Privacy Perfectionist

recent posts

about

Privacy is mijn vak, perfectionisme mijn valkuil, en schrijven mijn manier om beide een beetje los te laten. Hier deel ik wat ik tegenkom als privacy expert, als vakmens én als mens.

  • De Privacy Risico’s van Heimelijk Onderzoek

    Stel je voor: je werkgever onderzoekt of jij fraude hebt gepleegd. Jij weet van niets. Ondertussen loop je promoties mis, wordt je werk extra gecontroleerd, en word je zelfs een keer op non-actief gezet — zonder te weten waarom. Het vertrouwen in jezelf brokkelt af, de stress loopt op, en het lijkt alsof je niets meer goed kunt doen.

    Pas maanden later hoor je via via dat je onderwerp was van onderzoek. De schade is dan al aangericht — en jij hebt er niets aan kunnen doen.

    In de praktijk merk ik dat mensen moeite hebben met de risico’s van de door de AP bepaalde hoog risico verwerkingen die DPIA plichtig zijn. Daarom geef ik extra uitleg bij de risico’s van deze verwerkingen. In dit artikel ga ik het hebben over Heimelijk Onderzoek.

    Wat is heimelijk onderzoek?

    Om te beginnen, wat is heimelijk onderzoek eigenlijk? Volgens de AP is heimelijk onderzoek een verwerking waarbij informatie wordt verzameld door middel van onderzoek zonder de persoon die onderwerp is van het onderzoek daarover vooraf te informeren. Zoals gebruikelijk bij AP criteria moet zo’n verwerking grootschalig en stelselmatig zijn om DPIA plichtig te zijn. De AP noemt daarbij ook nog een aantal voorbeelden:

    • Particuliere recherchebureaus
    • Onderzoek in het kader van fraudebestrijding
    • Onderzoek op het internet in het kader van handhaving van auteursrechten

    Daarbij geeft de AP expliciet aan dat ook bij incidenteel onderzoek naar werknemers een DPIA verplicht is vanwege de ongelijke verhouding werkgever werknemers. Eigenlijk zorgt in dat geval het kwetsbare betrokkenen criteria van de EDPB voor het hoge risico en de DPIA verplichting.

    Dit geeft natuurlijk al een hoop informatie. In het kader hiervan kan geconcludeerd worden dat afdelingen die zich bezighouden met fraude door klanten dus vallen onder deze categorie maar bijvoorbeeld ook HR of een IT Security afdeling kan hieronder vallen als er onderzoek wordt gedaan naar fraude door medewerkers als daar geen aparte afdeling voor is of externe partij voor wordt ingeschakeld.

    De vraag die dan vaak komt: maar we informeren iedereen toch via het interne of externe privacy statement? Dat klopt, vaak staat er op de website algemene informatie dat er onderzoek kan worden gedaan naar bijvoorbeeld fraude. Alleen is niet iedereen onderwerp van fraude onderzoek. Een persoon kan met die algemene informatie dus niet weten of er onderzoek naar hem/haar/het loopt. Bij een inzage verzoek zal een organisatie die informatie vaak ook niet willen geven omdat dit het onderzoek kan beïnvloeden. Dat is ook begrijpelijk: een persoon zou dan bewijs kunnen vernietigen of op een andere manier bewijs onbruikbaar of onbetrouwbaar kunnen maken. Kortom, als personen niet persoonlijk op de hoogte worden gebracht dat ze onderwerp zijn van onderzoek, maar enkel via het privacy statement, dan is er sprake van heimelijk onderzoek.

    Waarom is heimelijk onderzoek een privacy risico?

    Bij de publicatie van de lijst met DPIA plichtige verwerkingen heeft de AP aangegeven welke EDPB criteria van toepassing zijn. Voor heimelijk onderzoek zijn dat:

    • 3. Stelselmatige monitoring
    • 5. Op grote schaal verwerkte gegevens
    • 7. Gegevens met betrekking to kwetsbare betrokkenen

    Laten we iets verder inzoomen waarom dit heimelijk onderzoek zo risicovol maakt.

