Privacy Nieuws
Assessment-platform BrainCompass heeft na een onderzoek van de Autoriteit Persoonsgegevens (AP) zijn werkwijze drastisch moeten aanpassen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG).
Het assessmentbureau verwerkt niet langer persoonsgegevens over ras en gezondheid. Dat gebeurde wel, bleek uit onderzoek van de AP. Het verwerken van deze bijzondere gegevens is in strijd met de privacywet.
Toestemming deelnemers aasesment niet op juiste manier verkregen
De Autoriteit Persoonsgegevens concludeerde in 2017 dat BrainCompass niet op de juiste manier toestemming vroeg aan deelnemers voor de verwerking van hun gegevens.
Ook het beveiligingsbeleid van persoonsgegevens was niet op orde.
BrainCompass heeft verbeteringen doorgevoerd, zodat de overtredingen nu zijn beëindigd.
Assessment op basis van DNA
BrainCompass is een specifiek soort assessmentbureau. De basis voor hun rapportage is een persoonlijk en een biologisch profiel. Hiervoor worden gegevens over het ras van de deelnemer, gewicht en lengte, DNA-gegevens en psychologische gegevens verzameld en met elkaar in verband gebracht.
De AP besloot een onderzoek in te stellen nadat er signalen waren opgevangen over de informatieverstrekking van BrainCompass, over het beheer van het DNA-materiaal en over de rechtmatigheid van de verwerking.
Verbetermaatregelen
Een deel van de mensen die bij BrainCompass een assessment ondergaat, doet dit binnen een arbeidsrelatie. In zo’n relatie, waarin de werknemer (financieel) afhankelijk is van de werkgever, is over het algemeen geen sprake van ‘vrije’ toestemming.
BrainCompass heeft nu waarborgen ingebouwd waardoor de toestemming aan BrainCompass voldoende vrij is.
Zo is er een raamovereenkomst opgesteld voor de werkgever, deelt BrainCompass geen informatie over de deelnemer met de werkgever en worden de assessments niet meer in groepssessies afgenomen.
Geen bijzondere gegevens meer nodig voor assessment bij BrainCompass
Ook is er een BrainCompass-variant ontwikkeld waarbij in het geheel geen bijzondere persoonsgegevens worden verwerkt en worden klanten nu op de juiste manier geïnformeerd bij het vragen om toestemming.
Daarnaast heeft BrainCompass een beveiligingsbeleid opgesteld.
Privacy Nieuws
De webshop van de Beierse politieke partij CSU blijkt voor de verkiezingen in de Duitse deelstaat gehackt te zijn. Het datalek werd ontdekt door de onafhankelijke Nederlandse privacy consultant en malware hunter Willem de Groot.
De CSU verloor bij de verkiezingen afgelopen zondag fors. En naar nu blijkt liggen daarnaast ook nog de klantgegevens van alle mensen die sinds 5 oktober CSU-fanartikelen en verkiezingsmateriaal in de webshop van de partij kochten op straat.
De CSU-webshop is momenteel niet meer bereikbaar.
Politiek gemotiveerde hack?
Op dit moment is het niet duidelijk of de aanval politiek gemotiveerd was. Maar dat zou kunnen, omdat de hackers enkel contactgegevens van de klanten van een politieke partij hebben buitgemaakt. De politieke voorkeur van deze klanten ligt dan voor bijna honderd procent voor de hand.
Politieke voorkeur valt onder hogere risicoklasse in AVG
De politieke voorkeur van mensen valt net als medische gegevens en etnische afkomst binnen de AVG onder de categorie bijzondere persoonsgegevens. Dit is een hogere risicocategorie die bij aantoonbaar nalatig handelen tot hogere boetes kan leiden.
De Nederlandse privacyspecialist Willem de Groot legt op zijn website en op Twitter uit dat de hackers waarschijnlijk gebruik hebben gemaakt van een ongepatchte kwetsbaarheid in de webshopsoftware of een zwak beheerderswachtwoord.
In dat geval is er duidelijk sprake van nalatigheid bij de CSU.
Webshop CSU is gebouwd met Magento software
De webshop van de CSU is gebouwd met de wereldwijd veel gebruikte webwinkelsoftware Magento.
