Privacy speerpunten voor 2017: bijzondere persoonsgegevens, beveiliging en profiling

De Wet bescherming persoonsgegevens maakt onderscheid tussen ‘gewone’ persoonsgegevens (alle gegevens over een geïdentificeerde of identificeerbare persoon) en bijzondere persoonsgegevens. Deze bijzondere persoonsgegevens hebben betrekking op (zeer) gevoelige informatie over personen. De verwerking van bijzondere persoonsgegevens is daarom strenger gereguleerd dan de verwerking van ‘gewone’ persoonsgegevens. Bijzondere persoonsgegevens hebben betrekking op iemands:

• godsdienst of levensovertuiging;
• ras;
• politieke gezindheid;
• gezondheid;
• seksuele leven;
• lidmaatschap van een vakvereniging;
• strafrechtelijke historie of gepleegde strafbare feiten.

Omdat deze gegevens zo gevoelig zijn, is het in beginsel verboden om deze gegevens te verwerken. Dat is slechts anders indien aan een van de wettelijke uitzonderingsgronden wordt voldaan. Voorbeelden van algemene uitzonderingsgronden (van het verwerkingsverbod) zijn de uitdrukkelijke toestemming van de betrokkene en het feit dat de betrokkene de gegevens zelf openbaar heeft gemaakt. Daarnaast zijn er nog enkele specifieke uitzonderingsgronden voor iedere categorie bijzondere persoonsgegevens. Zo geldt het verbod om gegevens over de gezondheid te verwerken niet voor ziekenhuizen, mits de gegevensverwerking noodzakelijk is voor een goede behandeling van de betrokkene, of het beheer van het ziekenhuis. Ten slotte is van belang dat bijzondere persoonsgegevens beter moeten worden beveiligd dan ‘gewone’ persoonsgegevens.

Het tweede speerpunt van de Autoriteit Persoonsgegevens is de beveiliging van persoonsgegevens. De Wet bescherming persoonsgegevens verplicht verantwoordelijken om een ‘passend’ beveiligingsniveau te garanderen. De verwerkte persoonsgegevens moeten worden beveiligd tegen verlies en enige vorm van onrechtmatige verwerking (zoals vernietiging, verstrekking of wijziging). Welk beveiligingsniveau in een concreet geval ‘passend’ is, wordt beoordeeld aan de hand van:

• De stand van de techniek;
• De kosten van de beveiligingsmaatregelen;
• De risico’s die gepaard gaan met de gegevensverwerking;
• De aard van de verwerkte gegevens.

In de Richtsnoeren beveiliging persoonsgegevens gaat de Autoriteit Persoonsgegevens (voorheen: CBP) nader in op de beveiligingsmaatregelen die in acht moeten worden genomen. Concreet gaat het om maatregelen die zien op het voorkomen, detecteren en beperken van de gevolgen en het herstel van onrechtmatige verwerkingen. Dit jaar zal de Autoriteit Persoonsgegevens dus meer letten op organisaties die hun beveiliging niet op orde hebben, hetgeen bijvoorbeeld zou kunnen blijken uit het feit dat bij een bepaalde organisatie meermaals datalekken plaatsvinden.

Het derde speerpunt van de Autoriteit Persoonsgegevens voor 2017 is profiling (of profilering). Profiling houdt in: “het verzamelen, analyseren en combineren van (persoons)gegevens met als doel iemand in te delen in een bepaalde categorie. Met profiling kan een organisatie ook het gedrag van mensen voorspellen of een beslissing over hen nemen. Profiling wil dus zeggen dat iemand aan de hand van een (risico)profiel wordt beoordeeld.” (Aldus de Autoriteit Persoonsgegevens)

De Autoriteit Persoonsgegevens geeft aan vooral te gaan letten op profiling op basis van samengestelde datasets. Deze bestaan uit ‘offline’ data en online data, bijvoorbeeld via wifi-tracking. Meer specifiek let de Autoriteit Persoonsgegevens in dat kader ook op de datasets die ontstaan bij fusies van bedrijven. Er worden geen namen genoemd, maar gezien de recente kritiek op de datadeling door Whatsapp en Facebook lijkt dit een waarschuwing aan hun adres. Tot slot vormt ook het gebruik van innovatieve oplossingen in de financiële markten, waarmee een grote hoeveel data over (het leven van) personen kan worden verzameld, een van de aandachtspunten van de Autoriteit Persoonsgegeven.

Heeft u vragen over dit artikel, neemt u dan contact op met ons team IT, Privacy & Cybersecurity.