Vergroot contrast

Maandoverzichten alternatieve interventies

Op basis van tips die de Autoriteit Persoonsgegevens krijgt van mensen over mogelijke overtredingen van hun privacy, kan de Autoriteit Persoonsgegevens besluiten een onderzoek te starten. Maar de Autoriteit Persoonsgegevens kan ook eerst een gesprek voeren met een organisatie die mogelijk de wet overtreedt of deze organisatie een brief sturen. Dit noemen we alternatieve interventies.

De frontoffice analyseert de binnengekomen tips en voert geregeld een alternatieve interventie uit. Complexere zaken gaan door naar de backoffice, die er ofwel voor kan kiezen een alternatieve interventie uit te voeren, ofwel een officieel onderzoek te starten.

Onderstaande overzichten laten zien hoeveel alternatieve interventies de frontoffice in elke maand heeft afgerond en waar die over gingen.

Alternatieve interventies december 2015

In december hield de Autoriteit Persoonsgegevenszich onder meer bezig met de kosten voor inzage.

De Autoriteit Persoonsgegevens nam contact op met een zorgverlener die 50 euro vroeg aan een patiënt voor een afschrift van zijn medisch dossier. Voor het verstrekken van kopieën mag een organisatie een vergoeding vragen van € 0,23 per pagina met een maximum van € 5,00. Alleen bij meer dan 100 pagina’s, een moeilijk toegankelijke gegevensverwerking of het afdrukken van een of meer röntgenfoto’s mag een organisatie hoogstens € 22,50 vragen. De zorgverlener heeft na het contact met de Autoriteit Persoonsgegevens zijn werkwijze aangepast.

Hoeveel alternatieve interventies?

Onderwerp Afgerond met gesprek Afgerond met brief
Kopie ID/gebruik BSN 4 6
Beveiliging 5  
Cameratoezicht   3
Medische gegevens   1
Publicatie op internet 1  
Inzage 1  

Alternatieve interventies november 2015

In november richtte de Autoriteit Persoonsgegevens zich onder meer op organisaties die bijzondere persoonsgegevens verwerken, zoals gezondheidsgegevens en het burgerservicenummer, terwijl zij dat niet mogen.

De Autoriteit Persoonsgegevens nam bijvoorbeeld contact op met de makers van een televisieprogramma. Mensen die zich als kandidaat voor dit programma wilden opgeven, moesten in het aanmeldformulier vragen beantwoorden over hun gezondheid en strafrechtelijk verleden. Maar de programmamakers mogen deze gegevens helemaal niet verwerken, omdat dit zogeheten bijzondere persoonsgegevens zijn. Na het contact met de Autoriteit Persoonsgegevens hebben de programmamakers deze vragen uit het aanmeldformulier gehaald.

Hoeveel alternatieve interventies?

Onderwerp Afgerond met gesprek Afgerond met brief
Kopie ID/gebruik BSN 3 10
Te veel gegevens verwerken 2  
Beveiliging 1  
Bewaartermijnen 1  
Cameratoezicht   1
Medische gegevens   1

Alternatieve interventies oktober 2015

Beveiliging van persoonsgegevens was ook in oktober een belangrijk onderwerp voor de Autoriteit Persoonsgegevens.

Om een parkeervergunning aan te vragen bij een gemeente moesten mensen veel - ook gevoelige - gegevens aanleveren via een onbeveiligd webformulier. De Autoriteit Persoonsgegevens nam contact op met de organisatie die alle parkeeraangelegenheden voor deze (en veel andere) gemeenten uitvoert.

De organisatie heeft daarop alle onbeveiligde websites om laten bouwen naar een https-verbinding. Ook adviseerde de organisatie alle leden die zelf hun websites beheren om de beveiliging van deze websites te checken en een https-verbinding te gebruiken als mensen via de website persoonsgegevens moeten versturen.

Hoeveel alternatieve interventies?

Onderwerp Afgerond met gesprek Afgerond met brief
Kopie ID-bewijs/gebruik BSN 5 4
Beveiliging 5  
Cameratoezicht   2

Alternatieve interventies september 2015

In september richtte de Autoriteit Persoonsgegevens zich vooral op het kopiëren van het identiteitsbewijs van ingeleende werknemers.

De Autoriteit Persoonsgegevens kreeg in september opvallend veel vragen over opdrachtgevers die een kopie van het identiteitsbewijs vroegen van ingeleende werknemers. Soms dreigde de opdrachtgever zelfs om de werknemer geen salaris uit te betalen als deze geen kopie afstond. Dat mag niet. Een opdrachtgever moet het identiteitsbewijs van een ingeleende werknemer controleren en hiervan enkele gegevens overnemen. Maar een kopie of scan maken is niet toegestaan.

