Assessment-platform BrainCompass verwerkt persoonsgegevens over ras en gezondheid in strijd met de Wet bescherming Persoonsgegevens (Wbp). De Autoriteit Persoonsgegevens (AP) concludeert dit na onderzoek. Het grootste bezwaar is dat de manier waarop BrainCompass toestemming vraagt aan deelnemers voor de verwerking van hun gegevens niet voldoet.
Ook de beveiliging van persoonsgegevens is niet op orde. Tijdens het onderzoek heeft BrainCompass verschillende verbeteringen doorgevoerd. Het bedrijf voldoet echter nog niet aan de wettelijke voorwaarden. De AP is van plan tot handhaving over te gaan als de overtredingen voortduren.
BrainCompass is een specifiek soort assessmentbureau. De basis voor hun rapportage is een persoonlijk en een biologisch profiel. Hiervoor worden gegevens over het ras van de deelnemer, gewicht en lengte, DNA-gegevens en psychologische gegevens verzameld en met elkaar in verband gebracht.
De AP heeft getoetst of BrainCompass de persoonsgegevens verwerkt volgens de wettelijke regels. Aanleiding voor het onderzoek van de AP waren signalen over de informatieverstrekking van BrainCompass, over het beheer van het DNA-materiaal en over de rechtmatigheid van de verwerking.
Gezondheidsgegevens zijn bijzondere persoonsgegevens
Persoonsgegevens zoals ras, lengte, gewicht en DNA zijn bijzondere persoonsgegevens. Psychologische gegevens kunnen dit ook zijn. Het verwerken van deze bijzondere persoonsgegevens is in principe verboden op grond van de Wbp (artikel 16).
BrainCompass mag deze bijzondere persoonsgegevens dan ook niet verwerken. In de wet staan uitzonderingsgronden op dit verbod. De AP heeft vastgesteld dat BrainCompass geen (geslaagd) beroep kan doen op een van die wettelijke uitzonderingsgronden.
Toestemming van kandidaat geen passende waarborg bij arbeidsrelatie
Een van die uitzonderingsgronden is dat de betrokkene ‘uitdrukkelijke toestemming’ kan geven voor de verwerking van zijn/haar (bijzondere) persoonsgegevens. Van uitdrukkelijke toestemming kan alleen sprake zijn als deze vrij, specifiek en geïnformeerd is gegeven. De AP concludeert dat de toestemming die BrainCompass aan deelnemers vraagt, aan geen van deze drie voorwaarden voldoet.
Een deel van de mensen die bij BrainCompass een assessment ondergaan, doet dit binnen een arbeidsrelatie. In zo’n relatie, waarin de werknemer (financieel) afhankelijk is van de werkgever, is over het algemeen geen sprake van ‘vrije’ toestemming. Ook een verklaring van de werknemer dat hij in vrijheid toestemming heeft gegeven aan BrainCompass vindt de AP niet voldoende als passende waarborg.
Daarnaast heeft de AP geconcludeerd dat de informatie die BrainCompass verstrekt aan de (potentiële) deelnemers niet juist, duidelijk, volledig, begrijpelijk en nauwkeurig is. Zo is informatie over verstrekking van persoonsgegevens aan derden onduidelijk en onvolledig en verstrekt BrainCompass onjuiste en onvolledige informatie over de vrije toestemming in arbeidsrelaties.
Beveiliging
Iedere organisatie die persoonsgegevens verwerkt, moet passende technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen tegen verlies of misbruik.
Uit het onderzoek van de AP blijkt dat BrainCompass geen beveiligingsplan heeft voor informatiebeveiliging, terwijl BrainCompass op grote schaal bijzondere persoonsgegevens verwerkt.
Consequentie voor andere assessmentbureaus
De AP heeft onderzoek gedaan naar de verwerking van persoonsgegevens bij dit specifieke assessmentbureau. Deze uitspraak kan niet zonder meer vertaald worden naar alle assessmentbureaus.
Daarvoor is per organisatie van belang welke persoonsgegevens worden verzameld en welke verwerkingen ermee worden uitgevoerd, op welke manier toestemming wordt gevraagd en hoe de gegevens worden beveiligd.
