Autoriteit Persoonsgegevens dwingt assessmentbureau BrainCompass na onderzoek werkwijze drastisch te veranderen

Assessment-platform BrainCompass heeft na een onderzoek van de Autoriteit Persoonsgegevens (AP) zijn werkwijze drastisch moeten aanpassen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG).

Het assessmentbureau verwerkt niet langer persoonsgegevens over ras en gezondheid. Dat gebeurde wel, bleek uit onderzoek van de AP. Het verwerken van deze bijzondere gegevens is in strijd met de privacywet.

Toestemming deelnemers aasesment niet op juiste manier verkregen

De Autoriteit Persoonsgegevens concludeerde in 2017 dat BrainCompass niet op de juiste manier toestemming vroeg aan deelnemers voor de verwerking van hun gegevens.

Ook het beveiligingsbeleid van persoonsgegevens was niet op orde.

BrainCompass heeft verbeteringen doorgevoerd, zodat de overtredingen nu zijn beëindigd. 

Assessment op basis van DNA

BrainCompass is een specifiek soort assessmentbureau. De basis voor hun rapportage is een persoonlijk en een biologisch profiel. Hiervoor worden gegevens over het ras van de deelnemer, gewicht en lengte, DNA-gegevens en psychologische gegevens verzameld en met elkaar in verband gebracht.

De AP besloot een onderzoek in te stellen nadat er signalen waren opgevangen over de informatieverstrekking van BrainCompass, over het beheer van het DNA-materiaal en over de rechtmatigheid van de verwerking.

Verbetermaatregelen

Een deel van de mensen die bij BrainCompass een assessment ondergaat, doet dit binnen een arbeidsrelatie. In zo’n relatie, waarin de werknemer (financieel) afhankelijk is van de werkgever, is over het algemeen geen sprake van ‘vrije’ toestemming.

BrainCompass heeft nu waarborgen ingebouwd waardoor de toestemming aan BrainCompass voldoende vrij is.

Zo is er een raamovereenkomst opgesteld voor de werkgever, deelt BrainCompass geen informatie over de deelnemer met de werkgever en worden de assessments niet meer in groepssessies afgenomen.

Geen bijzondere gegevens meer nodig voor assessment bij BrainCompass

Ook is er een BrainCompass-variant ontwikkeld waarbij in het geheel geen bijzondere persoonsgegevens worden verwerkt en worden klanten nu op de juiste manier geïnformeerd bij het vragen om toestemming.

Daarnaast heeft BrainCompass een beveiligingsbeleid opgesteld.

Nederlandse malware hunter ontdekt vlak voor verkiezingen in Beieren datalek in Magento webshop regeringspartij CSU

De webshop van de Beierse politieke partij CSU blijkt voor de verkiezingen in de Duitse deelstaat gehackt te zijn. Het datalek werd ontdekt door de onafhankelijke Nederlandse privacy consultant en malware hunter Willem de Groot.

De CSU verloor bij de verkiezingen afgelopen zondag fors. En naar nu blijkt liggen daarnaast ook nog de klantgegevens van alle mensen die sinds 5 oktober CSU-fanartikelen en verkiezingsmateriaal in de webshop van de partij kochten op straat.

De CSU-webshop is momenteel niet meer bereikbaar.

Politiek gemotiveerde hack?

Op dit moment is het niet duidelijk of de aanval politiek gemotiveerd was. Maar dat zou kunnen, omdat de hackers enkel contactgegevens van de klanten van een politieke partij hebben buitgemaakt. De politieke voorkeur van deze klanten ligt dan voor bijna honderd procent voor de hand.

Politieke voorkeur valt onder hogere risicoklasse in AVG

De politieke voorkeur van mensen valt net als medische gegevens en etnische afkomst binnen de AVG onder de categorie bijzondere persoonsgegevens. Dit is een hogere risicocategorie die bij aantoonbaar nalatig handelen tot hogere boetes kan leiden.

 

De Nederlandse privacyspecialist Willem de Groot legt op zijn website en op Twitter uit dat de hackers waarschijnlijk gebruik hebben gemaakt van een ongepatchte kwetsbaarheid in de webshopsoftware of een zwak beheerderswachtwoord.

