Nieuws18 apr '13 11:39Aangepast op 18 apr '13 13:27

CBP: Privacy schenden = vertrouwen schenden

Auteur: Marjan van den Berg

Overheden en bedrijven zijn steeds drukker in de weer met het verzamelen en koppelen van allerlei privacygevoelige gegevens van burgers. Het risico op fouten neemt toe.

Dat staat in het jaarverslag van het CBP, dat donderdag wordt aangeboden aan de Nationale Ombudsman, Alex Brenninkmeijer. Volgens het CBP groeit het risico dat er dingen gebeuren die strijdig zijn met de Wet bescherming persoonsgegevens (Wpb).

Efficiënt en klantvriendelijk
"Juist omdat burgers in veel gevallen verplicht zijn om persoonsgegevens aan de overheid af te staan, is het essentieel dat burgers erop kunnen vertrouwen dat met die gegevens zorgvuldig en in overeenstemming met de principes uit de Wbp wordt omgesprongen. Uit de praktijk blijkt echter dat de overheid - aangemoedigd door de technologische ontwikkelingen in combinatie met de wens om efficiënt en klantvriendelijk te zijn- steeds meer persoonsgegevens uit de verschillende databases aan elkaar koppelt om deze gegevens vervolgens te gebruiken voor geheel andere doeleinden dan waarvoor zij oorspronkelijk verzameld werden", zo betoogt het college.

Het is volgens het CBP ook nog eens heel lastig om er als burger achter te komen welke gegevens over hem/haar zijn opgeslagen, waarom dat gebeurd is, en waar die gegevens zich bevinden; laat staan om te controleren of de gegevens wel kloppen.

Grondrecht
CBP-voorzitter Jacob Kohnstamm: "De bescherming van persoonsgegevens is een grondrecht dat juist door de overheid als grootverwerker van persoonsgegevens als geen ander dient te worden nageleefd. Een te 'flexibele' omgang met dat grondrecht heeft op de langere termijn ondermijnende effecten op het vertrouwen van burgers in de overheid."

Volgens Nationale Ombudsman Brenninkmeijer wordt het voor burgers vooral vervelend wanneer er fouten blijken te zijn gemaakt. "Daar is de overheid vaak nog onvoldoende alert op, om die burger ook daadwerkelijk bij te staan. Dan kom je veel meer in de situatie: van het kastje naar de muur, van het kastje naar de muur, van het kastje naar de muur." Volgens Brenninkmeijer bestaat er een misplaatst optimisme over de onfeilbaarheid van gegevensopslag. "Er is een verwachting dat alles honderd procent lukt, en dat lukt natuurlijk niet."

Vorig jaar heeft het CBP in 58 zaken onderzoek gedaan. In 15 gevallen vond de organisatie dat de privacy in het geding was en zijn sancties opgelegd.

Een greep uit de door het CBP geconstateerde missers:
- Albert Heijn wilde voor het 'Mijn Bonus'-programma persoonlijke analyses van klanten maken op basis van hun aankoopgedrag, om hen persoonlijke aanbiedingen te kunnen doen. De toestemming die AH hiervoor vroeg, voldeed niet aan de eisen. De supermarktketen heeft inmiddels het privacybeleid aangepast.

- De NS legde het reisgedrag van OV-chipkaarthouders gedetailleerd vast en gebruikte deze gegevens voor marketingdoeleinden, zonder de benodigde toestemming van de reizigers.

- Producent Eyeworks had geen rechtsgeldige toestemming voor het maken van opnames op de spoedeisende hulp van het VU Medisch Centrum, omdat de patiënten niet vooraf en op basis van gedegen informatie ondubbelzinnig en uitdrukkelijk toestemming hadden gegeven. Daar kon ook eigenlijk geen sprake van zijn omdat de patiënten op dat moment in een zeer afhankelijke positie verkeerden.

- WhatsApp-gebruikers zijn verplicht om toegang te geven tot het volledige adresboek op hun telefoon. Hierdoor hebben niet alleen de WhatsApp-gebruikers geen zeggenschap over welke gegevens zij willen delen, maar geldt dit zelfs voor mensen die de app niet gebruiken. De beveiliging van de app bleek onder de maat, onder meer omdat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden derden de inhoud daarvan in leesbare vorm onderscheppen, zonder dat de oorspronkelijke 'whatsapper' daar weet van had. Inmiddels heeft WhatsApp maatregelen getroffen om de berichten wel te versleutelen.

- Medewerkers van het Ruwaard van Putten Ziekenhuis in Spijkenisse die een andere functie kregen, hadden toch nog toegang tot volledige dossiers van patiënten die zij niet meer behandelden. Het ziekenhuis heeft daarom een bestand gemaakt waarin precies staat aangegeven welke medewerkers bevoegd zijn om bepaalde dossiers in te zien.

Gerelateerde artikelen