In 2016 startte de Autoriteit Persoonsgegevens ("AP") een onderzoek naar de verwerkingen van persoonsgegevens door het innovatieve assessmentplatform BrainCompass. Na een traject van ruim twee jaar heeft de Autoriteit Persoonsgegevens op 16 oktober jl. geoordeeld dat BrainCompass nu conform de geldende privacywetgeving persoonsgegevens verwerkt. In dit blogbericht besteed ik aandacht aan de verwerking van bijzondere persoonsgegevens door BrainCompass.
Het onderzoeksrapport
- Bijzondere persoonsgegevens
De AP oordeelde in haar onderzoeksrapport van oktober 2017 dat BrainCompass in het kader van het opstellen van rapporten voor deelnemers bijzondere persoonsgegevens verwerkte, meer specifiek: gezondheidsgegevens. De AP kwalificeerde in haar rapport niet alleen gewicht, lengte en DNA als gegevens betreffende de gezondheid, maar ook "psychologische gegevens". Met psychologische gegevens doelt de AP op gegevens betreffende iemands persoonlijkheid die verzameld worden middels de (persoonlijkheids-) vragenlijsten. Voorbeelden van gegevens betreffende de persoonlijkheid zijn volgens de AP onder meer, of iemand behoedzaam is of juist nieuwsgierig, of iemand vasthoudend is of uitdagend, wat het zelfbeeld is van een bepaald persoon en hoe iemand sociale situaties ervaart.
Interessant is dat de AP met de kwalificatie van gegevens betreffende iemands persoonlijkheid als bijzondere persoonsgegevens, terugkomt van haar eerdere oordeel dat gegevens die bij psychologische testen / assessments worden verzameld, wel gevoelig van aard zijn, maar niet bijzonder (onderzoek naar verwerking Bureau Jeugdzorg Noord Brabant, 2012, z2011-00959).
Vervolgens oordeelde de AP dat gegevens betreffende de gezondheid alleen verwerkt mogen worden, indien een uitzondering als bedoeld in artikel 16 Wet bescherming persoonsgegevens (thans: artikel 9 Algemene Verordening Gegevensbescherming). BrainCompass baseerde haar verwerkingen van bijzondere persoonsgegevens op toestemming (artikel 16 lid 1 sub a Wbp / artikel 9 lid 1 sub a AVG).
Om van een geldige toestemming te kunnen spreken, moet aan een aantal vereisten worden voldaan. Zo moet de toestemming op informatie berusten, specifiek en expliciet zijn en moet de toestemming in vrijheid kunnen worden gegeven. Met name het vereiste van "vrije" toestemming is een heikel punt. De AP is al eerder tot het oordeel gekomen dat in afhankelijkheidsrelaties, zoals dat het geval is in de relatie tussen overheid en burger en werkgever en werknemer, in veel gevallen geen sprake kan zijn van "vrije" toestemming.
De AP oordeelde, ondanks dat BrainCompass reeds verschillende maatregelen had genomen om tot geldige toestemming te komen, dat BrainCompass onder meer geen beroep kon doen op de uitzonderingsgrond "uitdrukkelijke toestemming", omdat voor de assessments die worden afgenomen binnen de arbeidsrelatie, geen vrije toestemming gegeven kan worden.
De kern van het onderzoeksrapport van de AP was dat BrainCompass bij het opstellen van een BrainCompass-rapport bijzondere persoonsgegevens verwerkt en dat zij geen beroep kon doen op de wettelijke uitzonderingsgrond toestemming, omdat deze niet vrij gegeven kon worden.
Vervolgtraject
In 2018 startte de AP een vervolgtraject bij BrainCompass. BrainCompass werd uitgenodigd voor een tweetal hoorzittingen, waarin zij de kans kreeg om haar aangepaste werkwijze uiteen te zetten.
De belangrijkste aanpassingen die BrainCompass heeft doorgevoerd naar aanleiding van het onderzoeksrapport van de AP, zijn de volgende:
- BrainCompass heeft een raamovereenkomst opgesteld, waarin zij afspraken maakt met de werkgever over (onder meer) privacy;
- De assessments worden niet meer in groepssessies afgenomen;
- BrainCompass heeft een assessment-variant ontwikkeld waarbij in het geheel geen persoonsgegevens worden verwerkt.
De AP is van oordeel dat deze wijzigingen maken dat BrainCompass nu wel voldoet aan de privacy wet- en regelgeving. BrainCompass heeft omstandigheden gecreëerd waarbinnen vrije toestemming toch mogelijk is. Een omstandigheid die relevant wordt geacht is het feit dat BrainCompass geen gegevens van deelnemers deelt met de werkgever. Dat heeft zij overigens ook in het verleden nooit gedaan.
Consequenties voor de praktijk
Uit het onderzoeksrapport en vervolgens het handhavingstraject blijkt dat de AP niet gemakkelijk afstapt van het uitgangspunt dat toestemming binnen de arbeidsrelatie niet vrij gegeven kan worden.