Volgens De Groot zijn de cybercriminelen op 5 oktober in de webshop binnengedrongen met een Javascriptvirus.
De schadelijke JavaScript-code zou de gegevens van de kopers tijdens het betalingsproces hebben onderschept.
Hackers wisten dat ze alleen contactgegevens konden buitmaken
Omdat de CSU online shop alleen gebruik maakt van externe betalingsdienstaanbieders zoals Amazon en PayPal, moet het voor de aanvallers van meet af aan duidelijk zijn geweest dat zij via de door hen gekozen aanvalsroute geen toegang hadden tot de betalingsgegevens zelf.
De hackers konden op deze manier alleen namen en postadressen onderscheppen.
De Groot zegt aan de andere kant dat Magento webshops momenteel vaak worden gehackt.
Wereldwijd 40.000 Magento shops geinfecteerd met Magecart
“Het gaat niet alleen om de Duitse coalitiepartij”, schrijft De Groot op zijn website. Magento websites worden wereldwijd met grote regelmaat op dezelfde manier gehackt. “Ik heb vorige week de 40.000ste gecompromitteerde winkel geteld. De modus operandi is algemeen bekend als “Magecart”.”
Ook de Magentowebshops van grote ondernemingen als British Airways, Ticketmaster en ABS-CBN zijn volgens De Groot op dezelfde manier gehackt.
Privacy Nieuws
De verwerking van bijzondere persoonsgegevens is vanwege de gevoelige aard verboden, tenzij er een specifieke wettelijke uitzondering van toepassing is. En dan hebben we het niet alleen over de Algemene Verordening Gegevensbescherming (AVG).
Er kunnen naast de AVG extra regels gelden voor het verwerken van bijzondere persoonsgegevens. Zoals de Wet geneeskundige Behandelingsovereenkomst (WGBO) voor gegevens over gezondheid, waarin het medisch beroepsgeheim is vastgelegd.
Registratie ziekteverzuim
Gegevens over gezondheid zoals medische gegevens mogen alleen worden verwerkt door of onder verantwoordelijkheid van een beroepsbeoefenaar die gebonden is aan een beroepsgeheim of verplicht is tot geheimhouding. Dat is in praktijk de bedrijfsarts of de arbodienst.
Als iemand afwezig is wegens ziekte, is dat al een gezondheidsgegeven. Je mag registeren dat iemand ziek is en hoelang, maar niet meer dan dat. Je mag dus niet noteren dat de werknemer de griep heeft. Of een gebroken been en dat het herstel 6 weken kan duren. Dat mag alleen een arts doen.
Het registreren van de achtergrond van een ziekte is een verwerking die ook onder de AVG onder het verwerkingsverbod valt.
Bedrijfsarts heeft medisch beroepsgeheim
De bedrijfsarts mag geen informatie over de gezondheid van werknemers delen met de werkgever.
Het medisch beroepsgeheim geldt onder meer voor artsen (dus ook de bedrijfsarts), GZ-psychologen, psychotherapeuten, fysiotherapeuten, verloskundigen en verpleegkundigen). Dat is wettelijk geregeld in de Wet geneeskundige behandelingsovereenkomst (WGBO).
Geheimhoudingsplicht bedrijfsmaatschappelijk werker
Sommige werkgevers hebben als onderdeel van de arbozorg en preventie een bedrijfsmaatschappelijk werker ingehuurd voor hun werknemers. Daar is geen wettelijk geregeld medisch beroepsgeheim voor. Deze zorgverleners hebben echter wel een geheimhoudingsplicht. Ook zij mogen dus geen gezondheidsgegevens delen met de werkgever.
Geheimhoudingsplicht geregeld in beroepscode
De geheimhoudingsplicht is vaak geregeld in een beroepscode net als bij de vertrouwenspersoon bijvoorbeeld, en vaak is er ook tuchtrecht van toepassing.
Privacy Nieuws
Stamboomonderzoek is een populaire hobby. Veel stamboomonderzoekers maken gebruik van de dienst MyHeritage. Dit bedrijf blijkt getroffen door een groot datalek.
Bij een hack zijn e-mailadressen en versleutelde wachtwoorden buitgemaakt, meldt MyHeritage op zijn blog. In totaal zijn er 92.283.889 accounts getroffen.
Bij MyHeritage kunnen gebruikers een DNA-test laten doen.
