Datalekken en profileren

Regelmatig worden we geconfronteerd met berichtgeving over Incidenten met persoonsgegevens. Datalekken, zoals bij de GGD of TestCoronaNu. Maar ook incidenten waarbij persoonsgegevens zijn gebruikt om mensen te profileren en waarbij betrokkenen vervolgens worden benadeeld door geautomatiseerde besluitvorming, zoals bij het toeslagenschandaal. De impact van dit soort incidenten is voor slachtoffers zeer groot.

Datalekken worden niet altijd ontdekt, maar als dat gebeurt zoekt de organisatie die heeft gelekt (de verwerkingsverantwoordelijke) voorkomen dat er te veel negatieve publiciteit ontstaat. Vaak wordt dan in eerste instantie de verantwoordelijkheid bij een ander gelegd of, als dat niet lukt, een boodschap afgeven dat na constatering heel snel maatregelen zijn genomen waardoor de gevolgen beperkt zijn gebleven. De slachtoffers ontvangen dan een bericht waarin staat dat de kans op misbruik van hun persoonsgegevens heel klein is. Zie als voorbeeld de berichtgeving i.v.m. het datalek van TestCoronaNu.

Ook profilering en daarop gebaseerde geautomatiseerde besluitvorming komt niet altijd aan het licht. Maar als dat wordt ontdekt, worden ook dan door de verwerkingsverantwoordelijke organisatie alle zeilen bijgezet om negatieve publiciteit te voorkomen door de ernst van de feiten af te zwakken. In dit geval slachtoffers beloofd dat alles snel zal worden gecorrigeerd en de schade snel wordt hersteld. Een belofte die vervolgens niet wordt waargemaakt.

het bagatelliseren van de ernst van de privacyschending en van de gevolgen daarvan voor slachtoffers te zijn verheven tot een norm.

Door onbekendheid met / het ontbreken van voor het publiek toegankelijke en ook bruikbare veldnormen voor de bescherming van persoonsgegevens lijkt