De aandacht voor privacy lijkt wel steeds groter te worden. Deze week is er wel heel veel privacy-nieuws en profileert de Autoriteit Persoonsgegevens (AP) zich ook nog eens flink in de media. Een goed deel van deze actualiteiten biedt ook werkgevers interessante inzichten. Reden om er een paar op een rij te zetten.

 

  • Voorzitter van de AP, Aleid Wolfsen, sprak deze week op radio 1 over de tips die de AP publiceerde over privacy bij het gebruik van moderne auto’s, zogenoemde ‘connected cars’.
  • UWV heeft bekend gemaakt dat de organisatie het eigen fraudeopsporingssysteem gaat onderzoeken ‘op juridische houdbaarheid’.
  • De AP heeft opnieuw een grote boete uitgedeeld in Nederland. Na eerdere forse boetes voor het HagaZiekenhuis voor het slecht beveiligen van patiëntendossiers en Uber voor het te laat melden van een datalek van respectievelijk 460.000 euro en 600.000 euro, is op 3 maart jl. aan tennisbond KNLTB een boete opgelegd van 525.000 euro voor het verkopen van persoonsgegevens van leden.
  • De Belastingdienst blijkt gebruik te maken van geheime zwarte lijsten met profielen van zo’n 200.000 Nederlanders. De AP stelt een onderzoek in.

 

Connected cars

Er zijn steeds meer ‘slimme’ auto’s op de weg die enorme hoeveelheden data opslaan. Denk aan het navigatiesysteem dat bijhoudt waar de auto rijdt én gereden heeft, de contactenlijst van de telefoon die wordt gesynchroniseerd met de boardcomputer, gegevens van de dashcam die automatisch worden opgeslagen, gegevens over de rijstijl van de bestuurder (bij rustig rijgedrag zou de verzekeringspremie wellicht omlaag kunnen), de voorinstellingen van de elektrisch bedienbare stoelen etc. Die gegevens worden bij veel auto’s (vaak real time) via internet doorgegeven, of uitgelezen bij het volgende bezoek aan de dealer. Zo worden merkbaar of ongemerkt veel persoonsgegevens verwerkt. En daar is niet altijd een legitimatie voor. Uitgangspunt zou volgens de AVG moeten zijn dat er zo min mogelijk persoonsgegevens worden verwerkt en alleen die persoonsgegevens die noodzakelijk zijn, gebaseerd op een van de grondslagen:

  1. toestemming;
  2. vitaal belang;
  3. wettelijke verplichting;
  4. overeenkomst;
  5. algemeen belang;
  6. gerechtvaardigd belang.

Van dit rijtje zal ‘toestemming’ vaak de grondslag moeten zijn die nodig is voor de verwerking. Maar die is niet altijd bewust gegeven. En als dat wel het geval is geweest, dan is nog de vraag of de betrokkenen voldoende was geïnformeerd (want dat is noodzakelijk) om een juiste afweging te maken alvorens toestemming werd gegeven.

Ook werkgevers dienen zich hiervan bewust te zijn. In de eigen auto’s van de werkgever of de ingezette leaseauto’s worden vaak ook persoonsgegevens verwerkt. Werknemers hebben het recht te weten welke persoonsgegevens van hen worden verzameld als zij gebruik maken van de auto. Dat betekent ook dat een werkgever moet weten welke gegevens worden verwerkt. Bij eigen auto’s kunnen zij dat achterhalen via de fabrikant. Bij leaseauto’s kan de leasemaatschappij en de fabrikant worden benaderd (en kan – tip van de AP – de verstrekte informatie met elkaar worden vergeleken). Bedenk ook dat medewerkers die in de auto rijden of hebben gereden recht hebben op inzage in die gegevens, dat zij bezwaar kunnen maken tegen de verwerking en dat zij onder omstandigheden kunnen eisen dat de gegevens worden verwijderd. Een ander punt van aandacht: wanneer de werknemer de auto inlevert, dienen alle persoonsgegevens te worden verwijderd of, als de werknemer dat wil, worden aangeleverd bij een partij die de werknemer aanwijst (recht op dataportabiliteit).

 

Fraudeopsporing UWV

Sinds 2018 maakt UWV gebruik van risicoanalyses om fraudegevallen op te sporen. Met het systeem wordt bijvoorbeeld gezocht naar ontvangers van uitkeringen die niet in Nederland verblijven, die niet voldoen aan hun verplichtingen (bijvoorbeeld om werk te vinden in geval van een WW-uitkering) en die helemaal geen recht hebben op een uitkering.

