De Autoriteit Persoonsgegevens heeft op 21 november 2017 onderzoek gepubliceerd naar het bedrijf BrainCompass. Het concludeert dat het bedrijf onrechtmatig assessments verricht in opdracht van werkgevers. Alle bedrijven die assessments (laten) verrichten dienen hier rekening mee te houden.
Assessment 2.0
Uit het onderzoek begrijp ik dat BrainCompass assessments verricht op basis van wat uitgebreider onderzoek dan bij reguliere assessmentbureaus vaak het geval is. Naast de (klassieke) psychologische vragenlijsten/testen, wordt ook DNA afgenomen en worden maten en gewichten van de persoon opgenomen.
Ik vermoed dat het gegeven dat dit bedrijf dergelijk uitvoerig onderzoek verricht de 'trigger' is geweest voor het onderzoek (nog even los van de vraag of er uit DNA bij de huidige stand van zaken wel zo veel af te leiden valt over iemands toekomstige werkprestaties...).
Verwerking bijzondere persoonsgegevens
De Autoriteit Persoonsgegevens (AP) concludeert dat het bedrijf daarmee zogenaamde "bijzondere persoonsgegevens" verwerkt. De verzamelde gegevens kwalificeren volgens de AP namelijk als gegevens omtrent de gezondheid (daarover verderop in de blog nog meer).
Toestemming vereist, maar werknemer niet vrij
Voor de verwerking van gezondheidsgegevens is een ofwel (i) een beroep op een wettelijke uitzondering vereist of (ii) uitdrukkelijk toestemming van de betrokkene.
De AP concludeert dat er (i) geen wettelijke uitzondering van toepassing is en (ii) dat sollicitanten die in opdracht van hun beoogd werkgever een assessment doen niet in vrijheid toestemming kunnen geven. Van geldige toestemming is aldus volgens de Autoriteit Persoonsgegevens geen sprake.
Dit laatste is op zichzelf vaste lijn van de Autoriteit. Niettemin staat deze strenge visie op de vereisten voor toestemming wel op gespannen voet met de wil-/vertrouwensleer zoals we die in het Nederlands recht kennen. Zo kan een werkgever gehouden zijn te onderzoeken of een werknemer echt bedoelde per direct ontslag te nemen, maar kan het evengoed zo zijn dat de werknemer zelf capabel genoeg wordt geacht om de consequenties van zijn handelen te overzien. De Autoriteit Persoonsgegevens daarentegen houdt iedere werknemer - vrij paternalistisch - a priori niet in staat om zelf in vrijheid al dan niet ergens toestemming voor te geven.
Wij van WC-eend....
Opmerkelijk is dat het rapport veelvuldig onderbouwd wordt met verwijzingen naar de artikel 29 werkgroep. Die werkgroep bestaat uit o.m. vertegenwoordigers van de toezichthouders, dus o.a. de Autoriteit Persoonsgegevens zelf. In het verleden was de voorzitter van de AP zelfs voorzitter van de werkgroep.
Je krijgt daardoor de opmerkelijke situatie dat de Autoriteit Persoonsgegevens, met haar Nederlandse pet op, haar beslissing motiveert door te verwijzen naar de argumentatie van de artikel 29 werkgroep (lees: de AP en Europese collega-autoriteiten, nu met Europese pet op). De toezichthouder creëert zo min of meer haar eigen regels.
Persoonsgegevens
Dat leidt tot enkele opmerkelijke overwegingen. Zo is in het rapport het volgende te lezen over het begrip persoonsgegevens:
Identificatie kan in bepaalde gevallen ook plaatsvinden zonder dat de naam van de persoon wordt achterhaald. Vereist is slechts dat de gegevens ervoor zorgen dat een bepaald persoon kan worden onderscheiden van anderen. Wanneer gegevens gekoppeld worden aan een uniek nummer is volgens de Artikel 29-werkgroep8 (hierna: de Groep) doorgaans sprake van een geïndividualiseerd persoon.
Dit staat haaks op het Brayer-arrest van het Hof van Justitie. Het Hof van Justitie oordeelt immers dat een IP-adres (lees: een uniek nummer) alleen is te beschouwen als een persoonsgegeven:
wanneer hij beschikt over wettige middelen waarmee hij de betrokken persoon kan identificeren aan de hand van extra informatie die bij de internetprovider van deze persoon berust.
Oftewel: waar de WP29 individualiseerbaarheid voldoende vindt, vereist de hoogste Europese rechter identificeerbaarheid. Op dit punt is het rapport dus aantoonbaar onjuist (m.n. 2e zin van voornoemd citaat uit het rapport).
