NL EN
  • Home»
  • Weblog »
  • AP: verwerking bijzondere persoonsgegevens door assessmentbureau in strijd met de wet

AP: verwerking bijzondere persoonsgegevens door assessmentbureau in strijd met de wet

Assessment bureau BrainCompass verwerkt persoonsgegevens over ras en gezondheid en doet dit in strijd met de Wet bescherming persoonsgegevens (Wbp). Zo concludeert de Autoriteit Persoonsgegevens (AP) in haar onderzoek dat deze week gepubliceerd werd. Grootste punt van kritiek is de manier waarop toestemming wordt gevraagd aan de deelnemers van een assessment. Ook is de beveiliging van persoonsgegevens niet op orde. Naar aanleiding van de voorlopige bevindingen van het onderzoek heeft BrainCompass verschillende aanpassingen doorgevoerd, maar deze zijn voor de AP nog niet afdoende. In haar persbericht vermeldt de AP over te zullen gaan tot handhaving als de overtredingen voortduren.

BrainCompass biedt een assessment platform dat de ontwikkeling van professionals vanuit een biologisch mensbeeld ‘empowered’. Op basis van een assessment en DNA analyse wordt een persoonlijk en biologisch profiel opgesteld ten behoeve van de professionele groei van de deelmemers. Nadat de AP signalen heeft ontvangen over onder meer het beheer van DNA-materiaal en de rechtmatigheid van de verwerking is zij overgegaan tot het doen van onderzoek. Getoetst is of BrainCompass de persoonsgegevens verwerkt volgens de geldende privacy regels.

Gegevens betreffende gezondheid
In het kader van haar assessment werkzaamheden verwerkt BrainCompass  persoonsgegevens over gezondheid, zoals gewicht, lengte, DNA en psychologische gegevens en ook gegevens over het ras van de deelnemer. Deze regels kwalificeren als bijzondere persoonsgegevens en het verwerken daarvan is in principe verboden (artikel 16 Wbp). Wel geldt een aantal wettelijke uitzonderingsgronden voor dit verbod, zodat het verwerken van bijzondere persoonsgegevens in sommige gevallen is toegestaan.

Toestemming
BrainCompass beroept zich voor alle verwerkingen van bijzondere persoonsgegevens op de wettelijke uitzonderingsgrond ‘uitdrukkelijke toestemming’ van de deelnemers (art. 23 lid 1 onder a Wbp). Volgens de AP kan BrainCompass echter geen geslaagd beroep doen op deze uitzonderingsgrond (en ook niet op de andere uitzonderingsgronden uit de wet). Van uitdrukkelijke toestemming kan alleen sprake zijn als deze vrij, specifiek en geïnformeerd is gegeven en aan geen van deze drie eisen is voldaan. Zo is de toestemming niet vrij gegeven, omdat een deel van de deelnemers de assessment ondergaat binnen een arbeidsrelatie. In een dergelijke relatie, waarin de werknemer afhankelijk is van de werkgever, is doorgaans geen sprake van vrij gegeven toestemming, ook niet als de werknemer hierover een verklaring aan BrainCompass heeft gegeven.

Ook is de toestemming niet specifiek en geïnformeerd. De informatie die BrainCompass heeft gegeven is namelijk niet juist, volledig, duidelijk en nauwkeurig. Onder meer de informatie over verstrekking van persoonsgegevens aan derden is onvolledig en onduidelijk.

Beveiliging
Ten aanzien van beveiliging heeft BrainCompass volgens de AP verschillende verbeteringen doorgevoerd, te weten het (laten) uitvoeren van een Privacy Impact Assessment, een risicoanalyse en een externe controle. De AP struikelt echter nog over het ontbreken van een beveiligingsbeleid. Elke organisatie die persoonsgegevens verwerkt, moet immers passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of misbruik. Deze maatregelen kunnen uitgebreider zijn, naarmate de privacy impact voor de betrokkenen groter is. BrainCompass verwerkt op grote schaal bijzondere persoonsgegevens en heeft dus ook een vergaande plicht ten aanzien van deze maatregelen.

De AP benadrukt tenslotte dat de uitslag van dit onderzoek niet zonder meer vertaald kan worden naar alle assessmentbureaus en dat per organisatie beoordeeld moet worden of de verwerking van persoonsgegevens rechtmatig is.

BRON: autoriteitpersoonsgegevens.nl


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.