Voorwoord. ook gegevensverkeer dat via de kabel loopt, zou onderzocht moeten kunnen worden.

Transcriptie

1 Het CBP in 2013

2 Inhoud Voorwoord 5 Inleiding 9 Gezondheidszorg 14 Arbeidsrelatie 22 Internet en telecom 28 Handel en diensten 38 Overheid 46 Politie en justitie 54 Internationaal 58 Organisatie 66

3 Voorwoord Als er één gebeurtenis is geweest in 2013 die ook bij de meest verstokte aanhanger van de mantra van mij mogen ze alles weten, ik heb niets te verbergen de aandacht heeft getrokken, zijn het de onthullingen van de NSA-praktijken door Edward Snowden. Het idee dat de National Security Agency met een gigantisch sleepnet gegevens binnenhaalt van burgers wereldwijd, heeft velen op hun achterste benen gezet. En niet alleen burgers. Ook acht grote Amerikaanse technologiebedrijven hebben in een gezamenlijke brief aan de Amerikaanse president geprotesteerd, onder meer tegen het grootschalig meelezen met en afluisteren van de gebruikers van hun internetdiensten. Dit zijn de multinationals waar wij als Europese privacytoezichthouders doorgaans tegen ten strijde trekken. Jullie zijn geen haar beter dan wij, reageren de Amerikanen als anderen kritiek uiten op de werkwijze van de Amerikaanse veiligheidsdienst. Of zij gelijk hebben, weten wij niet. De onthullingen van Snowden brachten wel zij het pas in tweede instantie aan het licht dat ook Nederlandse inlichtingendiensten op zeer grote schaal verkeersgegevens oftewel metagegevens verzamelden en verzamelen. Metagegevens zijn overigens al suggereert de term iets anders net zo goed herleidbaar tot personen en kunnen veel over hen zeggen. De commissie- Dessens, die de Wet op de inlichtingenen veiligheidsdiensten (Wiv) evalueerde, pleitte eind 2013 voor verruiming van de bevoegdheden van de AIVD en de MIVD: ook gegevensverkeer dat via de kabel loopt, zou onderzocht moeten kunnen worden. Moeten de AIVD en de MIVD evenals hun Amerikaanse zusterdienst ongericht een datasleepnet kunnen uitgooien? Hoewel de inlichtingendiensten niet onder het toezichtdomein van het CBP vallen, zijn deze vragen dusdanig verweven met de essentie van de bescherming van persoonsgegevens dat het CBP er niet het zwijgen toe wil doen. Het adagium wie wat bewaart, die heeft wat is immers tegen de principes die de wetgever heeft opgenomen in zowel de Wet bescherming persoonsgegevens als de Wiv: proportionaliteit, subsidiariteit en doelbinding. 4 Het CBP in 2013 CBP CBP voorwoord 5

4 Het heeft er lang op geleken dat deze principes in de strijd tegen terrorisme het loodje moesten leggen. Dat gaat nu in de Verenigde Staten wellicht enigszins veranderen. In reactie op een kritisch rapport van de commissie die in opdracht van het Witte Huis de NSA heeft doorgelicht, zal een aantal checks and balances worden ingebouwd die mogelijk leiden tot hervormingen en meer controle op het opereren van de Amerikaanse veiligheidsdienst. Concrete aanwijzingen dat er daarmee ook een eind zal komen aan de grootschalige gegevensverzamelingen zijn er echter niet. Het uitgangspunt voor de Amerikanen is immers anders dan in de Europese Unie dat het verzamelen van gegevens niet beschermwaardig is. Pas bij het gebruik ervan moet de overheid de beperkingen in acht nemen die voortvloeien uit het vierde amendement van de Amerikaanse grondwet. In Nederland dienen we ook alert te zijn op het mogelijk bovenmatig verzamelen van gegevens door onze inlichtingen- en veiligheidsdiensten. Zoals gezegd heeft het CBP geen bevoegdheid om de AIVD en de MIVD te controleren. Dat gebeurt door de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (CTIVD). Toch is het goed stil te staan bij bovengenoemde principes uit de privacywetgeving alsook bij de mate van transparantie van deze diensten. Natuurlijk kan de overheid gezien de nationale veiligheid geen volledige openheid geven. Maar terecht zegt de regering in een notitie die in december 2013 verscheen: De vraag waarvoor we staan, is hoe bij een voortgaande digitalisering in de Nederlandse samenleving op de juiste wijze inhoud kan worden gegeven aan het transparantiebeginsel op het terrein van de veiligheid. Deze opgave is van belang, omdat transparantie kan bijdragen aan het vertrouwen dat burgers hebben in de wijze waarop overheidsdiensten op het terrein van de veiligheid gegevens verzamelen en verder verwerken. Dat belang neemt toe, omdat de gemiddelde burger niet op de hoogte zal zijn van alle moderne technische mogelijkheden op dat vlak. 1 Deze boodschap deel ik volledig. Het wordt alleen wel interessant te zien hoe de regering op het terrein van de nationale veiligheid hieraan inhoud geeft, ook tegen de achtergrond van de voortgaande digitalisering van de samenleving. Wij kunnen in ons land en in de Europese Unie het grondrecht op de bescherming van persoonsgegevens zo goed mogelijk proberen te beschermen, maar het dataverkeer houdt niet op bij de grenzen. En in weerwil van de steeds frequentere trans-atlantische contacten verkeren de VS en Europa op privacygebied nog steeds in verschillende werelden. In de EU is bescherming van persoonsgegevens een grondrecht en moet de overheid garant staan voor de bescherming hiervan in haar relatie tot de burger, en regels stellen voor de rechten van de burger in zijn rol van consument in de verhouding tot bedrijven. In de VS ligt het initiatief om op te treden tegen misbruik van persoonsgegevens primair bij de burger. Tot op zekere hoogte is de hiervoor reeds genoemde reactie van de hightechbedrijven in de VS op de onthullingen van Snowden tekenend. De bedrijven voelen dat het vertrouwen van hun klanten terugloopt, omdat hun privégegevens bij deze bedrijven niet in veilige handen blijken te zijn. Europa ontwikkelt mede als gevolg daarvan gaandeweg haar eigen silicon valleys. Wellicht bieden deze ontwikkelingen de kans om op de golven van een gemeenschappelijke verontwaardiging de trans-atlantische verschillen tussen de methodieken van privacybescherming op pragmatische wijze aan te pakken. De Amerikaanse consument en de Europese burger hebben immers dezelfde wensen: onbespied door het rechtmatige deel van het leven gaan. Jacob Kohnstamm Voorzitter College bescherming persoonsgegevens 1. Notitie van de minister van Veiligheid en Justitie, de staatssecretaris van Veiligheid en Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties getiteld Vrijheid en veiligheid in de digitale samenleving. Een agenda voor de toekomst, pagina 9. 6 Het CBP in 2013 CBP CBP voorwoord 7

