Het CBP was het onderzoek bij arbodienst Tredin gestart naar aanleiding van een klacht van een werknemer over het verstrekken van zijn medische gegevens aan zijn werkgever. Tijdens het onderzoek ter plaatse trof het CBP bewijs aan dat de werkgever inzage had in documenten van de arbodienst met medische gegevens over de werknemer. Het CBP concludeerde dat de arbodienst het medisch beroepsgeheim op structurele basis had geschonden omdat het onrechtmatig medische gegevens had verstrekt aan werkgevers. Het CBP heeft de arbodienst op 30 oktober 2008 de definitieve bevindingen van het onderzoek toegezonden en de arbodienst in december 2008 geïnformeerd over het voornemen handhavend op te treden.
De arbodienst zorgt voor de verzuimbegeleiding en reïntegratie van zieke werknemers. Voor deze doelen is het wettelijk niet toegestaan dat de arbodienst de werkgever informatie over de medische aspecten van het verzuim verstrekt. De wet staat wel toe dat de werkgever wordt geïnformeerd over de functionele beperkingen en mogelijkheden van de werknemer.
Naast het handhavend onderzoek bij de arbodienst deed het CBP in 2008 ook onderzoek in andere sectoren. In het vandaag gepubliceerde jaarverslag staan onder meer de volgende door de toezichthouder geboekte resultaten:
Gezondheidszorg
Het wetsvoorstel dat de invoering van een landelijk elektronisch patiëntendossier (EPD) regelt is naar aanleiding van een kritisch wetgevingsadvies van het CBP aangepast. Het bij de Tweede Kamer ingediende wetsvoorstel bepaalt dat in beginsel alleen de medisch beroepsbeoefenaar die een behandelrelatie heeft met een patiënt toegang krijgt tot diens medisch dossier. Deze maatregel is van groot belang voor het waarborgen van de privacy van de patiënt. Het CBP heeft samen met de Inspectie voor de Gezondheidszorg (IGZ) onderzoek gedaan naar de informatiebeveiliging in twintig ziekenhuizen. Het onderzoek maakte duidelijk dat geen van de twintig ziekenhuizen aan de norm voor informatiebeveiliging voldeed. Het CBP en de IGZ wezen er op dat dit ernstige gevolgen kan hebben voor de kwaliteit van de zorg en de privacy van patiënten.
Internet
Door handhavend op te treden tegen websitehouders die in ernstige mate en op structurele wijze de Wbp overtreden en hierdoor grote groepen mensen schade kunnen berokkenen, heeft het CBP de alertheid van zowel websitehouders als betrokkenen vergroot. Het CBP heeft een risicoanalyse gemaakt met als uitkomst dat vooral jongeren risico’s lopen op internet. Daarom heeft de toezichthouder in 2008 onderzoeken uitgevoerd naar sites die zich specifiek op jongeren richten, waaronder een sociale netwerksite. Het CBP is tegen een aantal sites een procedure gestart, waarbij handhavende maatregelen werden aangekondigd.
Vervoer
Begin 2008 concludeerde het CBP na onderzoek dat de werking van de OV-chipkaart in Amsterdam in strijd was met de Wbp. In reactie hierop heeft het GVB mede namens de OV-bedrijven gesteld maatregelen te nemen en aan de eisen van wet te voldoen. De OV–bedrijven gaven onder meer aan geen persoonsgegevens te verwerken als een reiziger een persoonsgebonden chipkaart afneemt zonder een specifiek product van het OV-bedrijf, bijvoorbeeld een abonnement. Met betrekking tot het gebruik van reisgegevens voor marketingdoeleinden na invoering van de OV-chipkaart zijn de OV-bedrijven uiteindelijk met een systeem over de brug gekomen dat binnen de kaders van de Wbp wél is toegestaan. De OV-bedrijven mogen ten behoeve van reizigersgroei en reizigersspreiding gebruik maken van een beperkt aantal gefilterde reisgegevens. Het CBP ontwikkelde in 2008 ook richtsnoeren voor de toepassing van automatische kentekenherkenning (aangeduid als ANPR) door de politie die ter consultatie zijn verspreid. Het CBP stelt in de richtsnoeren dat ANPR onder voorwaarden is toegestaan. Gescande kentekens die bij toepassing van ANPR niet leiden tot een ‘hit’ moeten direct worden vernietigd.
Internationaal
Om toekomstige privacyproblemen het hoofd te kunnen bieden, zijn bindende internationale regels voor gegevensbescherming nodig. Het CBP werkt met collega-toezichthouders op Europees niveau en wereldwijd intensief aan de toekomst van het recht op gegevensbescherming. In 2008 is onder meer vooruitgang geboekt op het gebied van de naleving van de wet door internetzoekmachines. Gemeenschappelijk optreden van de 27 Europese privacytoezichthouders – verenigd in de Artikel 29-werkgroep, leidde tot belangrijke positieve ontwikkelingen bij zoekmachines waaronder het verkorten van de bewaartermijn van gegevens over het internetgebruikersgedrag. Ook hebben de privacytoezichthouders een kritisch advies uitgebracht over gegevensbescherming van topsporters in het kader van dopingcontrole. Op 1 januari 2009 is een nieuwe internationale standaard met antidopingregels in werking getreden, waarbij de privacytoezichthouders nog steeds kanttekeningen plaatsen. Zij zijn momenteel in overleg met de internationale anti-dopingautoriteit en bereiden een nieuw standpunt en verdere gezamenlijke stappen voor.