Gepubliceerd op maandag 22 april 2013
IT 1120
De weergave van dit artikel is misschien niet optimaal, omdat deze is overgenomen uit onze oudere databank.

Jaarverslag CBP 2012

Lees het beknopte jaarverslag 2012 (1,8 Mb), uitgebreide versie (1,5 Mb), Agenda 2013.

Het CBP heeft in zijn toezicht en handhaving in 2012 in het bijzonder gelet op de wijze waarop bedrijven en organisaties mensen informeren over gegevensverwerkingen en hiervoor - voor zover dit wettelijk is voorgeschreven - toestemming vragen. Een selectie van de werkzaamheden van het CBP in 2012:

1. Profilering en marketing
2. Medische gegevens
3. Beveiliging
4. Internationale samenwerking

Profilering en marketing
Albert Heijn: Uit publieke uitingen bleek dat Albert Heijn van plan was persoonlijke analyses van klanten te maken op basis van hun aankoopgedrag om hun vervolgens gepersonaliseerde aanbiedingen te doen. Het CBP concludeerde na onderzoek dat de door Albert Heijn gevraagde toestemming voor het doen van persoonlijke aanbiedingen in het kader van het Mijn Bonus-programma niet aan de eisen voldeed.

NS: Uit een ander onderzoek van het CBP kwam naar voren dat NS het reisgedrag van OV-chipkaarthouders gedetailleerd vastlegde en deze gegevens vervolgens gebruikte voor marketingdoeleinden zonder de daarvoor benodigde toestemming van de reizigers.

Medische gegevens
VU Medisch Centrum: Het CBP concludeerde dat producent Eyeworks geen rechtsgeldige toestemming had verkregen voor het maken van opnamen op de spoedeisende hulp van het VU Medisch Centrum, aangezien de patiënten niet vooraf en op basis van gedegen informatie ondubbelzinnig en uitdrukkelijk toestemming hadden gegeven. Van een rechtsgeldige toestemming kon ook overigens gegeven de concrete situatie geen sprake zijn geweest: de patiënten bevonden zich in een buitengewoon afhankelijke positie, namelijk op de spoedeisende hulp met een dringende hulpvraag.
Zorginstellingen: Het CBP onderzocht de interne toegang tot patiëntendossiers bij meerdere zorginstellingen. Bij in ieder geval een daarvan bleken onvoldoende beveiligingsmaatregelen te zijn getroffen om ervoor te zorgen dat uitsluitend bevoegde ziekenhuismedewerkers toegang konden krijgen tot de elektronische patiëntendossiers.

Beveiliging
WhatsApp: Het CBP constateerde dat gebruikers van WhatsApp verplicht zijn toegang te geven tot het volledige adresboek op hun telefoon. Dit heeft tot gevolg dat het bedrijf álle telefoonnummers uit die adresboeken verzamelt, ook de nummers van contacten die geen WhatsApp gebruiken. Hierdoor hebben dus niet alleen de WhatsApp-gebruikers geen zeggenschap over welke gegevens zij willen delen, maar geldt dit zelfs voor mensen die de app niet gebruiken.
De beveiliging van de app bleek tijdens het onderzoek onder de maat, onder meer omdat WhatsApp de berichten via de app op onversleutelde wijze verstuurde. Hierdoor konden derden de inhoud daarvan in leesbare vorm onderscheppen, zonder dat de oorspronkelijke `whatsapper' daar weet van had. Naar aanleiding van het onderzoek heeft WhatsApp terstond maatregelen genomen om het berichtenverkeer te versleutelen.

Internationale samenwerking
Op internationaal gebied richtte het CBP zich in 2012 op het versterken van de effectiviteit van het toezicht op de bescherming van persoonsgegevens door samen te werken met buitenlandse collega-toezichthouders. Bij mondiaal opererende verantwoordelijken horen mondiaal samenwerkende toezichthouders. Het onderzoek naar WhatsApp heeft het CBP daarom samen met de Canadese privacytoezichthouder verricht. Samen met zijn Europese collega-toezichthouders deed het CBP onderzoek naar de nieuwe privacyvoorwaarden van Google. De nieuwe voorwaarden bleken op verschillende punten strijdig met de Europese regelgeving, onder meer omdat Google geen toestemming vroeg voor het koppelen van bepaalde persoonsgegevens.