BrainCompass heeft groen licht gekregen van de AP
Eind 2017 kreeg BrainCompass een tik op de vingers van de Autoriteit Persoonsgegevens voor het mogelijk delen van bijzondere persoonsgegevens van individuen met hun werkgevers. Een interessante casus waar ook Gerrit-Jan Zwenne en Ina Brouwer van vinden dat de AP de medewerker wel erg weinig credits toebedeeld.
BrainCompass geeft aan dat er nooit door hun iets gedeeld is met de werkgevers, maar helder is dat een werknemer in een kwetsbare positie zit als de gegevens van het assessment of het DNA bij de werkgever terecht komt. Het is dus terecht dat de AP dit serieus neemt als er een klacht over is. Sinds de meldingen bij het AP en het onderzoek van de AP is er veel gebeurd bij BrainCompass. Zo hebben ze verschillende sessies met de AP gehad om procedurele, contractuele en tekstuele aanpassingen door te voeren zodat er voldoende waarborgen zijn. Zo is nu de overeenkomst (op de raamovereenkomst na) volledig met en toegespitst op de individu. Ook is het delen van de gegevens met de coach van BrainCompass geheel in handen en bepaald door de individu die aan het onderzoek meewerkt. Het mogelijk maken om ook DNA af te staan wordt nu via email uitgevraagd en er is dus nooit meer sprake van enige groepsdruk.
In de raamovereenkomst is heel nadrukkelijk vastgelegd dat de uitkomst van het assessment onder geen enkele voorwaarde met de werkgever door BrainCompass gedeeld wordt. BrainCompass heeft tevens een FG (as a Service) aangesteld en is sindsdien ook continue bezig met informatiebeveiliging. Voor de AP waren dit voldoende waarborgen om BrainCompass weer het groene licht te geven. BrainCompass vraagt zich echter wel af hoe het nu met de rest van de (assessment) branche zit. Immers, wat voor hen geldt, geldt natuurlijk ook voor andere assessment bureau’s. Een terechte zorg.
BrainCompass en ook ConanDoyle zouden graag bijdragen aan betere informatieveiligheid over de gehele branche. Niet alleen maar uit verantwoordelijkheidsgevoel, maar het gaat per slot van rekening om ons aller privacy.
Zie ook het artikel van Gerrit-Jan Zwenne en Ina Brouwer: Wie gaat er over onze privacy? Wij zelf of onze Privacytoezichthouder? OPINIE | Tijdschrift voor Internetrecht 2018/3