    Om dit te begrijpen is het belangrijk om te weten wat het recht op privacy precies is. Dat recht is vastgelegd in de Artikel 10 van de Nederlandse Grondwet:

    • Ieder heeft, behoudens bij of krachtens de wet te stellen beperkingen, recht op eerbiediging van zijn persoonlijke levenssfeer.
    • 2. De wet stelt regels ter bescherming van de persoonlijke levenssfeer in verband met het vastleggen en verstrekken van persoonsgegevens.
    • 3. De wet stelt regels inzake de aanspraken van personen op kennisneming van over hen vastgelegde gegevens en van het gebruik dat daarvan wordt gemaakt, alsmede op verbetering van zodanige gegevens.

    Dat blijft een beetje abstract dus laten we vooral de toelichting erbij pakken:

    De persoonlijke levenssfeer omvat onder meer:

    • het huis
    • de briefwisseling
    • de communicatie via telefoon en andere communicatiemiddelen
    • het recht om niet te worden bespied of afgeluisterd
    • het recht op zorgvuldige behandeling van persoonlijke gegevens
    • het recht op eerbiediging van het innerlijk leven
    • het recht op eerbiediging van de lichamelijke integriteit

    Hier zien we al de eerste signalen van waar een inbreuk op de privacy kan plaatsvinden. Veel onderzoek dat wordt gedaan maakt namelijk gebruik van bespieden of afluisteren. Het beste voorbeeld is de politie: die kan bijvoorbeeld verdachte van een misdrijf afluisteren om bewijs te verzamelen als een persoon bijvoorbeeld met een anders persoon over het misdrijf praat. Dat soort manieren worden ook gebruikt door bedrijven. Als medewerkers van fraude worden verdacht dan is het gebruikelijk dat kunnen de activiteiten van medewerkers in applicaties en systemen worden gelogd om te kijken of er fraude activiteiten plaatsvinden. Daarnaast kan bij een onderzoek de mailbox of chat berichten en dus communicatie van een medewerker worden onderzocht op verdachte activiteiten. Dat zijn dus allemaal activiteiten die een inbreuk maken op de persoonlijke levensfeer van een persoon en dus op hun grondrecht en daarom is het een hoog risico.

    Het andere hoge risico komt voort uit lid 3 van de grondwet. Dit recht is in de praktijk gebracht met de rechten van betrokkenen onder de AVG, in het bijzonder het recht op informatie, inzage en rectificatie. De kern van die rechten is echter dat een persoon weet dat zijn persoonsgegevens worden verzameld en verwerkt voor een onderzoek. Heimelijk onderzoek belemmert de uitoefening van die rechten en is daarmee een privacy inbreuk en een privacy risico.

    Waarom zijn dit soort inbreuken op de privacy dan een hoog risico?

    Een risico bestaat uit kans maal impact. Inbreuken op grondrechten zijn een hoog risico maar om dat te begrijpen moet er gekeken worden naar wat er mis kan gaan, dus wat de impact is van een verwerking. Niet voor niets is een DPIA een impact assessment.

    Toeslagenaffaire

    Bij dit onderwerp kun je er bijna niet omheen: de toeslagenaffaire bij de belastingdienst. Wat gebeurde er en waarom is dit belangrijk voor het onderwerp Heimelijk Onderzoek?

    In het kort begint de Toeslagenaffaire eigenlijk al in 2004. Dat is ruim voor de AVG in werking trad en net nadat de vorige privacywet, de Wet Bescherming persoonsgegevens begon in 2001. Er zijn een hoop oorzaken en factoren voor de toeslagenaffaire maar in de kern ging het om burgers die onbedoeld fouten hadden gemaakt bij het aanvragen van de toeslagen.

    Waarom heimelijk onderzoek? Burgers kregen vooraf niet te horen dat ze onderwerp waren van onderzoek naar fraude met toeslagen. Zo werden dossiers overgedragen aan het OM vanwege verdenkingen van strafbare feiten zoals vervalsing van stukken zonder burgers vooraf inzage te geven om te controleren of de informatie uit het onderzoek klopte.