5 Inleiding Het jaar 2013 was voor het College bescherming persoonsgegevens (CBP) een enerverend en succesvol jaar. Het CBP heeft naar een veelheid aan onderwerpen onderzoeken gedaan, handhavend opgetreden, wetgevingsadviezen uitgebracht en externe contacten onderhouden. De bescherming van medische gegevens, gegevensverwerking in de arbeidsrelatie en profilering waren hierbij de belangrijkste thema s. Daarnaast kwamen de wettelijke principes van doelbinding, toestemming, transparantie en beveiliging in het bijzonder terug in de werkzaamheden van het CBP. Iedereen moet erop kunnen rekenen dat met de persoonsgegevens die hij al dan niet bewust afgeeft aan overheden en bedrijven, zorgvuldig wordt omgegaan. Zo moeten overheden en bedrijven een wettelijke grondslag hebben om gegevens te verwerken en mogen zij gegevens niet voor totaal andere doelen gebruiken dan waarvoor zij zijn verkregen. Het is voor de meeste mensen niet meer mogelijk zicht te houden op wat er met hun persoonsgegevens gebeurt en waarvoor die worden gebruikt. Daarom is het zo belangrijk dat bedrijven en overheden hierover heldere informatie geven. Het CBP bevordert door zijn werkzaamheden de naleving van de Wet bescherming persoonsgegevens. In veel gevallen leidt het optreden van het CBP tot beëindiging van de geconstateerde overtredingen. Vaak betekent dit niet alleen dat de onderzochte bedrijven of instellingen volgens de wet gaan handelen, maar dat ook andere bedrijven of instellingen en brancheorganisaties meer aandacht besteden aan de naleving van de wettelijke eisen. Patiëntgegevens Beroemd of onbekend, rijk of arm, iedere patiënt komt dezelfde mate van bescherming tegen onbevoegde inzage van zijn medische gegevens toe. Aan de toegangsbeveiliging van patiëntgegevens schort echter nog het nodige, blijkt uit een groot onderzoek van het CBP bij zorginstellingen, huisartsenposten en apothekers. Door onvoldoende beveiligingsmaatregelen bestaat het risico dat medische dossiers zijn in te zien door medewerkers met wie patiënten geen behandelrelatie hebben. 8 Het CBP in 2013 CBP CBP INLEIDING 9

6 Het CBP meent op basis van het onderzoek, nieuwe signalen en gesprekken met koepelorganisaties dat de aangetroffen situatie op grote schaal voorkomt in de zorgsector. Ook aan het verstrekken van patiëntgegevens door de ene aan de andere instantie in de keten, zoals door een ggz-instelling aan een zorgverzekeraar, zijn stringente eisen gesteld. Dat geldt evenzo bij het verstrekken van medische gegevens aan derden, zoals fabrikanten van medische hulpmiddelen. Dat mag niet zonder de toestemming van de betrokkenen. Het CBP onderzocht de verstrekking van medische gegevens aan een fabrikant van incontinentiemateriaal en concludeerde dat apothekers onvoldoende waarborgen hadden getroffen om de patiëntgegevens te beschermen en daarnaast niet alle patiënten toestemming hadden gevraagd om hun gegevens door te geven aan de fabrikant. Arbeidsrelatie Het is helemaal niet noodzakelijk en bovendien verboden dat werkgevers het medisch doopceel van hun werknemers lichten. Arbodienstverleners, zoals zogeheten verzuimbedrijven en arbodiensten, moeten er dan ook vanzelfsprekend van zijn doordrongen dat zij geen gegevens over de medische behandeling van werknemers doorgeven aan de werkgever. Het CBP deed in 2013 onderzoek bij twee arbodienstverleners. Beide bleken in strijd met de wet medische gegevens van werknemers aan hun opdrachtgever, de werkgever, te verstrekken. Ook op de werkvloer hebben werknemers recht op bescherming van hun persoonlijke levenssfeer. Zo mogen werkgevers beelden van beveiligingscamera s niet gebruiken om hun personeel aan te spreken op hun functioneren. De inzet van verborgen camera s is alleen toegestaan in uitzonderlijke situaties en zeker niet geoorloofd voor trainingsdoeleinden. Het CBP-onderzoek bij Media Markt, waarbij deze beide kwesties aan de orde kwamen, kreeg veel aandacht van pers en publiek. Online gegevens en profilering Gegevens over de programma s die mensen bekijken op tv, de internetsites die zij bezoeken en de apps die zij downloaden, zeggen veel over hun gedrag en voorkeuren. Wat er met deze door telecomaanbieders of app-ontwikkelaars verzamelde gegevens vervolgens gebeurt, onttrekt zich doorgaans aan hun waarneming. Veel mensen zijn zich er niet van bewust dat zij voor veel online diensten betalen met hun persoonsgegevens. Bedrijven en organisaties moeten hen voldoende informeren over het gebruik van hun gegevens en waar nodig hiervoor om toestemming vragen. Het CBP heeft in 2013 onderzoek gedaan naar ongeoorloofde data-analyse (packet inspection) door vier telecomaanbieders. Deze bedrijven bleken onder meer in strijd met de wet op detailniveau gegevens te bewaren over de door hun klanten bezochte websites en apps en hen hierover niet of onjuist te informeren. Ook onderzocht het CBP het verzamelen en bewaren van gegevens over het online kijkgedrag, gebruik van apps en websitebezoek van gebruikers van smart tv s. Kamervragen over het gebruik van cookies op de websites van de Nederlandse Publieke Omroep (NPO) gaven het CBP aanleiding het toepasselijk wettelijk kader toe te lichten. De NPO mag bezoekers de toegang tot de NPO-websites niet weigeren als zij geen toestemming geven voor het laten volgen van hun surfgedrag, aldus het CBP. Over de grens De lopende herziening van de Europese privacyregelgeving is van groot belang voor burgers, bedrijven, overheden en de privacytoezichthouders. Het CBP heeft zich dan ook op nationaal en Europees niveau intensief ingezet voor een EU-verordening die past bij de huidige tijdgeest en die een voldoende beschermingsniveau biedt. In de Raad van ministers van Justitie en Binnenlandse Zaken van de Europese Unie was echter eind 2013 op een aantal cruciale onderdelen van de nieuwe privacywetgeving nog geen politieke overeenstemming bereikt, hetgeen vertraging oplevert voor de onderhandelingen tussen de Europese Commissie, de Raad en het Europees Parlement. Los van de ontwikkelingen rond een nieuwe EU-privacyverordening zet het CBP actief in op toenemende samenwerking tussen de privacytoezichthouders, niet alleen binnen Europa maar ook mondiaal. Dat is ook onontbeerlijk gezien het grensoverschrijdende karakter van veel gegevensverwerkingen. Zo heeft het CBP samen met de Canadese toezichthouder onderzoek gedaan naar WhatsApp en samen met andere Europese toezichthouders naar de nieuwe privacyvoorwaarden van Google. De onthullingen over surveillanceprogramma s van de Amerikaanse en Europese inlichtingendiensten, in het bijzonder de NSA, hebben wereldwijd veel stof doen opwaaien. Jacob Kohnstamm, voorzitter van het CBP en van de Artikel 29-werkgroep van Europese privacytoezichthouders, heeft namens deze werkgroep in twee brieven aan de Europese Commissie ernstige zorgen geuit over de privacygevolgen voor Europese burgers. Ook heeft Kohnstamm op verzoek van de Europese Commissie plaatsgenomen in een ad hoc-werkgroep van de EU en de VS die onderzoek heeft gedaan naar de inhoud en rechtmatigheid van de verschillende Amerikaanse surveillanceprogramma s. Bovendien zijn het CBP en de Belgische privacytoezichthouder eind 2013 een gezamenlijk onderzoek gestart naar mogelijk onrechtmatige toegang door derden tot de bankgegevens van Europese burgers bij de organisatie SWIFT. > Deze publicatie behandelt de belangrijkste werkzaamheden van het CBP in Meer informatie en de cijfers van dat jaar zijn te vinden in de online bijlage: Daarnaast is er de samenvatting Het CBP in vogelvlucht, die zowel op papier als online beschikbaar is: 10 Het CBP in 2013 CBP CBP inleiding 11

