Mogelijk toekomstige verantwoordingsbeginsel nu al steeds meer zichtbaar
Op 13 juli 2010 kwamen de gezamenlijke Europese privacytoezichthouders met een opinie die bepleitte dat bij de herziening van het privacyrecht een verantwoordingsbeginsel zou moeten worden geintroduceerd (zie ook [intlink id="5327" type="post"]de presentatie van ons privacyseminar van 7 april 2011)[/intlink]. Met andere woorden: volgens de privacytoezichthouders, waaronder het CBP, zouden bedrijven en instellingen door middel van een goed beleid moeten kunnen verantwoorden dat de verwerkingen van persoonsgegevens die zij uitvoeren in overeenstemming met de wet zijn. Een dergelijke verplichting staat op dit moment (nog) niet in de wet.
Het jaarverslag van het CBP laat echter bij herhaling zien dat het college het nu al van belang vindt dat bedrijven en instellingen kunnen laten zien dat ze voldoen aan de wet en dat het van belang is dat de organisatie een adequaat privacybeleid hanteert. Zo benadrukt het CBP dat "bedrijven en overheden nu aan zet zijn (...) en moeten kunnen aantonen dat zij de persoonsgegevens van hun klanten en van de burgers zorgvuldig en volgens de regels van de wet verzamelen en gebruiken" (pagina 6) en dat het ook aan hen is om aantoonbaar "goede informatie" aan de betrokkenen te verstrekken (pagina 12). Ook merkt het CBP op dat het handhavend heeft opgetreden bij een instelling die "geen beveiligingsplan [heeft] opgesteld en evenmin beveiligingsmaatregelen aantoonbaar [heeft] vastgelegd" (pagina 15), bij een bedrijf dat niet beschikte "over een verantwoord beleid voor bewaartermijnen" (pagina 17) en bij ziekenhuizen die geen "adequate risicoanalyse" hebben uitgevoerd (pagina 19). Kennelijk is het CBP van mening dat het niet hebben van een beveiligingsplan of beleid over bewaartermijnen of het niet maken van risicoanalyses een schending van de WBP vormt.
Deze opvatting van het CBP verbaast me niet. Tijdens ons [intlink id="4312" type="post"]privacyseminar van 7 april 2011[/intlink] hebben we er op gewezen dat op dit moment een organisatie om te kunnen voldoen aan de wet de facto wel een privacybeleid moet hebben (zie ook sheet 16 van [intlink id="5327" type="post"]de presentatie[/intlink]). Wanneer met de herziening van de privacyrichtlijn inderdaad een verantwoordingsbeginsel wordt geintroduceerd, zal vermoedelijk vooral duidelijker worden hoe ver een dergelijk beleid dan moet strekken en wat er in dat kader precies van organisaties verwacht kan worden.
Prioriteiten van het CBP voor 2011
Het CBP kondigt in het jaarverslag ook enkele aandachtspunten aan voor het komende jaar. Het valt daarbij op dat het CBP zwaar hecht aan transparantie en vereist dat de nodige moeite wordt gedaan om daadwerkelijk aan de betrokkene duidelijk te maken wat er met zijn persoonsgegevens gebeurt: "Naarmate de complexiteit van gegevensverwerkingen toeneemt, wordt het belangrijker dat informatie de burger daadwerkelijk duidelijkheid biedt. Bedrijven mogen niet lichtvaardig aannemen dat de burger toestemming heeft gegeven voor een bepaalde gegevensverwerking. Zij hebben de plicht de burger conform de wettelijke eisen te informeren over de verwerking van zijn persoonsgegevens.".
Dat wordt vervolgens uitgewerkt in de volgende aandachtspunten voor 2011 in de private sector:
- Verwerking van locatiegegevens
- Derdenverstrekking en profilering (aandacht voor het automatisch online volgen van mensen)
- Risicovol internationaal transport van gevoelige (waaronder medische) gegevens
- Ruime aandacht voor datalekken. Het CBP heeft veel signalen ontvangen dat bedrijven het niet zo nauw nemen met de beveiliging van persoonsgegevens.
- Burgervolgsystemen in de sociale zekerheid, meer specifiek de grote risico's die uitgan van het kopppelen van allerlei bestanden.
- ov-chipkaart, meer specifiek het gebruik van die gegevens voor marketingdoeleinden.
- Identificatie en verificatie van persoonsgegevens, meer specifiek het opstellen van richtsnoeren over het maken van kopieen van identificatiepapieren.
De aandachtsgebieden voor de publieke sector zijn:
- Onderwijs en beveiliging: onderzoek naar verwerking van (gevoelige) gegevens op het intranet van scholen.
- Gebruik en verstrekking kentekengegevens en controle door de rdw: onderzoek naar het verstrekken van gegevens uit het kentekenregister aan advocatuur, gerechtsdeurwaarders
en stichtingen rechtsbijstand. - Verwerking van politiegegevens: onderzoek naar de verwerking van politiegegevens.
- Audit Wet politiegegevens (Wpg): onderzoek naar het nakomen van de auditverplichting.