Het CBP zal zich komend jaar in het bijzonder op de volgende vijf onderwerpen richten: profiling, bijzondere persoonsgegevens, persoonsgegevens bij lokale overheden, persoonsgegevens in de arbeidsrelatie en beveiliging van persoonsgegevens. Het CBP heeft aangekondigd om binnen deze thema’s verschillende onderzoeken te starten. Ook is CBP voornemens de naleving van de Wet bescherming persoonsgegevens (Wbp) via gesprekken met brancheverenigingen en andere stakeholders te bevorderen. Ten aanzien van de vijf onderwerpen zegt het CBP het volgende op haar website:
Profiling
“Via digitale apparatuur zoals smart phones, smart watches, smart tv’s en smart meters worden voortdurend grote hoeveelheden gegevens vastgelegd over het gedrag van mensen. Bijvoorbeeld over hun locatie en hun surf- en kijkgedrag. Op basis van al die gegevens kunnen organisaties mensen indelen in profielen en anders behandelen dan anderen. Het CBP richt zich in 2015 vooral op de naleving van de eis dat mensen goed worden geïnformeerd. Ook kijkt het CBP of op de juiste wijze toestemming is gevraagd voor het gebruik van hun gegevens.
Het CBP besteedt al langer aandacht aan dit thema. Zo legde het CBP eind 2014 een last onder dwangsom op aan Google voor privacyschendende voorwaarden. Ook onderzocht het CBP het verzamelen en bewaren van gegevens van gebruikers van smart tv’s. Eind 2014 is het CBP een onderzoek naar de privacyvoorwaarden van Facebook gestart.”
Bijzondere persoonsgegevens
“Bijzondere persoonsgegevens zijn gevoelige, extra beschermde gegevens over onder meer gezondheid en strafrechtelijk verleden. Het CBP gaat onderzoek doen naar de verwerking van medische gegevens door zorgaanbieders, gemeenten en technologiebedrijven. Deze bedrijven produceren apparatuur waarmee mensen zelf hun gezondheid en levensstijl kunnen monitoren. In 2014 beëindigde het CBP diverse onderzoeken die leidden tot een betere beveiliging van medische gegevens. Ook richt het CBP zich in 2015 op de uitwisseling van strafrechtelijke gegevens door politie en justitie met andere partijen binnen samenwerkingsverbanden.”
Persoonsgegevens bij lokale overheden
“Op 1 januari 2015 zijn de Jeugdwet, de Participatiewet en de Wet maatschappelijke ondersteuning 2015 (Wmo 2015) in werking getreden. Het CBP heeft zich de afgelopen jaren als wetgevingsadviseur kritisch uitgelaten over deze wetten. De wetten regelen dat gemeenten meer taken krijgen, maar ook meer persoonsgegevens gaan verwerken. Het CBP zal dit jaar als toezichthouder de verwerking en beveiliging van persoonsgegevens door lokale overheden controleren.”
Persoonsgegevens in de arbeidsrelatie
“Het CBP heeft in verschillende onderzoeken geconcludeerd dat bedrijven niet altijd zorgvuldig omgaan met de persoonsgegevens van hun werknemers. Zo stelde het CBP vast dat bedrijven medische gegevens van werknemers verwerkten en personeel controleerden met camera’s. In 2015 doet het CBP onderzoek en voert het daarnaast ook gesprekken met brancheverenigingen en vakbonden.”
Beveiliging van persoonsgegevens
“De wijdverbreide toepassing van ICT en de omvang van de gegevensbestanden zorgen ervoor dat de impact bij onvoldoende beveiliging van de gegevens sterk is toegenomen. Het CBP publiceerde eerder richtsnoeren voor de beveiliging van persoonsgegevens. In 2015 treedt naar verwachting de meldplicht datalekken in werking. Organisaties worden verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden. Dit moet worden gemeld aan het CBP en in veel gevallen ook aan mensen van wie de gegevens zijn.”
Fors hogere boetes
Nu het CBP een ruimere handhavingsbevoegdheid krijgt en boetes van maximaal 810.000 euro (edit: ondertussen € 820.000) kan opleggen, is het ‘compliance’ relevanter dan ooit. De vijf genoemde onderwerpen zullen bij de controles van het CBP extra aandacht krijgen. Bedrijven en instellingen die te maken hebben met één van de vijf onderwerpen zijn dan ook gewaarschuwd door het persbericht van het CBP.
Vragen?
Heeft u nog vragen, neemt u dan contact op met Natascha van Duuren, Advocaat & partner IT, Privacy & Cybersecurity.