7 Apothekers zijn net als andere zorgverleners gebonden aan het medisch beroepsgeheim. Zij hebben de plicht hun patiëntgegevens vertrouwelijk te behandelen en adequaat te beveiligen.

8 Gezondheidszorg Medische gegevens zijn per definitie privacygevoelig. De beveiliging van deze gegevens moet dan ook aan de hoogste normen voldoen. Mensen moeten erop kunnen vertrouwen dat zorgverleners zorgvuldig omgaan met de medische gegevens die zij hun toevertrouwen en dat deze niet in verkeerde handen terechtkomen. Onvoldoende beveiliging tegen inzage door onbevoegden Zorginstellingen Na een uitgebreid onderzoek bij negen zorginstellingen concludeerde het CBP dat zorginstellingen onvoldoende maatregelen treffen om ervoor te zorgen dat uitsluitend bevoegde medewerkers van ziekenhuizen, ggz-instellingen of huisartsenposten toegang hebben tot digitale patiëntendossiers en andere medewerkers dus niet. Die instellingen gaan onzorgvuldig om met de medische gegevens van hun patiënten en overtreden zo de wet. Medewerkers van een zorginstelling mogen alleen dán toegang krijgen tot patiëntgegevens als zij een behandelrelatie met de betreffende patiënt hebben of als de toegang noodzakelijk is voor de beheersmatige afwikkeling van de behandeling. Daarnaast moeten de instellingen bijhouden wie welke dossiers raadpleegt (loggen) en dit controleren. Het CBP gaat er op basis van het onderzoek, nieuwe signalen en gesprekken met koepelorganisaties vanuit dat de aangetroffen situatie op grote schaal voorkomt in de zorgsector. Een aantal onderzochte instellingen heeft inmiddels maatregelen genomen. Vooral de onderzochte ziekenhuizen moeten echter nadere stappen zetten wil er sprake zijn van naleving van de wet. Als het CBP constateert dat de instellingen de overtredingen niet beëindigen, zal het CBP handhavend optreden. > Lees het onderzoeksrapport: Huisartsenposten Het CBP onderzocht op basis van een steekproef drie huisartsenposten om te bekijken of deze voldoen aan de eisen die gelden voor een adequate beveiliging van patiëntgegevens. Daaronder vallen bijvoorbeeld de eis van unieke gebruikersidentificatie, zoals een pas op naam, en de eis van zogeheten tweefactorauthenticatie om toegang te kunnen krijgen tot het systeem, bijvoorbeeld een chipcard in combinatie met een pincode. Als deze eisen niet worden nageleefd, bestaat het risico dat medewerkers gegevens kunnen inzien van personen met wie zij geen behandelrelatie hebben. Geen van de drie huisartsenposten voldeed aan alle beveiligingseisen. De voornaamste gebreken waren het gebruik van al dan niet algemene leenpassen, waardoor de patiëntinformatie van alle patiënten in de hele regio kon worden ingezien, het kunnen inloggen met uitsluitend een wachtwoord en onvoldoende controle op de loggegevens. De onderzochte huisartsenposten hebben naar aanleiding van het onderzoek de overtredingen beëindigd. Huisartsen en apothekers Online aanvragen voor herhaalrecepten worden vaak over een onbeveiligde verbinding verzonden. Dit blijkt uit een steekproef die het CBP in de eerste helft van 2013 uitvoerde onder 150 websites van huisartsen en apotheken. Bijna een derde van de sites bleek op dit punt onbeveiligd. Hierdoor kunnen derden medische informatie eenvoudig meelezen, verwijderen of aanpassen. Huisartsen en apothekers die niet zorgen voor een goed beveiligde verbinding (bijvoorbeeld te zien aan https in de URL) handelen in strijd met de Wet bescherming persoonsgegevens. Het CBP zal vervolgonderzoek doen om te controleren of huisartsen en apothekers de verbindingen hebben beveiligd. Apothekers Apothekers zijn net als andere zorgverleners gebonden aan het medisch beroepsgeheim. Zij hebben de plicht hun patiëntgegevens vertrouwelijk te behandelen, adequaat te beschermen en te beveiligen. Naar aanleiding van berichten dat dit niet altijd goed gebeurt, heeft het CBP een steekproefonderzoek gedaan bij acht apotheken. Alle onderzochte apotheken bleken tekort te schieten. Zo hadden vier apotheken niet alle vereiste maatregelen genomen om ervoor te zorgen dat alleen bevoegde personen toegang hebben tot hun patiëntgegevens. Er werd alleen van wachtwoorden gebruikgemaakt om in te loggen in plaats van de vereiste tweefactorauthenticatie. Het CBP zal controleren in hoeverre de geconstateerde overtredingen nog voortduren. Verstrekking medische gegevens Verstrekking van gegevens door apothekers aan fabrikanten Bij vier andere apotheken is onderzoek gedaan naar de verstrekking van medische 14 Het CBP in 2013 CBP CBP gezondheidszorg 15