In dat geval is er duidelijk sprake van nalatigheid bij de CSU.

Webshop CSU is gebouwd met Magento software

De webshop van de CSU is gebouwd met de wereldwijd veel gebruikte webwinkelsoftware Magento.

Volgens De Groot zijn de cybercriminelen op 5 oktober in de webshop binnengedrongen met een Javascriptvirus.

 

De schadelijke JavaScript-code zou de gegevens van de kopers tijdens het betalingsproces hebben onderschept.

Hackers wisten dat ze alleen contactgegevens konden buitmaken

Omdat de CSU online shop alleen gebruik maakt van externe betalingsdienstaanbieders zoals Amazon en PayPal, moet het voor de aanvallers van meet af aan duidelijk zijn geweest dat zij via de door hen gekozen aanvalsroute geen toegang hadden tot de betalingsgegevens zelf.

De hackers konden op deze manier alleen namen en postadressen onderscheppen.

De Groot zegt aan de andere kant dat Magento webshops momenteel vaak worden gehackt.

Wereldwijd 40.000 Magento shops geinfecteerd met Magecart

“Het gaat niet alleen om de Duitse coalitiepartij”, schrijft De Groot op zijn website. Magento websites worden wereldwijd met grote regelmaat op dezelfde manier gehackt. “Ik heb vorige week de 40.000ste gecompromitteerde winkel geteld. De modus operandi is algemeen bekend als “Magecart”.”

Ook de Magentowebshops van grote ondernemingen als British Airways, Ticketmaster en ABS-CBN zijn volgens De Groot op dezelfde manier gehackt.

Pas op met het verwerken van bijzondere persoonsgegevens! Niet alleen vanwege de AVG

De verwerking van bijzondere persoonsgegevens is vanwege de gevoelige aard verboden, tenzij er een specifieke wettelijke uitzondering van toepassing is. En dan hebben we het niet alleen over de Algemene Verordening Gegevensbescherming (AVG).

Er kunnen naast de AVG extra regels gelden voor het verwerken van bijzondere persoonsgegevens. Zoals de Wet geneeskundige Behandelingsovereenkomst (WGBO) voor gegevens over gezondheid, waarin het medisch beroepsgeheim is vastgelegd.

Registratie ziekteverzuim

Gegevens over gezondheid zoals medische gegevens mogen alleen worden verwerkt door of onder verantwoordelijkheid van een beroepsbeoefenaar die gebonden is aan een beroepsgeheim of verplicht is tot geheimhouding. Dat is in praktijk de bedrijfsarts of de arbodienst.

Als iemand afwezig is wegens ziekte, is dat al een gezondheidsgegeven. Je mag registeren dat iemand ziek is en hoelang, maar niet meer dan dat. Je mag dus niet noteren dat de werknemer de griep heeft. Of een gebroken been en dat het herstel 6 weken kan duren. Dat mag alleen een arts doen.

Het registreren van de achtergrond van een ziekte is een verwerking die ook onder de AVG onder het verwerkingsverbod valt.

 

Bedrijfsarts heeft medisch beroepsgeheim

 

De bedrijfsarts mag geen informatie over de gezondheid van werknemers delen met de werkgever.

Het medisch beroepsgeheim geldt onder meer voor artsen (dus ook de bedrijfsarts), GZ-psychologen, psychotherapeuten, fysiotherapeuten, verloskundigen en verpleegkundigen). Dat is wettelijk geregeld in de Wet geneeskundige behandelingsovereenkomst (WGBO).

Geheimhoudingsplicht bedrijfsmaatschappelijk werker

 

Sommige werkgevers hebben als onderdeel van de arbozorg en preventie een bedrijfsmaatschappelijk werker ingehuurd voor hun werknemers. Daar is geen wettelijk geregeld medisch beroepsgeheim voor. Deze zorgverleners hebben echter wel een geheimhoudingsplicht. Ook zij mogen dus geen gezondheidsgegevens delen met de werkgever.

Geheimhoudingsplicht geregeld in beroepscode

De geheimhoudingsplicht is vaak geregeld in een beroepscode net als bij de vertrouwenspersoon bijvoorbeeld, en vaak is er ook tuchtrecht van toepassing.