Door een DNA-proef op te sturen, kan het bedrijf een stamboom opstellen en families in kaart brengen.
Bij de hack gaat het om informatie van gebruikers die voor 26 oktober 2017 een account aanmaakten. Op die dag werd de hack uitgevoerd.
Een beveiligingsonderzoeker vond de data buiten de dienst op een particuliere server.
Privacy Nieuws
De Landelijke Huisartsen Vereniging (LHV) zorgt voor verwarring rond de ‘verplichte’ aanstelling van een Functionaris Gegevensbescherming (FG) in de zorgsector.
Volgens een jurist die de LHV heeft geraadpleegd hoeven huisartsen met een eigen praktijk geen FG aan te stellen.
Dat is opmerkelijk. Want tot dusver leek de AVG heel duidelijk wat betreft de verwerking van medische persoonsgegevens.
Bijzondere persoonsgegevens
Medische persoonsgegevens zijn bijzondere persoonsgegevens en dan zou in alle gevallen een FG moeten worden aangesteld.
Sterker nog… huisartsen hadden vorig jaar al een FG moeten hebben, want er geldt voor hen ook nog een andere wet.
Persoonsgegevens in de zorg
Op 4 oktober 2016 is de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) aangenomen en sinds 1 juli 2017 is deze wet in werking.
Tegelijk met deze wet is bepaald dat alle zorginstellingen een functionaris moeten aanstellen voor bescherming van data.
Hiermee geeft de wetgever uiting aan het grote belang dat ze hecht aan een adequate en passende beveiliging van elektronische gegevensuitwisseling in de zorg.
De boodschap voor alle zorginstellingen in Nederland was daarom duidelijk; het aanstellen van een Functionaris Gegevensbescherming is vanaf 1 juli 2017 onontkoombaar.
Grootschalige verwerking
Volgens de jurist die de LHV raadpleegde staat er in de AVG echter dat er sprake moet zijn van grootschalige verwerking van persoonsgegevens. Een zelfstandige huisarts doet volgens de jurist niet aan grootschalige verwerking.
Wanneer is er dan wel sprake van grootschaligr verwerking?
Volgens de LHV boven de 10.000 patienten.
Zoveel patienten heeft mijn huisarts in ieder geval niet.
Maar hoe zit dat dan met andere zorginstellingen?
FG voor zorgboerderij?
Een van mijn klanten is eigenaresse van een zorgboerderij.
Ze is er van overtuigd dat ze een FG moet hebben.
Op basis van een verkorte PIA denk ik dat ook.
Een collega wijst echter op het artikel van de LHV. “Als een huisarts geen FG hoeft aan te stellen, dan hoeft een zorgboerderij dat zeker niet.”
Google FG Zorgboerderij
Wie op Google zoekt naar “zorgboerderij Functionaris Gegevensbescherming” ontdekt dat er een paar zorgboerderijen zijn die inmiddels een FG hebben aangesteld.
Heel veel zorgboerderijen hebben echter geen FG aangesteld.
Is dat een indicatie dat er geen FG nodig is?
Nee. Natuurlijk niet.
Heel veel organisaties hebben zich nog totaal niet verdiept in de AVG.
Bel de Autoriteit Persoonsgegevens
Bij twijfel is het verstandig om de Autoriteit Persoonsgegevens (AP) te raadplegen.
Op de site van de AP is niets te vinden over zorgboerderijen.
Dan maar even bellen.
Het is dinsdagmiddag kwart voor vijf. De AP is tot 17.00 uur bereikbaar, meldt de site.
”Er zijn nog vijf wachtenden voor u”, hoor ik.
Vijf minuten later ben ik al aan de beurt.
”Moet een zorgboerderij een FG aanstellen?”
Een vriendelijke vrouw zegt dat ze dat even zal uitzoeken.
Standaard vragenlijst FG
Ik hoor hoe ze de standaard vragenlijst doorloopt.
“…medische gegevens… Dat zijn bijzondere gegevens. Ja, er moet een FG worden aangesteld”, zegt ze.
Ik wijs haar op het oordeel van de LHV dat er bij huisartsen alleen bij grootschalige verwerking van bijzondere persoonsgegevens een FG hoeft te worden aangesteld. En dat dat onder de 10.000 patienten niet nodig zou zijn.