UWV heeft aangegeven nu zelf te gaan onderzoeken of de analysemethode door de beugel kan. Aanleiding lijkt de recente uitspraak van de rechter over het zogenoemde Systeem Risico-indicatie (SyRI) dat werd gebruikt door de gemeenten Rotterdam, Eindhoven, Haarlem en Capelle aan den IJssel. De rechter oordeelde dat de inbreuk op de privacy van mensen door SyRI te ver ging.

UWV stelt gebruik te maken van een andere analysemethode, waarbij bovendien slechts gebruik wordt gemaakt van eigen gegevens van UWV (en niet een combinatie van gegevens van verschillende instanties) én het systeem niet geautomatiseerd de mogelijke fraudeur aanwijst, maar de conclusies overlaat aan een medewerker van UWV. Wel blijkt uit deze ontwikkelingen opnieuw dat met name automatische analyses, het gebruik van algoritmes en ‘profiling’ steeds meer aandacht krijgen. In de praktijk blijkt vaak een probleem dat discriminatie en stigmatisering als (bij)gevolg van sterk geautomatiseerde verwerkingen (nog) lastig zijn te voorkomen.

 

KNLTB

In januari jl. maakte de AP bekend dat er vorig jaar ruim 27.800 klachten zijn ingediend. Dat is 79% meer dan in het jaar daarvoor. De circa 180 medewerkers van de AP kunnen die hoeveelheid nauwelijks aan. De verwerkingstijden zijn intussen opgelopen tot zo’n half jaar. In mei van dit jaar wordt de uitkomst van een lopend onderzoek verwacht naar de benodigde capaciteit en financiering om wél adequaat te kunnen handhaven. Niettemin kwam de AP deze week met de uitkomsten van een onderzoek naar tennisbond KNLTB én een besluit tot het ineens opleggen van een forse boete van 525.000 euro. Wat was er aan de hand?

KNLTB verstrekte de naam en contactgegevens van 50.000 leden aan een sponsor, die deze gegevens gebruikte voor het per post versturen van kortingsflyers. Van nog eens ruim 350.000 leden werden naam, telefoonnummer, e-mailadres en geboortedatum verstrekt aan een andere sponsor, die deze zou gebruiken voor het telefonisch benaderen van een selectie van zo’n 40.000 leden (wat overigens uiteindelijk niet volledig is uitgevoerd).

Voor het verwerken van persoonsgegevens is in de eerste plaats een grondslag nodig (zie hiervoor). Deze is aanwezig voor de verwerking van deze persoonsgegevens door de KNLTB zelf. De gegevens zijn immers noodzakelijk voor het lidmaatschap van de vereniging. Voor dat specifiek doel zijn de gegevens verstrekt en uitsluitend daarvoor mogen deze worden verwerkt. Er moet dus een grondslag zijn en een daaraan gekoppeld doel. De leden hadden echter in beide gevallen geen toestemming gegeven voor verstrekking van hun gegevens aan sponsoren en ook het lidmaatschap/de lidmaatschapsovereenkomst bood voor dat doel geen grondslag. Daarnaast was in de ogen van de AP geen sprake van een gerechtvaardigd belang als basis voor het verstrekken van de gegevens aan de sponsoren, iets dat KNLTB wel betoogde. KNLTB stelde dat zij met het ter beschikking stellen (eigenlijk: verkopen) van de perspoonsgegevens van de leden meerwaarde wilde creëren voor het lidmaatschap en extra inkomsten wilde genereren ter compensatie van dalende contributie-inkomsten door teruglopende ledenaantallen.

Er wordt nog wel eens gedacht dat het niet zo’n vaart loopt met de boetes van de AP. Vaak wordt gesteld dat ‘er toch wel eerst een brief of een waarschuwing volgt’. Toch illustreert deze casus dat het onzorgvuldig omgaan met de persoonsgegevens van (grote hoeveelheden) leden – en hetzelfde zal gelden voor de persoonsgegevens van klanten of van medewerkers – vrij snel kan leiden tot een heel forse boete.

 

En ten slotte: de Belastingdienst

Eveneens deze week, hoewel waarschijnlijk niet meteen relevant voor werkgevers, heeft de AP aangekondigd onderzoek te gaan doen naar het gebruik van ‘zwarte lijsten’ van ‘verdachte burgers’ bij de Belastingdienst.

Tot afgelopen zaterdag had de Belastingdienst daarvoor het zogenoemde FSV-systeem (Fraude Signalering Voorziening) in gebruik, waarin een kleine 200.000 mensen zouden staan. Ook hier is mogelijk (te vergaande en stelselmatige) profiling aan de orde. Juist omdat recent bij herhaling door Staatssecretaris Snel is ontkend dat de Belastingdienst zwarte lijsten hanteert, heeft het dossier inmiddels de aandacht van de Tweede Kamer. Daar horen wij vast binnenkort meer over.

Deel deze publicatie via
Terug naar het overzicht