NIEUWSBERICHTEN COLLEGE BESCHERMING PERSOONSGEGEVENS

Bron: www.cbpweb.nl

Humannet past beveiliging verzuimsysteem aan na onderzoek CBP

Persbericht/2 juni 2015

Het College bescherming persoonsgegevens (CBP) heeft tijdens onderzoek geconcludeerd dat de beveiliging van de verzuimsystemen van het ICT-bedrijf VCD Humannet B.V. tekort schoot. Veel werkgevers en arbodiensten gebruiken deze verzuimsystemen voor het verwerken van medische gegevens van werknemers. Aanbieders van verzuimsystemen zijn verantwoordelijk voor een adequate beveiliging van de medische gegevens in deze systemen. VCD Humannet heeft een deel van de geconstateerde overtredingen tijdens het onderzoek opgelost en maatregelen aangekondigd waardoor per 1 september álle overtredingen zijn beëindigd. Mede naar aanleiding van de resultaten van het onderzoek bij VCD Humannet stuurt het CBP vandaag een brief uit aan 53 andere beheerders van verzuimsystemen. Hierin benadrukt de toezichthouder het belang van passende maatregelen voor de beveiliging van medische gegevens.

Overtredingen VCD Humannet
Uit het onderzoek bij VCD Humannet bleek dat de medische gegevens in de systemen niet goed zijn beveiligd. Dit kwam onder meer doordat uitsluitend een gebruikersnaam en wachtwoord waren vereist om in te loggen. Dat is onvoldoende. Naast identificatie via een gebruikersnaam en een wachtwoord volgt uit de wet dat iemand ook nog op een andere manier zijn identiteit aantoont om toegang te krijgen tot het systeem (meerfactorauthenticatie).

VCD heeft inmiddels verschillende vormen van meerfactorauthenticatie ingevoerd en een plan van aanpak aangeleverd waaruit blijkt dat de enige resterende overtreding op dit punt per 1 september is beëindigd. Het CBP zal dit controleren.

Het CBP constateerde ook dat de beveiligingsrisico’s van de verzuimapplicaties niet periodiek in kaart werden gebracht en dat VCD Humannet onvoldoende aandacht had voor kwetsbaarheden die uit verschillende audits naar voren kwamen. Tijdens het onderzoek heeft VCD Humannet maatregelen getroffen waardoor deze overtredingen zijn beëindigd.

Medische gegevens werknemers
Medische gegevens, zoals in de verzuimsystemen opgenomen, zijn gegevens van gevoelige aard. Voor het verwerken hiervan gelden extra wettelijke eisen. Werkgevers en arbodiensten moeten werken met systemen waarin deze gegevens goed zijn beveiligd. En werknemers moeten daarop kunnen vertrouwen.

Aanbieders en beheerders van verzuimsystemen moeten daarom passende beveiligingsmaatregelen nemen zodat onbevoegden geen toegang kunnen krijgen tot de gegevens.

Brief aan beheerders verzuimsystemen
Het CBP stuurt vandaag ook een brief aan 53 beheerders van verzuimsystemen. In de brief benadrukt het CBP het belang van passende maatregelen om veiligheidsrisico’s te beperken. Voorbeelden hiervan zijn meerfactorauthenticatie en security scans.

Het CBP zal zo nodig onderzoek doen als er aanwijzingen zijn van strijd met de Wet bescherming persoonsgegevens bij beheerders van verzuimsystemen.


 


 

Ontwerpbesluit verwerking strafrechtelijke gegevens door Randstad

Nieuwsbericht/2 juni 2015

Het College bescherming persoonsgegevens (CBP) is voornemens om een door Randstad Nederland B.V. (hierna: Randstad) gemelde verwerking van persoonsgegevens rechtmatig te verklaren. De gemelde verwerking houdt in dat Randstad strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag verwerkt ten behoeve van derden, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b, van de Wet bescherming persoonsgegevens. Randstad verwerkt deze gegevens voor pre-employment screeningen om de achtergrond van flexwerkers te controleren of te onderzoeken.

Terinzagelegging van de stukken
Het op de melding betrekking hebbende ontwerpbesluit en de onderliggende stukken liggen ter inzage van maandag t/m vrijdag tussen 10.00 en 16.00 bij het CBP, Juliana van Stolberglaan 4-10 te Den Haag. Wilt u inzage in de stukken, dan graag een afspraak maken via telefoonnummer 070-8888 500.

U kunt het ontwerpbesluit van het CBP en het privacyprotocol voor pre-employment screening van Randstad ook downloaden via ‘Publicaties’ aan de rechterkant van deze pagina.

Zienswijze indienen
Bent u een belanghebbende? Dan kunt u uw zienswijze naar voren brengen over dit ontwerpbesluit. Dit doet u schriftelijk bij het CBP. Het adres is: Postbus 93374, 2509 AJ Den Haag. Vermeld in uw brief het zaaknummer z2015-00079.

U heeft 6 weken de tijd om uw zienswijze in te dienen. Deze termijn loopt vanaf 2 juni 2015, de datum waarop het ontwerpbesluit ter inzage is gelegd.