De Autoriteit Persoonsgegevens nam hierover contact op met onder meer een groot bouwbedrijf. Dit bedrijf vroeg een kopie van het identiteitsbewijs van ingeleende werknemers die op een bouwplaats voor de opdrachtgever aan de slag gingen. 

Hoeveel alternatieve interventies?

Onderwerp Afgerond met gesprek Afgerond met brief
Kopie ID-bewijs/gebruik BSN 6 8
Cameratoezicht   1
Te veel gegevens verwerken 1  
Toestemming 1  
Bewaartermijnen 1  

Alternatieve interventies augustus 2015

In augustus kreeg de Autoriteit Persoonsgegevensveel vragen en tips over facturen van een stichting die beweerde dat organisaties moeten betalen voor het gebruik van persoonsgegevens van bij de stichting ingeschreven consumenten.

Deze stichting biedt consumenten de mogelijkheid om een licentie af te sluiten. Vervolgens zouden bedrijven en organisaties de stichting moeten betalen om persoonsgegevens te gebruiken. En zouden de licentiehouders een deel van dit geld uitbetaald krijgen. Diverse organisaties zijn opgeschrikt door facturen van deze stichting.

De Autoriteit Persoonsgegevens benadrukte dat organisaties een wettelijke grondslag nodig hebben voor het verzamelen en gebruiken van persoonsgegevens. Organisaties moeten ervoor zorgen dat zij persoonsgegevens gebruiken in overeenstemming met de wet. Een licentie (en de betaling hiervan) is hiervoor niet nodig. Het is niet mogelijk om via een licentie een grondslag te krijgen voor het gebruik van persoonsgegevens.

Hoeveel alternatieve interventies?

Onderwerp Afgerond met gesprek Afgerond met brief
Beveiliging 4  
Kopie identiteitsbewijs   3
Cameratoezicht   2

Alternatieve interventies juli 2015

In juli heeft de Autoriteit Persoonsgegevens met verschillende organisaties contact gehad over de beveiliging van persoonsgegevens. Bijvoorbeeld omdat zij hun website onvoldoende hadden beveiligd.

Bij een woonorganisatie vroeg de Autoriteit Persoonsgegevens aandacht voor het publiceren van foto’s en personalia van bewoners op internet. In het wooncontract van deze organisatie stond dat de organisatie foto’s en namen van bewoners kon publiceren op internet, bijvoorbeeld via Twitter. Dat mag niet zomaar. Hiervoor moeten de mensen om wie het gaat eerst toestemming geven. En zij mogen hun toestemming ook altijd intrekken.

Ook moet de organisatie kijken naar het doel van de publicaties van foto's op internet. In dit geval was dat het op de hoogte houden van de familie van de bewoners. Maar dit kan ook op een afgeschermde website die alleen voor familieleden toegankelijk is. Dan mag het zonder eerst toestemming te vragen.

Hoeveel alternatieve interventies?

Onderwerp Afgerond met gesprek Afgerond met brief
Arbeidsrelatie   1
Beveiliging 5  
Toestemming 2  
Cameratoezicht 1 1
BSN 1  

Alternatieve interventies juni 2015

In juni stonden werkgevers in de spotlight van de Autoriteit Persoonsgegevens. Bijvoorbeeld omdat zij hun personeel controleerden met bewakingscamera’s.

De Autoriteit Persoonsgegevens stuurde naar 6 werkgevers een brief. In 5 gevallen ging het om werkgevers die beelden van beveiligingscamera’s gebruikten om werknemers aan te spreken op hun functioneren, wat niet mag. De zesde werkgever verplichtte werknemers als zij zich ziek meldden door te geven wat zij precies mankeerden. Ook dat is verboden.

Een onderwerp dat elke maand terugkomt, is onrechtmatig gebruik van het burgerservicenummer (BSN). De Autoriteit Persoonsgegevens nam in juni contact op met een werkgever waarbij het BSN werd gebruikt als inlogcode. Ook wees de Autoriteit Persoonsgegevens een organisator van een congres erop dat deze niet naar het BSN mag vragen als iemand zich wil inschrijven. Beide organisaties vragen hebben na het contact met de Autoriteit Persoonsgegevens hun werkwijze aangepast.

Hoeveel alternatieve interventies?

Onderwerp Afgerond met gesprek Afgerond met brief
Arbeidsrelaties   6
Beveiliging 2  
BSN 2  
Inzage 1  
Kopie ID-bewijs   3
Informatieplicht 1  

Alternatieve interventies mei 2015

In mei was een van de onderwerpen waarop de Autoriteit Persoonsgegevens zich richtte het kopiëren van identiteitsbewijzen.