BrainCompass is een assessmentbureau dat zich enkel richt op persoonlijke ontwikkel-assessments, het draait om de ontwikkeling van het individu. Voor BrainCompass was het daardoor mogelijk om de werkgever volledig buiten het assessment-traject en de uitkomsten daarvan te houden. De werkgever krijgt in geen geval inzicht in de persoonsgegevens die in het kader van het assessment worden verwerkt.
Voor conventionele (werving en selectie) assessmentbureaus ligt dat gecompliceerder. Daarvoor geldt immers dat het doel van het assessment juist is de werkgever inzicht te geven in de kwaliteiten en valkuilen van de (potentiële) werknemer. De resultaten zullen in dat geval wel met de (potentiële) werkgever gedeeld worden. De vraag is nu of de verwerking van bijzondere persoonsgegevens, zoals gegevens over iemand persoonlijkheid, in dat geval gestoeld kan worden op de uitzonderingsgrond "uitdrukkelijke toestemming". De BrainCompass-casus doet vermoeden dat dat niet het geval zal zijn. De AP houdt immers stevig vast aan haar standpunt dat vrije toestemming binnen de arbeidsrelatie vaak niet mogelijk is.
Waar mogelijk ruimte zit, is de uitleg van het begrip "bijzondere persoonsgegevens". Zoals reeds vermeld, oordeelde de AP in 2012 dat gegevens die verzameld werden in het kader van psychologische tests en assessment weliswaar gevoelig waren, maar niet bijzonder. De AP is in het BrainCompass-rapport van dit standpunt afgeweken en verwijst naar de Annex Health data apps and devices (2016), waarin een brede uitleg van het begrip bijzondere persoonsgegevens wordt bepleit door de Article 29 Working Party (thans: European Data Protection Board). In de AVG komt deze brede uitleg niet terug. Wat ons betreft laat de AVG dus ruimte voor een engere interpretatie van het begrip bijzondere persoonsgegevens en zou betoogd kunnen worden dat het initiële standpunt van de AP zo gek nog niet was.
Zolang de AP geen duidelijkheid geeft over het begrip bijzondere persoonsgegevens, blijft het voor conventionele assessmentbureaus helaas onduidelijk of de uitkomsten van werving- en selectie assessments onder de AVG mogen worden gedeeld met werkgevers.
In 2016 startte de Autoriteit Persoonsgegevens ("AP") een onderzoek naar de verwerkingen van persoonsgegevens door het innovatieve assessmentplatform BrainCompass. Na een traject van ruim twee jaar heeft de Autoriteit Persoonsgegevens op 16 oktober jl. geoordeeld dat BrainCompass nu conform de geldende privacywetgeving persoonsgegevens verwerkt. In dit blogbericht besteed ik aandacht aan de verwerking van bijzondere persoonsgegevens door BrainCompass.
Het onderzoeksrapport
- Bijzondere persoonsgegevens
De AP oordeelde in haar onderzoeksrapport van oktober 2017 dat BrainCompass in het kader van het opstellen van rapporten voor deelnemers bijzondere persoonsgegevens verwerkte, meer specifiek: gezondheidsgegevens. De AP kwalificeerde in haar rapport niet alleen gewicht, lengte en DNA als gegevens betreffende de gezondheid, maar ook "psychologische gegevens". Met psychologische gegevens doelt de AP op gegevens betreffende iemands persoonlijkheid die verzameld worden middels de (persoonlijkheids-) vragenlijsten. Voorbeelden van gegevens betreffende de persoonlijkheid zijn volgens de AP onder meer, of iemand behoedzaam is of juist nieuwsgierig, of iemand vasthoudend is of uitdagend, wat het zelfbeeld is van een bepaald persoon en hoe iemand sociale situaties ervaart.
Interessant is dat de AP met de kwalificatie van gegevens betreffende iemands persoonlijkheid als bijzondere persoonsgegevens, terugkomt van haar eerdere oordeel dat gegevens die bij psychologische testen / assessments worden verzameld, wel gevoelig van aard zijn, maar niet bijzonder (onderzoek naar verwerking Bureau Jeugdzorg Noord Brabant, 2012, z2011-00959).
Vervolgens oordeelde de AP dat gegevens betreffende de gezondheid alleen verwerkt mogen worden, indien een uitzondering als bedoeld in artikel 16 Wet bescherming persoonsgegevens (thans: artikel 9 Algemene Verordening Gegevensbescherming). BrainCompass baseerde haar verwerkingen van bijzondere persoonsgegevens op toestemming (artikel 16 lid 1 sub a Wbp / artikel 9 lid 1 sub a AVG).
