Persoonsgegevens zoals ras, lengte, gewicht en dna zijn bijzondere
persoonsgegevens. Psychologische gegevens kunnen dit ook zijn. Het
verwerken van deze bijzondere persoonsgegevens is in principe verboden
op grond van de Wet bescherming persoonsgegevens (Wbp), aldus de
toezichthouder. In de wet staan uitzonderingsgronden op dit verbod, maar
de Autoriteit Persoonsgegevens heeft vastgestel dat BrainCompass hier
geen beroep op kan doen. Het bedrijf mag de bijzondere persoonsgegevens
dan ook niet verwerken.

Een deel van de mensen die bij BrainCompass een assessment ondergaat
doet dit binnen een arbeidsrelatie. Volgens de Autoriteit
Persoonsgegevens is er in een dergelijke relatie over het algemeen geen
sprake van ‘vrije’ toestemming. Dat is een voorwaarde om aansprak op de
uitzonderingsgronden te kunnen maken. BrainCompass is het hier niet mee
eens. Het assessment en de afgifte van dna vinden volgens het bedrijf
altijd plaats op vrijwillige basis.
Daarnaast heeft de AP geconcludeerd dat de informatie die BrainCompass
verstrekt aan de (potentiële) deelnemers niet juist, duidelijk,
volledig, begrijpelijk en nauwkeurig is.

Beveiligingsplan

Verder stelt de toezichthouder dat het assessmentbureau geen
beveiligingsplan heeft voor informatiebeveiliging, terwijl het op grote
schaal bijzondere persoonsgegevens verwerkt. Tijdens het onderzoek heeft
BrainCompass verschillende verbeteringen doorgevoerd. Het bedrijf
voldoet echter nog niet aan de wettelijke voorwaarden, aldus de
toezichthouder. Die is van plan tot handhaving over te gaan als de
overtredingen voortduren.

Bron: Security.nl