9 gegevens aan een fabrikant van incontinentiemateriaal. Aanleiding voor dit onderzoek waren berichten dat deze fabrikant patiënten met incontinentieproblemen telefonisch benaderde voor een zogeheten TENA Consult. In zo n consult werden onder meer vragen gesteld over de mate van incontinentie. Het TENA Consult zou plaatsvinden in samenwerking met apotheken en als doel hebben een zogenoemd patiëntprofiel te bepalen. Aan de hand van de patiëntprofielen wordt in de overeenkomst tussen apotheken en zorgverzekeraars vastgesteld op welke materiaalvergoeding patiënten recht hebben. Apotheken kunnen het opstellen van deze profielen uitbesteden aan derden, zogeheten bewerkers. Het CBP constateerde dat de apothekers onvoldoende waarborgen hadden getroffen om de patiëntgegevens te beschermen. Zo ontbrak een bewerkersovereenkomst tussen de apotheken en de fabrikant, waarin afspraken opgenomen moeten zijn over onder meer de beveiliging van de gegevens en het doel waarvoor de bewerker de verschillende gegevens verwerkt. Inmiddels heeft de fabrikant met de onderzochte apothekers met wie nog wordt samengewerkt een bewerkersovereenkomst gesloten, waardoor de overtredingen op dit punt zijn beëindigd. Uit het onderzoek bleek ook dat niet alle apothekers aan alle patiënten toestemming hadden gevraagd om hun patiëntgegevens door te geven aan de fabrikant. Dat was in De voorstellen leveren een aanzienlijke wijziging op van taken en verantwoordelijkstrijd met de wet. Deze overtredingen zijn inmiddels beëindigd, ofwel omdat patiënten alsnog toestemming hebben gegeven ofwel omdat de gegevens van patiënten die geen toestemming hebben gegeven zijn vernietigd. Verstrekking van gegevens door ggz aan zorgverzekeraars Het CBP heeft een advies uitgebracht over het voorstel tot wijziging van de Regeling zorgverzekering en geadviseerd deze niet zo in te voeren. In het voorstel wordt het aantal persoonsgegevens dat hulpverleners in de geestelijke gezondheidszorg (ggz) aan zorgverzekeraars moeten doorgeven uitgebreid. Voortaan zouden de hulpverleners niet alleen verplicht zijn de diagnosebehandelcombinatie (DBC) door te geven, maar ook de zogeheten zorgvraagzwaarteindicator. Dit is een getal dat een indicatie geeft van de aard en omvang van de hulpverlening. De bedoeling van het voorstel is om door zorgverzekeraars ervaren knelpunten in de wettelijk verplichte controle op declaraties weg te werken. Voor beide soorten medische gegevens geldt dat zij uiterst privacygevoelig zijn. Deze gegevens raken de kern van het privéleven van de betrokken persoon en daarom moet uiterst zorgvuldig en terughoudend worden omgegaan met patiëntgegevens en met doorgifte hiervan aan derden die niet bij de behandeling betrokken zijn. Het CBP adviseert om de wettelijk verplichte verstrekking van informatie over de zorgvraagzwaarte te beperken tot die diagnosegroepen waarvoor het aannemelijk is dat de daaraan verbonden indicator ook daadwerkelijke voorspellende waarde heeft voor de behandelinzet. Onderzoek toont namelijk aan dat dit niet altijd het geval is. Verder adviseert het CBP de effecten van de invoering van de zorgvraagzwaarte-indicator zorgvuldig te monitoren voordat wordt besloten tot bredere invoering. Tot slot adviseert het CBP twee uitzonderingen op de verplichte verstrekking mogelijk te maken, namelijk ten eerste als de verzekerde de rekening zelf betaalt en ten tweede als patiënt en hulpverlener een zogeheten privacyverklaring ondertekenen. Wet Langdurige Intensieve Zorg Het CBP bracht in 2013 een kritisch advies uit over het wetsvoorstel Langdurige Intensieve Zorg (LIZ). Dit wetsvoorstel maakt onderdeel uit van de hervorming van de langdurige zorg. Hierbij is sprake van gedeeltelijke overheveling van de verantwoordelijkheid voor die zorg naar gemeenten en zorgverzekeraars. Het CBP heeft in dat verband ook geadviseerd over de voorstellen voor de Wet maatschappelijke ondersteuning 2015 (Wmo 2015) en de Jeugdwet (zie hiervoor het hoofdstuk Overheid van dit jaarverslag). heden van diverse instanties. Gelet hierop heeft het CBP al opgemerkt dat het noodzakelijk is om tot een meer overkoepelende en onderbouwde visie op de verwerking van persoonsgegevens te komen. Transparantie over de verwerking van persoonsgegevens is hierbij een belangrijk aandachtspunt. Het CBP constateert dat ook in het wetsvoorstel LIZ geen onderbouwde visie op de verwerking van persoonsgegevens aanwezig is. Het CBP adviseert daarom te voorzien in een grondige beschouwing over de verwerking van persoonsgegevens in de nieuwe situatie zoals beschreven in het wetsvoorstel. Deze verwerking moet ook in samenhang worden bekeken met de veranderingen vanuit de voorstellen voor de Wmo 2015 en de Jeugdwet, die aanleiding kunnen geven tot gegevensuitwisseling bij het afstemmen van de uitvoering van die wetten. Het CBP acht het daarbij van belang dat het wetsvoorstel LIZ voldoende specificeert over welke gegevens instanties mogen beschikken voor welke taak en welke gegevens ze daarbij aan elkaar moeten verstrekken. Het CBP adviseert ook in het wetsvoorstel LIZ een wettelijke verplichting op te nemen voor het door derden verstrekken van gegevens die noodzakelijk zijn voor de zogeheten indicatiestelling. Toestemming kan hiervoor namelijk niet als grondslag dienen, omdat de mensen om wie het gaat bij dit soort gegevens feitelijk niet in vrijheid toestemming kunnen geven. 16 Het CBP in 2013 CBP CBP gezondheidszorg 17

10 Verwerking persoonsgegevens door zorgverzekeraars Bij uitspraak van de Rechtbank Amsterdam van 13 november 2013 is het besluit van het CBP tot afgifte van een goedkeurende verklaring voor de Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars met bijbehorend Protocol Materiële Controle (d.d. 13 december 2011) van Zorgverzekeraars Nederland vernietigd. De Rechtbank Amsterdam heeft in die uitspraak een aantal beroepsgronden tegen de afgifte van die goedkeurende verklaring, zoals aangevoerd door de Stichting Koepel van DBC-vrije Praktijken van Psychotherapeuten en Psychiaters, gegrond verklaard. De rechtbank oordeelt dat de gedragscode onvoldoende waarborgen bevat voor de veilige en voldoende beschermde verwerking van medische gegevens. Zorgverzekeraars Nederland heeft op 17 december 2013 hoger beroep ingesteld tegen de uitspraak van de Rechtbank Amsterdam bij de afdeling Bestuursrechtspraak van de Raad van State. Omdat Zorgverzekeraars Nederland binnen de door de rechter vastgestelde termijn van zes weken geen aan de uitspraak aangepaste gedragscode ter goedkeuring aan het CBP heeft voorgelegd, heeft het CBP op 19 december 2013 een nieuw besluit genomen, dat het verzoek van Zorgverzekeraars Nederland tot afgifte van een goedkeurende verklaring voor de gedragscode afwijst. 18 Het CBP in 2013 CBP CBP gezondheidszorg 19

11 Arbodienstverleners mogen geen gevoelige medische informatie van zieke werknemers, zoals aard en oorzaak van de ziekte, medicijngebruik en behandeling, doorgeven aan de werkgever.

