Het College Bescherming Persoonsgegevens (CBP) zou verplicht al zijn uitspraken moeten publiceren. Dat was een van de uitspraken van voorzitter Jacob Kohnstamm, tijdens de presentatie van het jaarverslag over 2014.
Organisaties stappen volgens Kohnstamm steeds vaker naar de rechter om een publicatie door zijn organisatie tegen te houden. De privacyschenders vrezen voor imagoschade als gevolg van kritische uitspraken van de privacywaakhond. Door de vele rechtszaken draait de juridische afdeling van het CBP overuren, aldus de voorzitter. Daarom beschouwt hij een verplichting tot publiceren als een steun in de rug.
In 2014 had het CBP speciale aandacht voor profilering. De toezichthouder deed verschillende onderzoeken naar het volgen van surfgedrag van internetters. Via zogeheten tracking cookies kunnen organisaties grote hoeveelheden persoonsgegevens verzamelen. Door deze gegevens vervolgens te analyseren en te combineren kunnen organisaties mensen in bepaalde profielen indelen en hen vervolgens anders behandelen of gerichter benaderen. Dat kan prettig zijn, als mensen daarover tenminste worden geïnformeerd en zelf een keuze hebben kunnen maken. Maar het kan voor hen ook ongunstige gevolgen hebben.
In onderzoeken bij advertentiebedrijf YD (inmiddels: Yieldr) en de Nederlandse Publieke Omroep (NPO) concludeerde het CBP dat deze organisaties de wet overtraden door via tracking cookies persoonsgegevens te verzamelen zonder daarvoor vooraf toestemming te vragen.
Het CBP legde Google een last onder dwangsom op voor het combineren van persoonsgegevens zonder dat het bedrijf internetgebruikers hierover vooraf goed informeerde en zonder dat het bedrijf hiervoor toestemming vroeg. De dwangsom kan oplopen tot 15 miljoen euro.
Het CBP vroeg in 2014 verschillende keren aandacht voor de risico’s op het gebied van persoonsgegevens die ontstaan door de overheveling van taken van het Rijk naar gemeenten. Zo benadrukte de organisatie dat gemeenten de naleving van de Wet bescherming persoonsgegevens niet kunnen opschorten als gevolg van een ‘lerende praktijk’. Hiermee reageerde het CBP op de beleidsvisie van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties over privacy in het sociaal domein, waarin wordt gesproken over een ‘lerende praktijk’ binnen gemeenten.
Randstad en Adecco, twee van de grootste Nederlandse uitzendbureaus, bleken tijdens onderzoek van het CBP op verschillende punten de wet te overtreden. Beide uitzendbureaus vroegen medische gegevens aan uitzendkrachten die zich ziek meldden, maakten kopieën van identiteitsbewijzen tijdens intakegesprekken en bewaarden de gegevens van uitzendkrachten langer dan noodzakelijk. Het CBP onderzocht ook de beveiliging van Suwinet, een systeem waarmee verschillende overheidsorganisaties (gevoelige) gegevens uitwisselen op het gebied van werk en inkomen. Zowel bij het UWV (als beheerder van Suwinet) als bij de gemeente ’s-Hertogenbosch (als afnemer) bleken de beveiligingsmaatregelen niet toereikend.
Het CBP organiseert van 26 tot en met 29 oktober 2015 de Internationale Privacyconferentie met als thema ‘Building bridges’. De bescherming van persoonsgegevens is in de verschillende rechtsstelsels op zeer uiteenlopende wijze in wetgeving vastgelegd. Zonder daar verandering in te willen aanbrengen, zullen tijdens deze conferentie privacyexperts van over de hele wereld praktische en pragmatische oplossingen bespreken die tot doel hebben te zorgen voor een betere privacybescherming.