CBP waarschuwt voor ‘digitale predestinatie’

We leven in een maatschappij waarin sprake is van ‘digitale predestinatie’. Dit kan mensen beperken in hun vrije ontwikkeling en vrije keuzes. Met deze woorden overhandigde de voorzitter van het College bescherming persoonsgegevens Jacob Kohnstamm maandag jaarverslag 2014 aan de leden van de vaste Kamercommissie van Veiligheid en Justitie van de Tweede Kamer.

In 2014 waren profilering, decentralisatie en de verwerking van persoonsgegevens in de arbeidsrelatie belangrijke thema’s voor de toezichthouder. In 2014 had het CBP met name speciale aandacht voor profilering. De toezichthouder heeft verschillende onderzoeken gedaan naar het volgen van surfgedrag. Door deze gegevens vervolgens te analyseren en te combineren kunnen organisaties mensen in bepaalde profielen indelen en hen vervolgens anders behandelen of gerichter benaderen. Dat kan prettig zijn, als consumenten daarover tenminste worden geïnformeerd en zelf een keuze hebben kunnen maken. Maar het kan voor hen ook ongunstige gevolgen hebben.

In onderzoeken bij advertentiebedrijf YD (inmiddels: Yieldr) en de Nederlandse Publieke Omroep (NPO) concludeerde het CBP dat deze organisaties de wet overtraden door via tracking cookies persoonsgegevens te verzamelen zonder daarvoor vooraf toestemming te vragen. Het CBP legde internetbedrijf Google een last onder dwangsom op voor het combineren van persoonsgegevens zonder dat Google internetgebruikers hierover vooraf goed informeerde en zonder dat het bedrijf hiervoor toestemming vroeg. De dwangsom kan oplopen tot 15 miljoen euro.

Randstad en Adecco, twee van de grootste Nederlandse uitzendbureaus, bleken tijdens onderzoek van het CBP op verschillende punten de wet te overtreden. Beide uitzendbureaus vroegen medische gegevens aan uitzendkrachten die zich ziek meldden, maakten kopieën van identiteitsbewijzen tijdens intakegesprekken en bewaarden de gegevens van uitzendkrachten langer dan noodzakelijk.

Het CBP onderzocht ook de beveiliging van Suwinet, een systeem waarmee verschillende overheidsorganisaties (gevoelige) gegevens uitwisselen op het gebied van werk en inkomen. Zowel bij het UWV (als beheerder van Suwinet) als bij de gemeente ‘s-Hertogenbosch (als afnemer) bleken de beveiligingsmaatregelen niet toereikend.

Het College bescherming persoonsgegevens (CBP) organiseert van 26 tot en met 29 oktober 2015 de Internationale Privacyconferentie met als thema ‘Building bridges’.