De Autoriteit Persoonsgegevens stuurde een brief naar een bouwplaats die een kopie van het identiteitsbewijs van ingeleende werknemers eiste. Dat is niet toegestaan. De bouwplaats mag een aantal gegevens overnemen van het identiteitsbewijs van ingeleende werknemers, zoals hun BSN, maar geen kopie maken. Tenzij een ingeleende werknemer niet de nationaliteit heeft van een van de landen van de Europese Economische Regio.

In mei nam de Autoriteit Persoonsgegevens ook contact op met een werkgever die sollicitanten verplichtte een foto mee te sturen met een sollicitatie. Dat mag niet. Aan een foto is namelijk te zien welk ras iemands heeft. En dat kan leiden tot discriminatie bij de selectie van kandidaten. Een werkgever mag alleen een foto van een sollicitant hebben als diegene daarvoor toestemming heeft gegeven, dus als het vrijwillig is. Na de tussenkomst van de Autoriteit Persoonsgegevens vraagt deze werkgever niet langer om pasfoto’s van sollicitanten. Ook heeft de werkgever de tot die tijd verzamelde foto’s vernietigd.

Hoeveel alternatieve interventies?

Onderwerp Afgerond met gesprek Afgerond met brief
Arbeidsrelaties   2
Toestemming 2  
Beveiliging 1  
BSN 1  
Kopie ID-bewijs   1

Alternatieve interventies april 2015

In april sprak de Autoriteit Persoonsgegevens diverse werkgevers aan op verboden gebruik van camerabeelden en bedrijven op verboden gebruik van het BSN.

De Autoriteit Persoonsgegevens stuurde naar 7 werkgevers een brief om erop te wijzen dat het verboden is om camerabeelden te gebruiken om werknemers aan te spreken op hun functioneren. Het ging om 3 winkels, 2 horecagelegenheden, een zorginstelling en een sportcentrum.

Een ander onderwerp dat deze maand speelde, was verboden gebruik van het burgerservicenummer (BSN) door organisaties buiten de overheid. Zo vroeg een tv-producent naar het BSN van mensen die studio-opnames bijwoonden. Na contact met de Autoriteit Persoonsgegevens vraagt de tv-producent niet meer naar het BSN.

Een ophaalpunt voor postpakketten eiste het BSN én maakte een scan van het identiteitsbewijs van mensen die een pakket kwamen ophalen. Na contact met de Autoriteit Persoonsgegevens heeft de organisatie die de pakketten verstuurt aan alle ophaalpunten laten weten dat zij niet naar het BSN mogen vragen en ook geen kopie van ID-bewijzen mogen maken.

Onderwerp Afgerond met gesprek Afgerond met brief
Arbeidsrelaties   7
Beveiliging 2  
BSN 2  
Toestemming 1  

Alternatieve interventies maart 2015

In maart was beveiliging een belangrijk onderwerp voor de Autoriteit Persoonsgegevens.

De Autoriteit Persoonsgegevens nam contact op met enkele organisaties die de beveiliging van hun website niet op orde hadden. Bijvoorbeeld door het ontbreken van een beveiligde verbinding om de gegevens mee te versturen die mensen op de website invulden. Deze organisaties hebben er na het gesprek met de Autoriteit Persoonsgegevens voor gezorgd dat hun websites nu goed beveiligd zijn.

Onderwerp Afgerond met gesprek Afgerond met brief
Arbeidsrelaties 6  
Beveiliging 5  
BSN 3 1
Toestemming 1  

Alternatieve interventies februari 2015

In februari richtte de Autoriteit Persoonsgegevens zich speciaal op uitzendbureaus.

De Autoriteit Persoonsgegevens stuurde een brief aan 6 uitzendbureaus. De Autoriteit Persoonsgegevenshad tips ontvangen dat deze uitzendbureaus als mensen zich inschrijven naar hun burgerservicenummer (BSN) en/of een kopie van hun identiteitsbewijs vragen. Dat mag niet. Een uitzendbureau mag pas naar het BSN vragen of naar een kopie van het ID-bewijs vragen op het moment dat iemand daadwerkelijk voor het uitzendbureau aan de slag gaat.

Hoeveel alternatieve interventies?

Onderwerp Afgerond met gesprek Afgerond met brief
BSN 5 6
Beveiliging 3  
Bijzondere gegevens   1
Toestemming 1  

Alternatieve interventies januari 2015

In januari besteedde de Autoriteit Persoonsgegevens aandacht aan de beveiliging van de website van een gemeente.

Nadat de Autoriteit Persoonsgegevens opnam met deze gemeente, heeft die de gegevens van sollicitanten beter beveiligd. Mensen konden bij de gemeente online solliciteren, maar de gegevens die zij achterlieten waren onvoldoende beveiligd opgeslagen.

Hoeveel alternatieve interventies?

Onderwerp Afgerond met gesprek Afgerond met brief
Beveiliging 1  
BSN 1