Autoriteit Persoonsgegevens dwingt assessmentbureau BrainCompass na onderzoek werkwijze drastisch te veranderen
Assessment-platform BrainCompass heeft na een onderzoek van de Autoriteit Persoonsgegevens (AP) zijn werkwijze drastisch moeten aanpassen om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG).
Het assessmentbureau verwerkt niet langer persoonsgegevens over ras en gezondheid. Dat gebeurde wel, bleek uit onderzoek van de AP. Het verwerken van deze bijzondere gegevens is in strijd met de privacywet.
Toestemming deelnemers aasesment niet op juiste manier verkregen
De Autoriteit Persoonsgegevens concludeerde in 2017 dat BrainCompass niet op de juiste manier toestemming vroeg aan deelnemers voor de verwerking van hun gegevens.
Ook het beveiligingsbeleid van persoonsgegevens was niet op orde.
BrainCompass heeft verbeteringen doorgevoerd, zodat de overtredingen nu zijn beëindigd.
Assessment op basis van DNA
BrainCompass is een specifiek soort assessmentbureau. De basis voor hun rapportage is een persoonlijk en een biologisch profiel. Hiervoor worden gegevens over het ras van de deelnemer, gewicht en lengte, DNA-gegevens en psychologische gegevens verzameld en met elkaar in verband gebracht.
De AP besloot een onderzoek in te stellen nadat er signalen waren opgevangen over de informatieverstrekking van BrainCompass, over het beheer van het DNA-materiaal en over de rechtmatigheid van de verwerking.
Verbetermaatregelen
Een deel van de mensen die bij BrainCompass een assessment ondergaat, doet dit binnen een arbeidsrelatie. In zo’n relatie, waarin de werknemer (financieel) afhankelijk is van de werkgever, is over het algemeen geen sprake van ‘vrije’ toestemming.
BrainCompass heeft nu waarborgen ingebouwd waardoor de toestemming aan BrainCompass voldoende vrij is.
Zo is er een raamovereenkomst opgesteld voor de werkgever, deelt BrainCompass geen informatie over de deelnemer met de werkgever en worden de assessments niet meer in groepssessies afgenomen.
Geen bijzondere gegevens meer nodig voor assessment bij BrainCompass
Ook is er een BrainCompass-variant ontwikkeld waarbij in het geheel geen bijzondere persoonsgegevens worden verwerkt en worden klanten nu op de juiste manier geïnformeerd bij het vragen om toestemming.
Daarnaast heeft BrainCompass een beveiligingsbeleid opgesteld.