    Daarnaast konden burgers het label “opzet/grove schuld” krijgen waardoor betalingsregelingen hen werden ontzegd. Alleen konden burgers helemaal niet weten dat ze dat label hadden of waarom ze dat label hadden gekregen en op basis waarvan. Ook het achterhalen welke stukken mogelijk ontbraken of wat er foutief was ingevuld kregen burgers geen antwoord op.

    Als laatste werd onrechtmatig het criteria nationaliteit gebruikt om te bepalen of nader onderzoek nodig was naar fraude. Zo kregen burgers met een 2e nationaliteit bijna standaard een label mer verhoogd risico op fraude met als gevolg extra controles en vragen die andere burgers nooit hoefden te beantwoorden.

    Die toeslagen werden uiteindelijk teruggevorderd zonder dan burgers soms konden achterhalen wat ze fout hadden gedaan. Velen raakten vervolgen in de schulden door de grote bedragen die ineens terugbetaald moesten worden en de vaak toch al beperkte financiële middelen die burgers die in aanmerking voor toeslag hebben. De schulden konden vervolgens onder meer resulteren in een verlies van baan, van huis, van relatie en psychische problemen zoals angststoornissen, depressie, slaapproblemen en zelfs posttraumatische stressstoornis (PTSS). Daarnaast kon het voorkomen dat ouders van kinderen die als fraudeur waren aangemerkt door de problematiek uit huis werden geplaatst. Dat is de impact die dit heimelijk fraude onderzoek had.

    Andere voorbeelden

    Er zijn ook nog andere voorbeelden dan de toeslagenaffaire. Voor deze voorbeelden kijken we naar waarom privacy een grondrecht is gemaakt.

    Ik begin een stukje terug in het verleden in de DDR in Oost-Duitsland na WOII. In die tijd werd door de Stasi, de geheime dienst, op grote schaal heimelijk onderzoek uitgevoerd en in dat kader werden brieven geopend, huizen afgeluisterd en miljoenen informanten (buren, familie, collega’s) ingezet allemaal in het kader van het verzamelen van bewijs voor verraad. Mensen werden soms decennia op basis van onschuldige opmerkingen of verdenkingen uitgesloten van banen, studie of promotie en ook werden paspoorten ontzegt om reizen te beperken. Levens werden kapotgemaakt op basis van geheime dossiers vol subjectieve interpretaties van gedrag of opmerkingen. Daarnaast ontstond een cultuur van wantrouwen — zelfs binnen gezinnen — omdat niemand wist wie informeerde.

    Klinkt dat ver gezocht? In 2013 onthulden Edward Snowden dat de Amerikaanse inlichtingendienst NSA miljarden telefoongesprekken, e-mails en metadata van burgers wereldwijd zonder hun weten verzameld werden. Het doel? Terrorisme bestrijding vooral na 9/11 een belangrijk politiek onderwerp. Nadat de massa surveillance bekend werd gingen zelfs mensen die niets verkeerd hadden gedaan, m hun gedrag aan te passen uit angst dat ze gevolgd werden. Journalisten gaven aan dat bronnen weigerden te praten via telefoon of e-mail. Academici en activisten vermeden bepaalde zoekopdrachten of onderwerpen online (zoals “terrorisme” of “islamisme”) uit angst om op een lijst te komen. Dit beperkte de journalistieke vrijheid en de vrijheid van meningsuiting. Bronnen durfden ook minder snel te lekken of whistleblower te zijn, uit angst om gevolgd of gearresteerd te worden. Communicatie tussen advocaten en cliënten kon afgeluisterd worden, wat het recht op vertrouwelijkheid ondermijnt.