12 Arbeidsrelatie Onder werktijd heeft iemand niet dezelfde vrijheden als daarbuiten. Het grondrecht op de bescherming van persoonsgegevens geldt echter ook op de werkvloer. Naleving van dit recht vergt temeer aandacht omdat werknemers in een afhankelijke positie staan ten opzichte van hun werkgever. Verwerking medische gegevens personeel Doorgeven medische gegevens aan werkgever Voor de re-integratie en begeleiding van zieke werknemers mag een arbodienst gebruikmaken van een beperkt aantal noodzakelijke medische persoonsgegevens van deze werknemers. Dit betreft onder meer gegevens over de verwachte duur van het verzuim en de mate waarin een werknemer arbeidsongeschikt is. Een verzuimbedrijf dat de verzuimbegeleiding uitvoert voor de werkgever mag in beginsel ook alleen deze beperkte set medische gegevens verwerken en verstrekken aan de werkgever. Ook een gecertificeerde arbodienst mag voor verzuimbegeleiding slechts een beperkt aantal medische gegevens verstrekken aan de werkgever. Gevoelige medische informatie, zoals de aard en de oorzaak van de ziekte, medicijngebruik en behandeling, mogen deze arbodienstverleners niet doorgeven aan de werkgever. Het CBP heeft bij twee arbodienstverleners een gecertificeerde arbodienst en een verzuimbedrijf geconstateerd dat zij in strijd met de wet medische gegevens van werknemers verwerkten. Het verzuimbedrijf heeft naar aanleiding van het onderzoek van het CBP de overtredingen beëindigd. De arbodienst, waar het ging het om de gegevens van bijna werknemers, is onderwerp van nadere controle. > Lees het persbericht van het CBP: Melden medicijngebruik Een bedrijf riep in een nieuwsbrief aan zijn personeel alle medewerkers op hun medicijn- doosjes af te geven, om controle mogelijk te maken op medicijngebruik dat van invloed kan zijn op de rijvaardigheid. Dit gebeurde om de veiligheid op de werkvloer, waar met heftrucks wordt rondgereden, te verhogen. De ondernemingsraad van het bedrijf gaf over deze oproep een signaal af bij het CBP. Ingrijpen van het CBP leidde er uiteindelijk toe dat de werkwijze is aangepast en werknemers het medicijngebruik niet bij de werkgever moeten melden maar bij de bedrijfsarts. Ziekmelding werknemers Het CBP ontving ook een signaal over het beleid van een groot bedrijf ten aanzien van de ziekmelding van werknemers. Bij de ziekmelding vroeg de werkgever aan de werknemer naar de aard en oorzaak van de ziekte. Na tussenkomst van het CBP heeft het bedrijf zijn beleid en de documenten waarin de werkwijze bij ziekmelding is beschreven aangepast. Ook is de verzuimapplicatie gewijzigd waarin de leidinggevenden aard en oorzaak van de ziekte invoerden. De reeds verzamelde medische gegevens zijn vernietigd. Cameratoezicht op personeel Heimelijk filmen van personeel Het CBP heeft na onderzoek geconcludeerd dat het bedrijf Media Markt in strijd met de wet zijn personeel heimelijk heeft gefilmd. In het voorjaar van 2013 ontving het CBP diverse signalen vanuit de media en van betrokkenen over het gebruik van (heimelijke) cameraobservaties door Media Markt. Uit het onderzoek van het CBP bleek dat Media Markt mystery shoppers met verborgen camera s inzette die in verschillende vestigingen het personeel filmden in het kader van een training. Vervolgens werd het personeel met deze beelden in groepsverband geconfronteerd. Ook bleek uit het onderzoek dat het management van Media Markt medewerkers heeft aangesproken op hun functioneren op basis van camerabeelden van beveiligingscamera s. Media Markt heeft eveneens met behulp van deze beveiligingsbeelden een klacht afgehandeld. Het aanspreken van personeel en het afhandelen van klachten zijn onverenigbaar met het doel van de opnamen van beveiligingscamera s en daarmee ook in strijd met de wet. Het CBP heeft begin januari 2014 zijn onderzoeksresultaten gepubliceerd en zal nog besluiten of het opleggen van sanctionerende maatregelen noodzakelijk is. > Lees het onderzoeksrapport: Onjuist gebruik beveiligingsbeelden Zoals hiervoor bij het onderzoek naar Media Markt al naar voren kwam, mag een bedrijf zijn werknemers niet aanspreken op hun gedrag op basis van camerabeelden die zijn gemaakt met het oog op beveiliging. Het CBP heeft een opslagbedrijf dat zich schuldig maakte aan dit soort praktijken 22 Het CBP in 2013 CBP CBP arbeidsrelatie 23

13 gemeld dat dit een onverenigbaar gebruik is van beveiligingscamera s. Het bedrijf heeft hierop aangegeven te zijn gestopt met deze verwerking. Onterecht beoordelingscriterium Voor werknemers die na een periode van detachering bij hun bedrijf terugkeerden, telde bij hun beoordeling mee of ze al dan niet een (bijgewerkt) LinkedIn-profiel hadden. Deze beoordeling bepaalde de hoogte van de bonus voor de werknemer. Na een signaal hierover van een werknemer die zijn gegevens liever niet op internet wil plaatsen, heeft het CBP het betreffende bedrijf vragen gesteld over de werkwijze. Het bedrijf gaf hierop zelf aan geen geldige grondslag te hebben om mensen te verplichten een LinkedIn-profiel aan te maken c.q. bij te houden. Het bedrijf heeft de beoordelingsformulieren aangepast en de leidinggevenden geïnformeerd dat het al dan niet hebben van een (bijgewerkt) LinkedIn-profiel geen rol mag spelen in de beoordeling. vernietigd. Daarmee zijn de overtredingen van de Wet bescherming persoonsgegevens beëindigd. Onderzoek van het CBP in 2012 wees uit dat BJZ NB in strijd met de wet psychologischetestresultaten van zijn werknemers verzamelde. Alle werknemers van BJZ NB waren sinds 2011 verplicht mee te werken aan een assessment voor personeelsbeoordeling en -ontwikkeling. Uit het onderzoek kwam onder meer naar voren dat er voor de verwerking van de testresultaten geen wettelijke grondslag was, omdat van vrijelijk gegeven toestemming van de werknemers geen sprake was. Het CBP oordeelde ook dat het verplicht laten afnemen van een assessment door alle medewerkers niet noodzakelijk is voor de bedrijfsvoering. Een deel van de testresultaten, de functiegerelateerde competenties, was behalve door de betreffende medewerker ook in te zien door de leidinggevende. De gegevens die bij de testen werden verzameld zijn gevoelig van aard. Zij zeggen iets over de psychische gesteldheid, vaardigheden en beperkingen van betrokkenen. Testgegevens vernietigd Naar aanleiding van onderzoek van het CBP heeft Bureau Jeugdzorg Noord-Brabant (BJZ NB) in 2013 aangegeven de resultaten van psychologische tests van zijn werknemers niet langer te gebruiken en deze te hebben 24 Het CBP in 2013 CBP CBP arbeidsrelatie 25

14 Een smartphonegebruiker heeft gemiddeld zo n 37 apps gedownload. Apps kunnen enorme hoeveelheden gegevens van die persoon verwerken, bijvoorbeeld door toegang tot contacten en foto s.

