Autoriteit Persoonsgegevens jaarverslag 2015

"De wereld is de afgelopen vijf jaar ingrijpend veranderd. De smartphone, de ontwikkelingen rond het Internet der Dingen en Big Data zijn niet meer uit ons dagelijks leven weg te denken. Mensen kunnen er onmogelijk aan ontkomen om dagelijks ontelbare hoeveelheden digitale sporen van persoonsgegevens achter te laten. Een groeiend deel van onze economie draait inmiddels om persoonsgegevens. Persoonsgegevens zijn daarin het ‘nieuwe geld’. De budgettaire armslag van de toezichthouder zou dan ook gelijke tred moeten houden met de groei en relevantie van persoonsgegevens in onze samenleving." Dit zei de voorzitter van de Autoriteit Persoonsgegevens (AP) Jacob Kohnstamm vanmorgen tijdens de overhandiging van het jaarverslag van de AP aan de leden van de vaste commissie voor Veiligheid en Justitie van de Tweede Kamer.

Jaarverslag 2015

De Autoriteit Persoonsgegevens stelt ieder jaar een aantal thema’s vast waarop zij zich in het bijzonder richt. In 2015 waren dat profiling, bijzondere persoonsgegevens, lokale overheden, de arbeidsrelatie en beveiliging.

Rode draad: transparantie

De rode draad daarbij was de manier waarop bedrijven en organisaties mensen informeren over het verwerken van hun persoonsgegevens. Mensen hebben vaak geen zicht op wat bedrijven en organisaties precies doen met hun gegevens en wat de (soms verstrekkende) gevolgen hiervan zijn. Door de enorme hoeveelheid persoonsgegevens die van vrijwel iedereen in omloop is en de complexiteit van de verwerkingen is dat ook nauwelijks bij te houden. Het is daarom essentieel dat bedrijven en organisaties hierover transparant zijn.

Hieronder volgt een selectie van de werkzaamheden van de AP:

Profiling

De onderzoeken in de internet- en telecomsector waarover de AP in 2015 publiceerde, laten zien hoe veelzijdig en wijdverspreid profiling is. Websites, sociale media, zoekmachines, apps, smart tv’s – het gebruik van profiling is eerder regel dan uitzondering. De AP onderstreepte in deze onderzoeken de wettelijke eis dat mensen vooraf moeten worden geïnformeerd over de verwerking van hun persoonsgegevens.

In reactie op het onderzoek van de toezichthouder informeren bijvoorbeeld de Nederlandse Publieke Omroep, Ziggo en TP Vision hun gebruikers nu beter. En de last onder dwangsom die de AP oplegde aan Google leidde tot een aangescherpt privacybeleid en een publiekscampagne. Hierin werden gebruikers geattendeerd op de privacyvoorwaarden van het bedrijf.

Bijzondere gegevens

Uit onderzoek van de Autoriteit Persoonsgegevens uit 2015 blijkt onder meer dat lifestyle apps – vaak zonder dat gebruikers zich ervan bewust zijn – gezondheidsgegevens kunnen verzamelen en analyseren. De toezichthouder wees aanbieders van medische en lifestyle apps op de noodzaak om hiervoor extra privacybeschermende maatregelen te nemen, waaronder duidelijke informatie aan de gebruikers.

Lokale overheden

Sinds een aantal taken van de rijksoverheid en provincies is overgeheveld naar gemeenten, heeft de lokale overheid nieuwe verantwoordelijkheden op het terrein van jeugdzorg, maatschappelijke ondersteuning, arbeidsparticipatie en zorg voor chronisch zieken en gehandicapten.

De Autoriteit Persoonsgegevens vroeg in 2015 op verschillende manieren aandacht voor de privacyrisico’s van de decentralisaties in het sociaal domein. Verder beoordeelde de Autoriteit Persoonsgegevens gegevensverwerkingen binnen de jeugdzorg. De toezichthouder publiceerde de resultaten van onderzoek bij twee gecertificeerde instellingen Jeugdzorg waarbij de registratie van persoonsgegevens van cliënten niet goed verliep.

Arbeidsrelatie

De AP stuurde in 2015 een brief aan tientallen beheerders van verzuimsystemen om hen te wijzen op hun verantwoordelijkheid voor de beveiliging van software en applicaties.

In 2015 onderzocht de AP de beveiliging van Suwinet, het systeem waarmee onder andere  gemeenten, het UWV en de Sociale Verzekeringsbank persoonsgegevens uitwisselen op het gebied van werk en inkomen. Voortbouwend op onderzoek naar het UWV en de gemeente ’s-Hertogenbosch startte de Autoriteit in 2015 onderzoek naar de werkwijze in andere gemeenten.

Beveiliging

In 2015 deed de AP onderzoek naar overtredingen van de wettelijke eis om persoonsgegevens adequaat te beveiligen. Zo wees de AP er in oktober 2015 op dat bij de huidige staat van de beveiligingssituatie niet valt uit te sluiten dat onbevoegden DigiD-inloggegevens van gebruikers achterhalen. Onbevoegden kunnen zo misbruik maken van gevoelige gegevens die toegankelijk zijn met DigiD. De AP pleitte daarom voor een extra veiligheidsvoorziening voor overheidsinstanties die zijn aangesloten bij DigiD.

Meldplicht datalekken

Adequate beveiliging is van groot belang bij het voorkomen van datalekken. Vooruitlopend op de meldplicht datalekken per 1 januari 2016 publiceerde de AP beleidsregels meldplicht datalekken voor organisaties.

Over de Autoriteit Persoonsgegevens

Met ingang van 1 januari 2016 heeft het College bescherming persoonsgegevens (CBP) een nieuwe naam: Autoriteit Persoonsgegevens (AP). Deze naamswijziging hangt samen met de uitbreiding van de boetebevoegdheden van de toezichthouder en de meldplicht datalekken per 1 januari 2016.

 

Documenten

Print Friendly and PDF ^