    Het probleem met heimelijk onderzoek is vaak dat er geen ruggespraak is. Dat betekende in het geval van de NSA werkten met algoritmes en metadata die soms fout zaten. Personen kwamen daardoor onterecht op bijvoorbeeld no-fly lists of werden ondervraagd, zonder ooit te weten waarom. De geheime aard van het onderzoek maakt het voor burgers vrijwel onmogelijk om hun onschuld aan te tonen of hun gegevens te corrigeren.

    Overlap met andere hoge risico’s

    Uit de voorbeelden hierboven is te lezen dat heimelijk onderzoek meestal niet in een vacuum voorkomen. Heimelijk onderzoek zelf, hoeft namelijk minder negatieve impact op zichzelf. Het is vaak wat er met het onderzoek gebeurt. De volgende criteria zijn dan ook risico verhogend voor heimelijk onderzoek:

    • Fraude of andere negatieve labels
    • Het plaatsen op een zwarte lijst
    • Het nemen van beslissingen of het inperken van rechten als gevolg van de uitkomsten van heimelijk onderzoek zoals het ontzeggen van promotie, het niet kunnen afsluiten van een product of het beperken van de bewegingsvrijheid van personen zoals een reisverbod

    Wat voor maatregelen kun je nemen?

    De maatregelen zijn uiteraard afhankelijk van de risico’s die je identificeert maar over het algemeen helpen de volgende categorieën.

    Informeer personen

    Hoewel het soms gedurende het onderzoek niet mogelijk is om een persoon te informeren is het belangrijk dat zodra het onderzoek is afgerond je dit wel doet. Vertel een in duidelijke en begrijpelijke (niet juridsche) taal die is aangepast op het niveau van persoon en waar mogelijk specifiek is gemaakt voor de situatie van de persoon:

    1. Op basis waarvan een onderzoek is gestart;
    2. Wat de uitkomsten zijn van het onderzoek;
    3. Wat de consequenties zijn van de uitkomsten van het onderzoek
    4. Wat de rechten en mogelijkheden zijn van een persoon

    Daarmee weten personen dat een verwerking heeft plaats gevonden en kan worden voorkomen dat er als gevolg van heimelijk onderzoek rechten van personen worden ingeperkt zonder dat een persoon daar iets aan kan doen.

    Personen kunnen in dat geval bijvoorbeeld nagaan of er een fout is gemaakt zoals een persoonsverwisseling, of dat er gegevens of feiten in het onderzoek niet kloppen zoals plekken die een persoon bezocht nooit bezocht heeft of relaties die er niet (meer) zijn. Daarnaast kan een persoon juridisch hulp zoeken om te helpen.

    Onafhankelijke audits

    Waar mensen werken worden fouten gemaakt. Dat kan bewust, zoals het niet volgen van een werkinstructie, of onbewust door bias. Bij de toeslagenaffaire was er bijvoorbeeld sprake van institutionele bias die uitmondde in institutionele discriminatie. Om dat tegen te gaan is het belangrijk dat werkinstructies regelmatig worden beoordeeld door relevante experts. Het kan dan gaan om privacy experts maar ook ethische experts en discriminatie experts zijn waardevol. Daarnaast kunnen belangengroepen worden gevraagd mee te kijken en mee te denken.

    Als de opzet goed is dan kan het in de praktijk ook nog mis gaan. Daarom is het belangrijk om ook periodiek te toetsen dat de werkinstructies ook worden gevolgd als onderdeel van de interne beheersing van een proces. Dit voorkomt dat medewerkers verslappen of op eigen houtje zaken erbij gaan doen. Een onafhankelijke extern onderzoek of audit door experts eens in de zoveel tijd, bijvoorbeeld 3 jaar, kan institutionele bias helpen identificeren.

    Conclusie

    Heimelijk onderzoek kan veel schade aanrichten en andere DPIA plichtige verwerkingen versterken het negatieve effect. Het is daarom belangrijk om personen na afronding van het onderzoek duidelijk te informeren over de aanleiding, de resultaten,de consequenties en de rechten. Daarnaast is het belangrijk om processen periodiek te toetsen en door externe onafhankelijke experts te laten onderzoeken.

    Dit artikel is geschreven in Juli 2025.