'Privacy by design' heeft de toekomst
15/04/2010 11:27
College bescherming persoonsgegevens (CBP)
'Privacy by design' heeft de toekomst
CBP doet oproep aan politiek
"De nieuw te vormen regering en het parlement moeten de inzet van 'privacy by design' bevorderen" aldus Jacob Kohnstamm, voorzitter van het College bescherming persoonsgegevens (CBP), bij de presentatie van het jaarverslag van de toezichthouder. Kohnstamm waarschuwt dat door de grenzeloze mogelijkheden van de technologie in combinatie met de eveneens grenzeloze mogelijkheden tot opslag, koppeling en verwerking van persoonsgegevens een kafkaëske situatie ontstaat. Kohnstamm doet een oproep aan de politiek te bevorderen dat de technologische ontwikkelingen worden gebruikt om de kans op inbreuk op de persoonlijke levenssfeer zo klein mogelijk te maken. Dit kan door toepassing van 'privacy by design', waarbij reeds bij het ontwerp van een nieuw product of dienst wordt voorzien in waarborgen om persoonsgegevens te beschermen en te beveiligen. "Bedrijven en overheden zullen altijd knappe koppen inzetten voor de ontwikkeling van nieuwe, efficiënte en winstgevende producten en diensten. Het is echter ook in het belang van het uiteindelijke succes van veel van die producten en diensten om de knapste koppen de opdracht te geven deze producten zó te ontwikkelen dat ze geen of veel minder inbreuk maken op de persoonlijke levenssfeer", stelt Kohnstamm. Ook benadrukt hij het belang van het geven van informatie aan burgers over de vraag wie, wat, waar, waarom en welke informatie over hen opslaat en verwerkt. De burger heeft het recht te weten wat er met zijn gegevens gebeurt, bij wie deze terechtkomen, hoe en waar welke profielen van hem worden gemaakt en welke - mogelijk bepalende - invloed dat alles heeft op zijn individuele keuzen en ontplooiingsmogelijkheden. Als de burger niet over deze informatie beschikt, kan hij zijn rechten op het gebied van de persoonlijke levenssfeer ook niet uitoefenen.
Jacob Kohnstamm presenteerde vandaag in Nieuwspoort het jaarverslag van het CBP, waarin onder meer de volgende activiteiten worden beschreven:
Het CBP concludeerde in 2009 na onderzoek bij internetbedrijf Advance dat het bedrijf de wet heeft overtreden door via internetplatforms gevoelige gegevens van mensen te verzamelen en vervolgens hun geprofileerde persoonsgegevens aan derden te verkopen zonder de betrokkenen hierover duidelijk en volledig te informeren. Circa 2,2 miljoen mensen namen op dat moment deel aan de internettests van Advance. Uit het onderzoek bleek dat Advance onder meer medische gegevens heeft verzameld en verwerkt, terwijl hiervoor in beginsel een wettelijk verbod geldt. Advance had de betrokkenen niet volgens de wettelijke eisen geïnformeerd over het gebruik van hun gegevens.
Het CBP constateerde na onderzoek bij twee lopende regionale elektronische patiëntendossiers (REPD's) dat de Wbp werd overtreden. Ten aanzien van beide REPD's is een handhavingsprocedure gestart. Deze procedure leidde ertoe dat één van de twee REPD's een einde heeft gemaakt aan de geconstateerde onrechtmatigheden, onder meer door alsnog alle patiënten persoonlijk te informeren over de opname van hun gegevens in het REPD.
Na onderzoeken van het CBP en de Inspectie voor de Gezondheidszorg (IGZ) in 2007 en 2008 was gebleken dat geen van de twintig onderzochte ziekenhuizen voldeed aan de norm voor informatiebeveiliging. Het CBP legde in 2009 vier ziekenhuizen die hun zaken nog steeds niet op orde hadden een last onder dwangsom op.
Na publicatie van richtsnoeren inzake automatische kentekenherkenning (ANPR) door de politie deed het CBP bij twee politiekorpsen onderzoek naar de toepassing van ANPR. Het concludeerde dat de korpsen Rotterdam-Rijnmond en IJsselland willens en wetens in strijd met de wet handelden door no-hits (d.w.z. gescande kentekens die niet voorkomen in het vergelijkingsbestand en dus niet worden gezocht door de politie) 120 respectievelijk 10 dagen verwerken. Deze kentekens moeten direct worden vernietigd. In reactie op de publicatie van de definitieve onderzoeksbevindingen hebben beide korpsen begin 2010 laten weten de onrechtmatigheden te beëindigen.
Onderzoek naar de werkwijze van een aantal arbodiensten leidde tot de conclusie dat ten minste één arbodienst - Tredin - stelselmatig in strijd met de wet handelde door medische gegevens van zieke werknemers te verstrekken aan hun werkgevers terwijl deze gegevens onder het medisch beroepsgeheim vallen. Het CBP heeft deze arbodienst in 2009 een last onder dwangsom opgelegd. De arbodienst heeft de overtredingen vervolgens binnen de gestelde begunstigingstermijn beëindigd. Onderzoek naar drie andere arbodiensten werd voortgezet.
Het CBP stelde in 2009 op verzoek van de Stichting Landelijk Informatiesysteem Schulden (LIS) zijn eerste 'Zienswijze' op ten aanzien van een ontwerp voor een landelijk schuldenregistratiesysteem. Deze zienswijze werd gevolgd door een tweede naar aanleiding van een nieuw ontwerp van het LIS. Beide ontwerpen bleken na een toets niet aan de eisen van de wet te voldoen. Ten aanzien van het tweede ontwerp concludeerde het CBP dat het ontwerp het oorspronkelijke doel - het registreren van achterstallige schulden ter voorkoming van problematische schulden - ver te buiten ging. Dit kan tot gevolg hebben dat een substantiële groep mensen wordt geregistreerd die niet in het register thuishoort, maar wel wordt geconfronteerd met de negatieve gevolgen van het te boek staan als problematisch schuldenaar.
Het CBP heeft ervoor gekozen als toezichthouder de prioriteit bij handhaving te leggen in de overtuiging zo de meest effectieve bijdrage te kunnen leveren aan de bevordering van de naleving van de Wet bescherming persoonsgegevens (Wbp). Bij het vaststellen van prioriteiten voor 2009 is gebruik gemaakt van een risicoanalyse van verwerkingen van persoonsgegevens in verschillende sectoren van de samenleving. Het CBP selecteerde vervolgens zaken waarbij sprake is van aanwijzingen van ernstige overtredingen van de wet, die structureel van aard zijn, veel burgers raken en waarbij het CBP met zijn bevoegdheden kan optreden. Het CBP hield tevens een open oog voor actuele gebeurtenissen gedurende het jaar. De onderzoeken en interventies van het CBP leidden niet alleen tot resultaat bij individuele verantwoordelijken, maar bleken ook uitstralende werking te hebben.
http://www.cbpweb.nl
http://www.cbpweb.nl