”De zorgboerderij heeft hooguit enkele tientallen clienten”, zeg ik.
Grijs gebied AVG
”De Autoriteit noemt geen aantallen als het gaat om grootschalige verwerking”, zegt ze. “Maar u heeft gelijk. Het betreft hier grijs gebied waar nog een uitspraak over moet worden gedaan.”
“Komt de zorgboerderij er mee weg als er voorlopig geen FG wordt aangesteld en dat besluit in het verwerkingsregister wordt gemotiveerd door te verwijzen naar het artikel van de LHV en dit telefoongesprek?”, vraag ik.
“Zo zou u het kunnen verantwoorden”, antwoordt de deskundige van de Autoriteit Persoonsgegevens.
Voorlopige oplossing
Ze zegt kortom niet dat ze daarmee akkoord gaat, maar ze zegt ook niet onomwonden dat de voorlopige oplossing goed is.
Ik wil weten hoe lang het nog kan duren dat er duidelijkheid komt.
Ze weet het niet.
Wel vertelt ze dat de definitie van grootschalige verwerking verduidelijkt zal worden. “En dan kan het best zijn dat zelfs een kleine praktijk met twintig patienten als grootschalig wordt gezien.”
De zorgboerderij heeft nog even uitstel wat betreft de FG.
Misschien is er straks helemaal geen FG nodig.
Dat betekent niet dat er op de zorgboerderij niets hoeft te worden gedaan met de AVG.
Ook zonder FG voldoen aan de AVG
Ook zonder FG moet de zorgboerderij de verwerking van persoonsgegevens door se eigen organisatie en andere partijen waarmee wordt samengewerkt met een PIA compleet doorlichten.
Waar nodig moet de ICT opnieuw worden ingericht. Er moeten protocollen worden vastgelegd. Verwerkingsovereenkomsten worden gesloten. Een awareness training voor het personeel, vrijwilligers en clientenraad worden georganiseerd.
Gelukkig heeft de organisatie al veel zaken goed op orde.
Wat dat betreft zou een FG ook geen probleem hoeven te zijn.
Het antwoord van de Autoriteit zit me ook nog niet lekker.
Dat antwoord is ook niet allesbepalend.
Rekening houden met andere wetgeving
Privacymanagers leren dat ze ook rekening moeten houden met andere wetten. De Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wvpz) is dan wel duidelijk. Er moet een FG komen.
Bij twijfel altijd controleren.
Dat zullen we morgen dan maar doen.
Wordt vervolgd.
Advies aan zorgboerderijen
P.S. Advies aan zorgboerderijen die nog niet met de AVG bezig zijn. U bent al te laat. U bent vanaf 25 mei in overtreding. Struisvogelpolitiek helpt niet. Kan duur uitpakken. Slimme zorgboeren slaan de handen ineen en stellen nu gezamenlijk een privacymanager aan. Zo kan kennis worden gedeeld en kosten worden bespaard.
En als die FG er toch moet komen kan die ook worden gedeeld.
Meer weten? Bel PrivacyZone: 06-31995740
Privacy Nieuws
Facebook overtreedt volgens de Britse krant The Guardian en de Danish Broadcasting Corporation de nieuwe privacywet op grove wijze met zijn advertentiesysteem. Adverteerders blijken gericht te kunnen adverteren op basis van bijzondere persoonsgegevens van Facebookgebruikers.
Het betreft bijvoorbeeld doelgroepen die interesse hebben in onderwerpen als homoseksualiteit, islam en liberalisme.
In de Algemene Verordening Gegevensbescherming worden ras, etniciteit, politieke voorkeur, religie, seksleven en seksuele voorkeur gezien als bijzondere persoonsgegevens die door bedrijven niet verwerkt mogen worden voor commeciele doeleinden.
Facebook maakt duidelijk commercieel misbruik van de gevoelige informatie die leden van het social media platform delen. Facebook riskeert daarmee zeer forse boetes die tientallen miljoenen kunnen bedragen.
Facebook laat in een statement weten dat de manier waarop het deze informatie aanbiedt gewoon in overeenstemming met de relevante regelgeving is. Het classificeren als de interesses van een persoon is, zo stelde het, iets anders dan het classificeren van persoonlijkheidstrekjes.