Om van een geldige toestemming te kunnen spreken, moet aan een aantal vereisten worden voldaan. Zo moet de toestemming op informatie berusten, specifiek en expliciet zijn en moet de toestemming in vrijheid kunnen worden gegeven. Met name het vereiste van "vrije" toestemming is een heikel punt. De AP is al eerder tot het oordeel gekomen dat in afhankelijkheidsrelaties, zoals dat het geval is in de relatie tussen overheid en burger en werkgever en werknemer, in veel gevallen geen sprake kan zijn van "vrije" toestemming.
De AP oordeelde, ondanks dat BrainCompass reeds verschillende maatregelen had genomen om tot geldige toestemming te komen, dat BrainCompass onder meer geen beroep kon doen op de uitzonderingsgrond "uitdrukkelijke toestemming", omdat voor de assessments die worden afgenomen binnen de arbeidsrelatie, geen vrije toestemming gegeven kan worden.
De kern van het onderzoeksrapport van de AP was dat BrainCompass bij het opstellen van een BrainCompass-rapport bijzondere persoonsgegevens verwerkt en dat zij geen beroep kon doen op de wettelijke uitzonderingsgrond toestemming, omdat deze niet vrij gegeven kon worden.
Vervolgtraject
In 2018 startte de AP een vervolgtraject bij BrainCompass. BrainCompass werd uitgenodigd voor een tweetal hoorzittingen, waarin zij de kans kreeg om haar aangepaste werkwijze uiteen te zetten.
De belangrijkste aanpassingen die BrainCompass heeft doorgevoerd naar aanleiding van het onderzoeksrapport van de AP, zijn de volgende:
- BrainCompass heeft een raamovereenkomst opgesteld, waarin zij afspraken maakt met de werkgever over (onder meer) privacy;
- De assessments worden niet meer in groepssessies afgenomen;
- BrainCompass heeft een assessment-variant ontwikkeld waarbij in het geheel geen persoonsgegevens worden verwerkt.
De AP is van oordeel dat deze wijzigingen maken dat BrainCompass nu wel voldoet aan de privacy wet- en regelgeving. BrainCompass heeft omstandigheden gecreëerd waarbinnen vrije toestemming toch mogelijk is. Een omstandigheid die relevant wordt geacht is het feit dat BrainCompass geen gegevens van deelnemers deelt met de werkgever. Dat heeft zij overigens ook in het verleden nooit gedaan.
Consequenties voor de praktijk
Uit het onderzoeksrapport en vervolgens het handhavingstraject blijkt dat de AP niet gemakkelijk afstapt van het uitgangspunt dat toestemming binnen de arbeidsrelatie niet vrij gegeven kan worden.
BrainCompass is een assessmentbureau dat zich enkel richt op persoonlijke ontwikkel-assessments, het draait om de ontwikkeling van het individu. Voor BrainCompass was het daardoor mogelijk om de werkgever volledig buiten het assessment-traject en de uitkomsten daarvan te houden. De werkgever krijgt in geen geval inzicht in de persoonsgegevens die in het kader van het assessment worden verwerkt.
Voor conventionele (werving en selectie) assessmentbureaus ligt dat gecompliceerder. Daarvoor geldt immers dat het doel van het assessment juist is de werkgever inzicht te geven in de kwaliteiten en valkuilen van de (potentiële) werknemer. De resultaten zullen in dat geval wel met de (potentiële) werkgever gedeeld worden. De vraag is nu of de verwerking van bijzondere persoonsgegevens, zoals gegevens over iemand persoonlijkheid, in dat geval gestoeld kan worden op de uitzonderingsgrond "uitdrukkelijke toestemming". De BrainCompass-casus doet vermoeden dat dat niet het geval zal zijn. De AP houdt immers stevig vast aan haar standpunt dat vrije toestemming binnen de arbeidsrelatie vaak niet mogelijk is.
Waar mogelijk ruimte zit, is de uitleg van het begrip "bijzondere persoonsgegevens". Zoals reeds vermeld, oordeelde de AP in 2012 dat gegevens die verzameld werden in het kader van psychologische tests en assessment weliswaar gevoelig waren, maar niet bijzonder. De AP is in het BrainCompass-rapport van dit standpunt afgeweken en verwijst naar de Annex Health data apps and devices (2016), waarin een brede uitleg van het begrip bijzondere persoonsgegevens wordt bepleit door de Article 29 Working Party (thans: European Data Protection Board). In de AVG komt deze brede uitleg niet terug. Wat ons betreft laat de AVG dus ruimte voor een engere interpretatie van het begrip bijzondere persoonsgegevens en zou betoogd kunnen worden dat het initiële standpunt van de AP zo gek nog niet was.
Zolang de AP geen duidelijkheid geeft over het begrip bijzondere persoonsgegevens, blijft het voor conventionele assessmentbureaus helaas onduidelijk of de uitkomsten van werving- en selectie assessments onder de AVG mogen worden gedeeld met werkgevers.