15 Internet en telecom Veel mensen zijn zich er niet van bewust dat zij voor online diensten vaak betalen met hun persoonsgegevens. Bedrijven en organisaties moeten hen voldoende informeren over het gebruik van hun gegevens en waar dat wettelijk verplicht is, hiervoor toestemming vragen. Gegevens online kijkgedrag op smart tv s Waar je online naar kijkt op tv, bijvoorbeeld via Uitzending gemist, welke apps je downloadt of welke sites je bezoekt: deze gegevens worden door het bedrijf TP Vision verzameld en bewaard. De gegevens kunnen een indringend beeld geven van iemands gedrag en belangstelling. TP Vision is de producent van Philips-televisies met internetfunctionaliteiten, beter bekend als smart tv s. Op basis van de gegevens doet TP Vision persoonlijke kijkaanbiedingen en wil het bedrijf gepersonaliseerde advertenties gaan tonen. Door het gebrek aan heldere informatie zijn gebruikers zich hiervan vaak niet bewust. Bovendien worden tv-kijkers hierdoor niet in staat gesteld om rechtsgeldige toestemming te geven voor de verwerking van hun persoonsgegevens. TP Vision handelt op deze manier in strijd met de Wet bescherming persoonsgegevens, zo oordeelde het CBP na onderzoek. Volgend op dit onderzoek heeft het bedrijf een deel van de overtredingen betreffende de informatieplicht beëindigd. Het bedrijf heeft de gebruiksvoorwaarden uitgebreid met een privacystatement en een cookiebeleid en hierin informatie opgenomen over de bewaartermijnen van de gegevens. Deze aanpassingen waren bij sluiting van het onderzoek in juli 2013 echter zodanig dat het voor een gebruiker nog steeds onvoldoende inzichtelijk was dat TP Vision de zogeheten verantwoordelijke is (voor de gegevensverwerking), welke cookies het bedrijf plaatst, welke persoonsgegevens het verzamelt en hoe lang het deze bewaart. De informatie in de gebruiksvoorwaarden, het privacystatement en het cookiebeleid waren op dat moment inconsistent en onvoldoende publiek toegankelijk. Het privacystatement en het cookiebeleid waren bij sluiting van het onderzoek bijvoorbeeld alleen in het Engels beschikbaar. TP Vision gebruikt cookies om persoonsgegevens van de gebruikers te verzamelen. TP Vision heeft naar aanleiding van het onderzoek een toestemmingsvraag ingevoerd voor cookies die het kijkgedrag vastleggen, om persoonlijke kijkaanbiedingen te kunnen doen. Door het ontbreken van volledige en duidelijke informatie is deze toestemming echter niet rechtsgeldig. Voor advertentiecookies en de cookies waarmee TP Vision het appgebruik en websitebezoek vastlegt, vraagt het bedrijf helemaal geen toestemming. Als het CBP constateert dat de overtredingen niet alle worden beëindigd, zal het CBP handhavend optreden. > Lees het persbericht van het CBP: Apps Europese privacytoezichthouders Een smartphonegebruiker heeft gemiddeld zo n 37 apps gedownload. Apps kunnen enorme hoeveelheden, vaak intieme, persoonsgegevens van die gebruiker verwerken, onder meer door toegang tot de contactenlijst en het fotoalbum of door het gebruik van locatiegegevens. Dit gebeurt vaak zonder dat gebruikers hierover goed zijn geïnformeerd en zonder dat zij hiervoor vrijelijk toestemming hebben kunnen geven. Dit is in strijd met de Europese privacyregelgeving. Daarbij komt nog het privacyrisico dat sommige apps veel meer gegevens gebruiken dan noodzakelijk voor de werking van de app en rekbare doeleinden formuleren voor de gegevensverwerking, zoals marktonderzoek. Ook onvoldoende beveiligingsmaatregelen in de app vormen een risico. Slechte beveiliging van de app kan ertoe leiden dat (gevoelige) persoonsgegevens in handen van anderen komen, bijvoorbeeld door een datalek. De gezamenlijke Europese privacytoezichthouders hebben in een opinie van 14 maart 2013 de grootste privacyrisico s van apps in kaart gebracht en de concrete verplichtingen uitgewerkt waaraan app-ontwikkelaars en alle andere betrokken partijen bij de ontwikkeling en distributie van apps moeten voldoen. Andere partijen zijn onder meer app stores, advertentiebedrijven en fabrikanten van besturingssystemen. In de opinie is speciale aandacht voor apps gericht op kinderen. Internationale privacytoezichthouders Tijdens hun jaarlijkse conferentie in september 2013 hebben privacytoezichthouders van over de hele wereld aangekondigd de privacy van appgebruikers te willen verbeteren en verschillende spelers in de app-industrie aan te spreken en te wijzen op hun verantwoordelijkheden. Indien nodig zullen de privacytoezichthouders gezamenlijk 28 Het CBP in 2013 CBP CBP i nternet en telecom 29

