Het College Bescherming Persoonsgegevens (CBP) gaat strenger toezien of er bij de analyse van grote databestanden (big data) wel wordt voldaan aan wet- en regelgeving rondom privacy. Dat blijkt uit de toezichtagenda voor 2015. Daarin staat onder meer dat het CBP strenger gaat controleren of bedrijven op de juiste wijze toestemming vragen voor het gebruik van gegevens. Eerder werden onder andere Facebook en Google op de vingers getikt.
De toezichthouder op de Wet Bescherming Persoonsgegevens richt de onderzoeken in 2015 op de onderwerpen: profilering, bijzondere persoonsgegevens, persoonsgegevens bij lokale overheden, persoonsgegevens in de arbeidsrelatie en beveiliging van persoonsgegevens. CBP gaat er gericht op toezien of projecten niet in strijd zijn met wet en regelgeving. Ook wil CBP de naleving van de Wet Bescherming Persoonsgegevens bevorderen via gesprekken met brancheverenigingen en andere betrokkenen.
De toezichthouder springt in op de ontwikkelingen waarbij bedrijven en organisaties steeds vaker klantdata en gegevens verzamelen via apparaten die aan internet zijn gekoppeld. CBP: ‘Via digitale apparatuur zoals smart phones, smart watches, smart tv’s en smart meters worden voortdurend grote hoeveelheden gegevens vastgelegd over het gedrag van mensen. Bijvoorbeeld over hun locatie en hun surf- en kijkgedrag. Op basis van al die gegevens kunnen organisaties mensen indelen in profielen en anders behandelen dan anderen.
De toezichthouder gaat specifiek controleren of de informatieverstrekking over dat soort gegevensverzamelingen klopt. Ook kijkt het of op de juiste wijze toestemming is gevraagd voor het gebruik van hun gegevens. Met het extra onderzoek naar bijzondere persoonsgegevens bedoelt CBP ‘gevoelige, extra beschermde gegevens over onder meer gezondheid en het strafrechtelijk verleden van een persoon.’ Het gaat onderzoek doen naar de verwerking van medische gegevens door zorgaanbieders, gemeenten en technologiebedrijven. ‘Deze bedrijven produceren apparatuur waarmee mensen zelf hun gezondheid en levensstijl kunnen monitoren. In 2014 beëindigde het CBP diverse onderzoeken die leidden tot een betere beveiliging van medische gegevens.’ Ook richt het CBP zich in 2015 op de uitwisseling van strafrechtelijke gegevens door politie en justitie met andere partijen binnen samenwerkingsverbanden.
Lokale overheden
Op 1 januari 2015 zijn de Jeugdwet, de Participatiewet en de Wet Maatschappelijke Ondersteuning 2015 (WMO 2015) in werking getreden. Het CBP heeft zich de afgelopen jaren als wetgevingsadviseur kritisch uitgelaten over die wetten. De wetten regelen dat gemeenten meer taken krijgen, maar ook meer persoonsgegevens gaan verwerken. Het gaat in 2015 als toezichthouder de verwerking en beveiliging van persoonsgegevens door lokale overheden controleren.
Persoonsgegevens in de arbeidsrelatie
De toezichthouder heeft eerder in verschillende onderzoeken geconcludeerd dat bedrijven niet altijd zorgvuldig omgaan met de persoonsgegevens van hun werknemers. Zo stelde het vast dat bedrijven medische gegevens van werknemers verwerkten en personeel controleerden met camera’s zonder dat ze zich daarvan bewust waren. In 2015 doet het onderzoek en voert het daarnaast ook gesprekken met brancheverenigingen en vakbonden.
Meldplicht
CBP: ‘De wijdverbreide toepassing van ict en de omvang van de gegevensbestanden zorgen ervoor dat de impact bij onvoldoende beveiliging van de gegevens sterk is toegenomen. We publiceerden eerder richtsnoeren voor de beveiliging van persoonsgegevens. In 2015 treedt naar verwachting de meldplicht datalekken in werking. Organisaties worden verplicht om inbreuken op de beveiliging die leiden tot diefstal, verlies of misbruik van persoonsgegevens te melden. Dit moet worden gemeld aan het CBP en in veel gevallen ook aan mensen van wie de gegevens zijn.’
Google en Facebook
Het CBP dreigde Google eind 2014 met een miljoenenboete voor het schenden van privacy-voorwaarden. Ook onderzocht het CBP het verzamelen en bewaren van gegevens van gebruikers van smart tv’s. Eind 2014 is ook een onderzoek naar de privacyvoorwaarden van Facebook gestart.
Citaat: CBP ziet strenger toe op privacy bij big data
Wellicht dekt de titel de lading niet geheel want: NIET de omvang bepaalt de beveiliging noch de behoefte aan toezicht maar de INHOUD!