse Zaken van de Europese Unie was echter eind 2013 op een aantal cruciale onderdelen van de nieuwe privacywetgeving nog geen politieke overeenstemming bereikt.

Het CBP heeft in 2013 de samenwerking tussen de internationale privacytoezichthouders verder bevorderd. Dat is volgens het college ook nodig, gezien het grensoverschrijdende karakter van veel gegevensverwerkingen. Het CBP heeft samen met de Canadese toezichthouder onderzoek gedaan naar WhatsApp en samen met andere Europese toezichthouders naar de nieuwe privacyvoorwaarden van Google.

Surveillance

Jacob Kohnstamm heeft in zijn rol als voorzitter van de Artikel 29-werkgroep van Europese privacytoezichthouders bij de Europese Commissie ernstige zorgen geuit over de privacygevolgen voor Europese burgers van de grootschalige afluisterpraktijken door Amerikaanse veiligheidsdiensten. Ook heeft Kohnstamm op verzoek van de Europese Commissie plaatsgenomen in een werkgroep van de EU en de VS. Deze werkgroep heeft onderzoek gedaan naar de inhoud en rechtmatigheid van de verschillende Amerikaanse surveillanceprogramma's.

Datalekken

Het CBP is volop in voorbereiding op de meldplicht datalekken. Het wetsvoorstel dat deze meldplicht invoert, is momenteel in behandeling bij de Tweede Kamer. De meldplicht datalekken houdt in dat bedrijven en organisaties die persoonsgegevens verwerken, verplicht zijn een datalek te melden bij het CBP. Doen zij dit niet, dan kan het CBP een boete opleggen. Mede als voorbereiding op de meldplicht datalekken heeft het CBP in 2013, net als in 2012, meerdere datalekken onderzocht.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Expertsessies

  • Geen evenementen
  • Magazine

    BTG in Business - Voorjaar 2022
    Lees de laatste editie

    Meld je aan voor onze nieuwsbrief!

    Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
    • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.