92 miljoen stamboomonderzoekers getroffen door datalek bij MyHeritage

Stamboomonderzoek is een populaire hobby. Veel stamboomonderzoekers maken gebruik van de dienst MyHeritage. Dit bedrijf blijkt getroffen door een groot datalek.

Bij een hack zijn e-mailadressen en versleutelde wachtwoorden buitgemaakt, meldt MyHeritage op zijn blog. In totaal zijn er 92.283.889 accounts getroffen.

Bij MyHeritage kunnen gebruikers een DNA-test laten doen.

Door een DNA-proef op te sturen, kan het bedrijf een stamboom opstellen en families in kaart brengen.

 

Bij de hack gaat het om informatie van gebruikers die voor 26 oktober 2017 een account aanmaakten. Op die dag werd de hack uitgevoerd.

Een beveiligingsonderzoeker vond de data buiten de dienst op een particuliere server.

Facebook opnieuw in opspraak vanwege commercieel misbruik bijzondere persoonsgegevens

Facebook overtreedt volgens de Britse krant The Guardian en de Danish Broadcasting Corporation de nieuwe privacywet op grove wijze met zijn advertentiesysteem. Adverteerders blijken gericht te kunnen adverteren op basis van bijzondere persoonsgegevens van Facebookgebruikers.

Het betreft bijvoorbeeld doelgroepen die interesse hebben in onderwerpen als homoseksualiteit, islam en liberalisme.

In de Algemene Verordening Gegevensbescherming worden ras, etniciteit, politieke voorkeur, religie, seksleven en seksuele voorkeur gezien als bijzondere persoonsgegevens die door bedrijven niet verwerkt mogen worden voor commeciele doeleinden.

Facebook maakt duidelijk commercieel misbruik van de gevoelige informatie die leden van het social media platform delen. Facebook riskeert daarmee zeer forse boetes die tientallen miljoenen kunnen bedragen.

Facebook laat in een statement weten dat de manier waarop het deze informatie aanbiedt gewoon in overeenstemming met de relevante regelgeving is. Het classificeren als de interesses van een persoon is, zo stelde het, iets anders dan het classificeren van persoonlijkheidstrekjes.

Autoriteit Persoonsgegevens verbiedt registratieplicht prostituees in Utrecht

De gemeente Utrecht mag van de Autoriteit Persoonsgegevens (AP) geen gegevens over het seksuele leven van raamprostituees opnemen in een register. De AP is van oordeel dat de registratieplicht van raamprostituees door de gemeente Utrecht in strijd is met de Wet bescherming persoonsgegevens.

De gemeente Utrecht wilde raamprostituees verplichten zich te registreren bij het bevoegd gezag als zij als prostituee in een raamprostitutiebedrijf willen werken.

De gemeente Utrecht ziet de registratieplicht voor raamprostituees als een belangrijke maatregel bij de bestrijding van mensenhandel.

In verband met de Algemene Verordening Gegevensverwerking moest de gemeente Utrecht voor het verwerken van bijzondere persoonsgegevens zoals ras- en gezondheidsgegevens van raamprostituees ontheffing vragen bij de AP.

Registratieplicht

De Autoriteit Persoonsgegevens is van oordeel dat het verwerken van gegevens over het seksuele leven van personen een grote inbreuk kan hebben op de persoonlijke levenssfeer van betrokkenen.

Het is daarom verboden op grond van de Wet bescherming persoonsgegevens, tenzij sprake is van een wettelijke grondslag waarop de gemeente zich kan baseren.

Volgens de AP heeft de gemeente niet aannemelijk kunnen maken dat zij een beroep kan doen op de grondslag algemeen zwaarwegend belang.

Ontheffingsverzoek

De AP ziet daarnaast geen grond om het ontheffingsverzoek om bijzondere persoonsgegevens (gegevens over ras en gezondheid) van raamprostituees te honoreren.

Er is namelijk geen wetsvoorstel in de maak dat de structurele verwerking waarvoor ontheffing wordt verzocht, zal gaan regelen. Hierdoor is het verlenen van een ontheffing door de AP niet aan de orde.

Vervolgprocedure

Belanghebbenden die een zienswijze hebben ingediend, kunnen binnen zes weken na publicatie van dit besluit beroep instellen tegen dit besluit bij de rechtbank.