16 handhavend optreden. De discussies over de verappisering van de samenleving leidden tot een slotverklaring met als teneur dat de toezichthouders het gemak en het plezier die apps bieden zeker niet willen bederven, maar dat zij wel misbruik van persoonsgegevens willen tegengaan. Het is belangrijk dat gebruikers zeggenschap houden over hun eigen gegevens. Zij moeten zelf kunnen beslissen welke informatie zij met wie delen en voor welke doelen. Zij moeten niet verrast worden door verborgen functies van de app die zorgen voor geheime overdracht van gegevens. App-ontwikkelaars moeten voldoen aan diverse bestaande privacywet- en regelgeving. Om dat te bereiken én tegelijk een gebruiksvriendelijke app te blijven aanbieden, is het van belang dat al bij de ontwikkeling van een app wordt nagedacht over privacyaspecten. Op deze manier kan privacy ook een concurrentievoordeel opleveren, omdat het product aan consumentenvertrouwen wint. Daarnaast hebben ook de aanbieders van mobiele platforms een verantwoordelijkheid: zij moeten ervoor zorgen dat ook mobiele apparaten over duidelijke en gedetailleerde privacyinstellingen beschikken. > Lees meer over privacy bij apps: Onderzoek WhatsApp In januari 2013 heeft het CBP samen met de Canadese privacytoezichthouder de bevindingen gepubliceerd van het gezamenlijke onderzoek naar de verwerking van persoonsgegevens door WhatsApp. De privacytoezichthouders constateerden in hun onderzoek meerdere overtredingen van de privacywetten. De beveiliging van de app was op verschillende punten onder de maat. Zo bleek tijdens het onderzoek dat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden derden de inhoud daarvan in leesbare vorm onderscheppen, zonder dat de oorspronkelijke whatsapper daar weet van had. Naar aanleiding van het onderzoek heeft WhatsApp maatregelen genomen om het berichtenverkeer te versleutelen. Een andere geconstateerde overtreding is dat gebruikers van WhatsApp verplicht zijn toegang te geven tot het volledige adresboek op hun telefoon. Het bedrijf verzamelt vervolgens álle telefoonnummers uit die adresboeken, ook de nummers van contacten die geen WhatsApp gebruiken. Gebruikers kunnen er niet voor kiezen om alleen de nummers door te geven van contacten met wie zij ook echt willen whatsappen. Hierdoor hebben dus niet alleen de WhatsApp-gebruikers geen zeggenschap over welke gegevens zij willen delen, maar geldt dit zelfs voor mensen die de app niet gebruiken. Alleen de iphone met het besturingssysteem ios 6 biedt de mogelijkheid om per app de toegang tot het adresboek uit of aan te zetten. Het CBP bekijkt thans in hoeverre de geconstateerde overtredingen voortduren en beslist vervolgens of het handhavende maatregelen neemt. Data-analyse door telecomaanbieders Het CBP heeft in juni 2013 gerapporteerd over zijn uitvoerige onderzoek naar analyse van het dataverkeer (packet inspection) over het mobiele netwerk door de telecomaanbieders KPN, Tele2, T-Mobile en Vodafone. Deze vier telecomaanbieders zijn de grootste mobielenetwerkaanbieders in Nederland. Bij alle bedrijven zijn overtredingen van de Wet bescherming persoonsgegevens en de Telecommunicatiewet vastgesteld. De bedrijven bleken onder meer in strijd met de wet op detailniveau gegevens te bewaren over de door hun klanten bezochte websites en gebruikte apps. Dergelijke gegevens moeten op basis van de wet zo snel mogelijk na het verzamelen worden verwijderd of onomkeerbaar worden geanonimiseerd. Gegevens over bezochte websites en gebruikte apps via de mobiele telefoon zeggen veel over het gedrag en de voorkeuren van mensen. Het is in veel gevallen niet noodzakelijk om deze gegevens op klantniveau te bewaren. Uit het onderzoek kwam ook naar voren dat de telecomaanbieders klanten niet of onjuist informeren over het feit dat zij gedetailleerde informatie over hen verzamelen en wat zij hiermee doen. Dit gebrek aan transparantie is ook in strijd met de wet. De vier telecomaanbieders hebben naar aanleiding van het onderzoek een deel van de overtredingen beëindigd. KPN heeft inmiddels alle overtredingen stopgezet, de andere drie aanbieders nog niet (geheel). Bij voortduring van deze overtredingen beslist het CBP of het handhavende maatregelen zal nemen. Voorstel brief- en telecommunicatiegeheim Artikel 13 van de Grondwet (Gw) ziet op de bescherming van het brief-, telefoon- en telegraafgeheim. De regering wil dit artikel moderniseren, zodat voortaan ook digitale communicatiemiddelen eronder vallen. Het aldus voorgestelde brief- en telecommunicatiegeheim richt zich primair tegen (heimelijke) inzage door de overheid in de inhoud van communicatie. Het CBP heeft bezwaar tegen het wetsvoorstel en adviseert het niet in de huidige vorm in te dienen. De hoofdpunten uit het CBP-advies betreffen: Verkeersgegevens Verkeersgegevens (informatie over de communicatie, zoals wanneer en hoe lang iemand heeft gebeld of geïnternet) worden niet primair beschermd in het voorgestelde artikel 13 Gw, in tegenstelling tot de communicatie-inhoud. Het CBP adviseert ook verkeersgegevens onder de bescherming van artikel 13 te laten vallen, onder meer omdat deze gegevens ook veel over iemand kunnen zeggen. Geïnformeerde toestemming Het CBP adviseert de passages over informed consent in de toelichting bij 30 Het CBP in 2013 CBP CBP i nternet en telecom 31