Bijzondere persoonsgegevens
Ook ten aanzien van het begrip "bijzondere persoonsgegevens" gebeurt iets soortgelijks. De Autoriteit constateert namelijk eerst dat ze zelf in 2012 heeft geconcludeerd dat gegevens die bij asssessments worden verzameld weliswaar gevoelig zijn, maar niet kwalificeren als "bijzondere persoonsgegevens".
In een onderzoek uit 2012 heeft het CBP geconcludeerd dat gegevens die bij psychologische testen/assessments werden verzameld, gevoelig zijn van aard. Deze gegevens zeggen iets over de psychische gesteldheid, vaardigheden en beperkingen van betrokkenen en kunnen zwaarwegende consequenties hebben voor de opstelling van de werkgever ten opzichte van de werknemer.
Vervolgens constateert ze echter dat de WP29 (lees: de AP met Europese collega's) later in de opinie over eHealth in apps hebben geoordeeld dat het begrip "gezondheidsgegeven" ruimer moet worden uitgelegd.
In de ANNEX –health data in apps and devices van de Groep uit februari 2015 is het volgende -voor zover relevant- opgenomen over het begrip gezondheidsgegeven:
“In its proposal for a data protection Regulation the European Commission has proposed (unchanged by the European Parliament) the following definition in Paragraph 26 of the Preamble:
Personal data relating to health should include in particular all data pertaining to the health status of a data subject; (…) information derived from the testing or examination of a body part or bodily substance, including biological samples; (…), disease risk, medical history (…). But health data (…) is a much broader term than the term ‘medical’. Based on the current Data Protection Directive, national legislators, judges and DPA’s have concluded that information such as the fact that a woman has broken her leg (…), that a person is wearing glasses or contact lenses, data about a person’s intellectual and emotional capacity (such as IQ), information about smoking and drinking habits (…), Weight Watchers, are all data concerning the health of individual data subjects. (…). For data to qualify as health data it is not always necessary to establish ‘ill health’.”
Zonder dat er rechtspraak aan te pas komt, wijzigt dus het oordeel van de toezichthouder over de interpretatie van de wet.
Vergelijk voorgaande citaat bovendien met de uiteindelijke overweging die in de Algemene Verordening Gegevensbescherming is terechtgekomen (en die m.i. toch meer lijkt te verwijzen naar gegevens die met een medische behandeling te maken hebben):
Persoonsgegevens over gezondheid dienen alle gegevens te omvatten die betrekking hebben op de gezondheidstoestand van een betrokkene en die informatie geven over de lichamelijke of geestelijke gezondheidstoestand van de betrokkene in het verleden, het heden en de toekomst. Dit omvat informatie over de natuurlijke persoon die is verzameld in het kader van de registratie voor of de verlening van gezondheidszorgdiensten als bedoeld in Richtlijn 2011/24/EU van het Europees Parlement en de Raad (9) aan die natuurlijke persoon; een aan een natuurlijke persoon toegekend cijfer, symbool of kenmerk dat als unieke identificatie van die natuurlijke persoon geldt voor gezondheidsdoeleinden; informatie die voortkomt uit het testen of onderzoeken van een lichaamsdeel of lichaamseigen stof, met inbegrip van genetische gegevens en biologische monsters; en informatie over bijvoorbeeld ziekte, handicap, ziekterisico, medische voorgeschiedenis, klinische behandeling of de fysiologische of biomedische staat van de betrokkene, ongeacht de bron, zoals bijvoorbeeld een arts of een andere gezondheidswerker, een ziekenhuis, een medisch hulpmiddel of een in-vitrodiagnostiek.
Grote gevolgen voor assessment bureaus
Terug naar het rapport. Als de Autoriteit deze lijn door zet, dan kunnen alle assessmentbureaus in Nederland hun deuren wel sluiten. Assessments worden immers veelal in opdracht van (beoogd) werkgevers afgenomen en de resultaten worden met die (beoogd) werkgevers gedeeld. Als de (beoogd) werknemer daar zelf geen toestemming voor kan geven, dan is er dus geen geldige grondslag voor de verwerking van gegevens en kan de assessment (dus) niet worden afgenomen.
Het lijkt me dan ook haast onvermijdelijk dat BrainCompass, al dan niet samen met haar concurrenten, de (overlevings)strijd aanbindt met de AP.
En grote gevolgen voor werkgevers
Uiteraard geldt voor werkgevers in feite hetzelfde. Zij mogen volgens de Autoriteit in feite niet beschikken over assessment rapporten. Ik schat zo in dat er daar vele honderdduizenden van circuleren in Nederland. Volgens de eigen beleidsregels van de AP staat daarop een minimumboete van 350.000 euro. Ik ben erg benieuwd of de AP consequent is en (nagenoeg) alle werkgevers van Nederland gaat beboeten.
Wordt dus ongetwijfeld vervolgd.
Vragen?
Heeft u vragen over privacyrecht? Neem dan contact op met mij of een van de collega's uit het privacyteam.