 

Ontwerpbesluit verwerking strafrechtelijke gegevens door Adecco

Nieuwsbericht/2 juni 2015

Het College bescherming persoonsgegevens (CBP) is voornemens om een door Adecco Group Nederland (hierna: Adecco) gemelde verwerking van persoonsgegevens rechtmatig te verklaren. De gemelde verwerking houdt in dat Adecco strafrechtelijke gegevens en/of gegevens over onrechtmatig of hinderlijk gedrag verwerkt ten behoeve van derden, anders dan in de gevallen genoemd in artikel 22, vierde lid, onderdelen a en b, van de Wet bescherming persoonsgegevens. Adecco verwerkt deze gegevens voor pre-employment screeningen om de achtergrond van flexwerkers te controleren of te onderzoeken.

Terinzagelegging van de stukken
Het ontwerpbesluit en de onderliggende stukken liggen ter inzage van maandag t/m vrijdag tussen 10.00 en 16.00 bij het CBP, Juliana van Stolberglaan 4-10 te Den Haag. Wilt u inzage in de stukken, dan graag een afspraak maken via telefoonnummer 070-8888 500.

U kunt het ontwerpbesluit van het CBP en het privacyprotocol van Adecco voor pre-employment screening ook downloaden via ‘Publicaties’ aan de rechterkant van deze pagina.

Zienswijze indienen
Bent u een belanghebbende? Dan kunt u uw zienswijze naar voren brengen over dit ontwerpbesluit. Dit doet u schriftelijk bij het CBP. Het adres is: Postbus 93374, 2509 AJ Den Haag. Vermeld in uw brief het zaaknummer z2015-00062.

U heeft 6 weken de tijd om uw zienswijze in te dienen. Deze termijn loopt vanaf 2 juni 2015, de datum waarop het ontwerpbesluit ter inzage is gelegd.

 


 

CBP adviseert over doorbreken geheimhoudingsplicht jeugdhulpverleners
Nieuwsbericht / 18 mei 2015

Het College bescherming persoonsgegevens (CBP) heeft advies uitgebracht over de Veegwet VWS 2015. Dit wetsvoorstel past onder andere de Jeugdwet aan. Daarmee wordt een wettelijke basis gelegd voor de doorbreking van de geheimhoudingsplicht van jeugdhulpverleners die gegevens van hun cliënten aan de gemeente doorgeven voor de betaling en controle van declaraties. Het CBP constateert dat met de voorgestelde wijzigingen nog steeds niet wordt voldaan aan de eisen voor de wettelijke doorbreking van de geheimhoudingsplicht.

De minister van Volksgezondheid, Welzijn en Sport (VWS) heeft deze wijzigingen opgenomen in de Veegwet VWS 2015 naar aanleiding van een brief van het CBP van maart 2015. In deze brief wees het CBP erop dat in de Jeugdwet het doorbreken van de geheimhoudingsplicht om persoonsgegevens te verstrekken voor de bekostiging van jeugdhulp niet goed is geregeld. Er is een expliciete en specifieke verplichting nodig voor jeugdhulpverleners om de geheimhoudingsplicht te doorbreken, aldus het CBP.

Expliciete verplichting
Een van de voorgestelde wijzigingen van de Jeugdwet is dat ‘bekostiging’ als doel voor de verwerking van gegevens door gemeenten is toegevoegd. Maar daarmee is er nog steeds geen expliciete wettelijke verplichting voor jeugdhulpverleners om persoonsgegevens – waaronder bijzondere persoonsgegevens en het BSN – voor dit doel te verstrekken aan gemeenten.

Daarnaast gaan de voorgestelde wijzigingen alleen over verwerking van persoonsgegevens bij declaraties op individueel niveau. Een verplichting om de geheimhoudingsplicht te doorbreken moet echter ook gelden bij andere vormen van bekostiging en voor controle.

Specifieke verplichting
Het wetsvoorstel laat het aan betrokken partijen zelf over om te regelen wanneer jeugdhulpverleners persoonsgegevens moeten doorgeven aan gemeenten en welke gegevens dit zijn. Dit leidt niet tot een verplichting, aldus het CBP. De aard en omvang van de verplichting tot verstrekking van persoonsgegevens moet wettelijk worden verankerd.

Ook wijst het CBP erop dat er een uitzondering nodig is voor cliënten in de ggz die bezwaar hebben tegen het verstrekken van hun gegevens aan de gemeente.

Handhaving door CBP
Het CBP krijgt veel vragen uit het veld over de rechtmatigheid van het verstrekken van persoonsgegevens bij de betaling van  jeugdhulp. Daarom heeft het CBP ook een brief geschreven aan de VNG, GGZ Nederland en Jeugdzorg Nederland.

De brief gaat in op de wijze waarop het CBP toeziet op de naleving van de geheimhoudingsplicht in de Jeugdwet. Mocht uit onderzoek blijken dat er in strijd met de Wet bescherming persoonsgegevens en de Jeugdwet persoonsgegevens zijn verstrekt, dan zet het CBP zo nodig handhavende bevoegdheden in.