17 het wetsvoorstel zodanig aan te passen dat alle drie de voorwaarden voor een geldige toestemming voor de gegevensverwerking op grond van de Wet bescherming persoonsgegevens (vrij, specifiek en geïnformeerd) worden genoemd. Beperkingen Het CBP merkt op dat de toelichting ruimte laat voor de mogelijkheid dat de burger minder bescherming zou kunnen ontlenen aan het voorgestelde artikel 13 Gw dan aan artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM). Dat heeft te maken met de ruimere mogelijkheden in artikel 13 tot beperking van het grondrecht. Deze keuze is onvoldoende gemotiveerd. Bescherming persoonsgegevens in randapparatuur Gegevens opgeslagen in randapparatuur, zoals een pc, tablet of smartphone, worden niet beschermd in het voorgestelde artikel 13 Gw. Het CBP adviseert ook deze gegevens onder de bescherming van artikel 13 te laten vallen. Cookies Cookies zijn kleine bestandjes die bedrijven en organisaties op computers van hun websitebezoekers plaatsen. Hiermee kunnen zij het zoek- en klikgedrag van de bezoekers volgen. Er zijn verschillende soorten cookies. Functionele cookies zijn (technisch) noodzakelijk voor de communicatie of voor door de bezoeker gevraagde dienstverlening. Niet-functionele cookies zijn onder meer analytische cookies, waarmee het websitegebruik in kaart kan worden gebracht, en tracking cookies, waarmee het gedrag van bezoekers over meerdere websites gevolgd kan worden, bijvoorbeeld voor reclamedoeleinden. Op het gebruik van cookies zijn de Telecommunicatiewet en de Wet bescherming persoonsgegevens van toepassing. Sinds 5 juni 2012 geldt op grond van de Telecommunicatiewet dat websites toestemming moeten vragen aan hun bezoekers voor het gebruik van alle niet-functionele cookies. Deze toestemming moet uit vrije wil zijn gegeven, specifiek zijn en op voldoende informatie zijn gebaseerd om rechtsgeldig te zijn. Gebruik cookies door publieke omroep De Nederlandse Publieke Omroep (NPO) mag bezoekers de toegang tot de NPO-websites niet weigeren als zij geen toestemming geven voor het laten volgen van hun surfgedrag. Deze verduidelijking van het toepasselijk wettelijk kader heeft het CBP gegeven naar aanleiding van Kamervragen over het gebruik van cookies op de websites van de NPO. Van in vrijheid gegeven rechtsgeldige toestemming van de bezoeker is hierbij namelijk geen sprake, omdat de NPO geen andere keuze biedt dan (in een keer) toestemming te geven voor alle soorten cookies, inclusief tracking cookies. Wie deze toestemming weigert, krijgt geen toegang tot de met publiek geld verspreide informatie en uitzendingen van de publieke omroepen, waarvoor ook nog eens geen (digitaal) alternatief beschikbaar is. Aanpassing cookiebepaling Het CBP heeft geadviseerd over aanpassing van de cookiebepaling (conceptwetsvoorstel tot aanpassing van artikel 11.7a van de Telecommunicatiewet). Websites die alleen cookies met geringe privacygevolgen gebruiken bijvoorbeeld analytische cookies waarmee níet het surfgedrag van de internetgebruiker wordt gevolgd hoeven hierover volgens dit wetsvoorstel niet te informeren en hiervoor ook geen toestemming te verkrijgen van de betrokken internetgebruiker. Deze uitzondering geldt nu al voor functionele (technisch noodzakelijke) cookies. Het CBP heeft geen inhoudelijke bezwaren tegen deze voorgestelde extra uitzondering. Een tweede hoofdpunt uit het CBP-advies betreft het toestemmingsvereiste voor het gebruik van cookies. Het CBP onderschrijft de in de toelichting op het conceptwetsvoorstel gegeven uitleg van de term toestemming. In de toelichting wordt nader uitgelegd op welke wijze aan het toestemmingsvereiste kan worden voldaan. Onder omstandigheden kan ook uit het gedrag van de betrokken gebruiker diens toestemming worden afgeleid. Daarbij geldt dat toestemming altijd moet zijn gebaseerd op een voorafgaande, vrije, specifieke en geïnformeerde keuze van de gebruiker en dat de toestemming moet blijken uit een actieve handeling. > Bekijk veelgestelde vragen over cookies en de Wet bescherming persoonsgegevens: Privacyvoorwaarden Google Per 1 maart 2012 heeft Google nieuwe privacyvoorwaarden ingevoerd, die de mogelijkheid introduceren om persoonsgegevens te combineren die via verschillende Google-diensten worden verkregen. Dit is in strijd met de Wet bescherming persoonsgegevens, concludeerde het CBP na onderzoek. De onderzoeksresultaten zijn eind november 2013 gepubliceerd. Het CBP heeft Google inmiddels uitgenodigd voor een hoorzitting, waarna de toezichthouder zal beslissen over de inzet van handhavende middelen. Google bereikt met zijn online diensten vrijwel elke Nederlander met internettoegang. Het is bijna onmogelijk om op internet niet van Google-diensten gebruik te maken. Google combineert gegevens uit deze diensten deels van gevoelige aard, zoals betalingsinformatie, locatiegegevens en surfgedrag over meerdere websites onder meer om gepersonaliseerde advertenties te kunnen tonen. Google informeert internetgebruikers echter onvoldoende over om welke gegevens het gaat en voor welk doel het bedrijf gegevens koppelt. Bovendien biedt Google geen (voorafgaande) keuze- 32 Het CBP in 2013 CBP CBP i nternet en telecom 33

18 mogelijkheid om hiermee in te stemmen of dit te weigeren. De door de wet vereiste toestemming kan in ieder geval niet worden verkregen via aanvaarding van de algemene (privacy)voorwaarden. Het CBP-onderzoek naar Google was het Nederlandse vervolg op een onderzoek van de Europese toezichthouders naar de wereldwijd geldende privacyvoorwaarden voor de gebruikers van alle diensten van Google. De bevindingen van dat onderzoek zijn in oktober 2012 gepubliceerd. Na dit vooronderzoek hebben zes privacytoezichthouders, in Frankrijk, Duitsland, Groot- Brittannië, Italië, Spanje en Nederland, besloten om ook op nationaal niveau onderzoek te doen op basis van hun eigen privacywetgeving. > Lees het persbericht van het CBP: Google Glass Al langere tijd benadrukken privacytoezichthouders dat het belangrijk is om al in de ontwerpfase van een product of dienst rekening te houden met privacygevoelige elementen en voldoende waarborgen in te bouwen om persoonsgegevens goed te beschermen en te beveiligen. In dat kader hebben privacytoezichthouders van over de hele wereld Google aangeschreven vanwege de mogelijke privacygevolgen van de bril Google Glass. De brief is mede ondertekend door Jacob Kohnstamm, namens alle Europese privacytoezichthouders. In de brief stellen de privacytoezichthouders Google een aantal vragen waartoe berichten in de media over dit nieuwe product aanleiding gaven. Het gaat er vooral om helderheid te krijgen over de wijze waarop Google de via de bril verkregen persoonsgegevens wil gebruiken. Google heeft in juni 2013 gereageerd op de brief. De bril wordt in elk geval op korte termijn nog niet in productie genomen. Voorlopig volgt dan ook geen verdere actie van de toezichthouders. Wel zal de Berlijn Groep de internationale werkgroep voor gegevensbescherming en telecommunicatie waaraan nationale privacytoezichthouders, wetenschappers en internationale organisaties deelnemen een opinie schrijven over wearable computing. Google heeft tijdens de bijeenkomst van de werkgroep in september 2013 een demonstratie gegeven van Google Glass. Publicatie tuchtrechtelijke uitspraken NOC*NSF, de koepel van sportbonden, heeft op aangeven van het CBP aandacht van de aangesloten bonden gevraagd voor het anonimiseren van tuchtrechtelijke uitspraken voordat deze op internet worden geplaatst. Sportbonden publiceren dergelijke uitspraken soms inclusief naam, adres, woonplaats, de overtreding/gedraging, de straf, etc. Deze wijze van publiceren, zeker als het gaat om sporters die in betrekkelijke anonimiteit hun sport beoefenen, is in strijd met de Wet bescherming persoonsgegevens. NOC*NSF adviseert de sportbonden ervoor te zorgen dat tuchtrechtelijke uitspraken alleen geanonimiseerd en ook niet herleidbaar tot de betreffende persoon (bijvoorbeeld de aanvoerder van team x van club y ) op hun websites worden geplaatst en stelt samen met enkele sportbonden en de Dopingautoriteit een richtlijn op om sportbonden te helpen op de juiste manier om te gaan met openbaarmaking van tuchtrechtuitspraken. Datalekken Het CBP is volop in voorbereiding op de meldplicht datalekken. Het wetsvoorstel dat deze meldplicht invoert, is momenteel in behandeling bij de Tweede Kamer. De meldplicht datalekken houdt in dat bedrijven en organisaties die persoonsgegevens verwerken, verplicht zijn een datalek te melden bij het CBP. Doen zij dit niet, dan kan het CBP een boete opleggen. Mede als voorbereiding op de meldplicht datalekken heeft het CBP in 2013, net als in 2012, meerdere datalekken onderzocht. 34 Het CBP in 2013 CBP CBP i nternet en telecom 35