De nieuwe privacywet (1): wat houdt dat in voor de afvalindustrie?

Algemene Verordening Gegevensbescherming AVG privacy afvalindustrie PieterBas Automatisering Monique Hennekens Hekkelman Advocaten

Op 25 mei 2016 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Bedrijven in de afvalindustrie hebben tot 25 mei 2018 om de nieuwe privacyregels in te voeren. In een drieluik legt advocaat Monique Hennekens uit wat privacy voor bedrijven inhoudt, hoe bedrijven zich kunnen voorbereiden en welke concrete stappen ze daarvoor moeten nemen. Deel 1 gaat over de nieuwe privacywet in de afvalindustrie: wat houdt dat in? Monique geeft daarvoor antwoord op de vijf meest gestelde vragen.

Wat zijn persoonsgegevens in de afvalindustrie?
– Klantgegevens, zoals e-mailadressen en telefoonnummers
– Personeelsgegevens, zoals BSN-nummer, kopie paspoort en track & trace-gegevens

Waarom is privacy voor bedrijven belangrijk en specifiek voor de afvalindustrie?

‘Bij privacy gaat het om de bescherming van de persoonlijke levenssfeer. Dat is een ruim begrip en gaat er bijvoorbeeld over of iemand in je huis mag komen of dat je iemand mag volgen. Voor bedrijven gaan de privacyregels vooral over de verwerking van persoonsgegevens. Dat is nu nog de Wet Bescherming Persoonsgegevens (WBP). Met ingang van 28 mei as. wijzigt de WBP in de Algemene Verordening Gegevensbescherming (AVG). Bedrijven die zich niet aan de regelgeving houden, lopen een groot risico. Boetes kunnen met ingang van 28 mei oplopen tot 20 miljoen euro. Bovendien riskeren bedrijven reputatieschade. Ook in de afvalindustrie worden persoonsgegevens verwerkt. Daarom moeten ook afvalbedrijven zich aan deze wetgeving houden en lopen ze dezelfde risico’s als ze de wet niet volgen.’

Wanneer moet een bedrijf aan de wetgeving voldoen?

‘Bij iedere verwerking van persoonsgegevens moeten bedrijven aan wet voldoen. Het gaat dan bijvoorbeeld om adresgegevens, kentekenregistratie, camerabeelden, e-mailcorrespondentie en de klantenadministratie. Maar ook de personeelsadministratie. Daar zitten de meest gevoelige gegevens in, zoals het BSN-nummer en een kopie van het paspoort. Een ander voorbeeld is het verzamelen en gebruiken van gegevens van werknemers via tracking & tracing en passystemen. De Autoriteit Persoonsgegevens heeft altijd veel aandacht voor het gebruik van personeelsgegevens en kan hoge boetes uitdelen als bedrijven daar niet zorgvuldig mee om wordt gegaan.’

Zijn bedrijven zich daarvan bewust?

‘Dat wisselt sterk. Sommige bedrijven denken nauwelijks met persoonsgegevens te werken. Dat is natuurlijk niet zo. Elk bedrijf heeft een personeels- en een klantadministratie of voert e-mailcorrespondentie. Privacy wordt als lastig ervaren. Ze gaan er van uit dat het zo’n vaart niet zal lopen en veronderstellen dat de Autoriteit Persoonsgegevens toch wel niet bij hen zal komen. Ze denken dat privacy te ingewikkeld is om aan te beginnen, weten niet waar ze moeten beginnen en doen dan ook maar niets. Er is ook een groep die zich erg bewust is van privacy en daar zorgvuldig mee omgaat. Zij hebben ter voorbereiding nu al maatregelen genomen. Dat is vaak persoonsgebonden. Als iemand op beslisniveau zich bewust is van privacy en de mogelijke gevolgen als het niet serieus wordt opgepakt, is er vaak meer aandacht voor. Ik zie vooral dat inzamelaars van huishoudelijk afval bezig zijn zich voor te bereiden op de AVG. Zowel het MKB als grotere bedrijven, maar ook gemeentelijke inzamelaars die wakker zijn geschud door de Arnhemse afvalpaszaak.’

Wat zijn eventuele valkuilen?

‘Voor een bedrijf is de grootste valkuil te veronderstellen dat er geen persoonsgegevens worden verwerkt. Zoals ik eerder al aangaf, is dat wel zo. Een klacht bij de Autoriteit Persoonsgegevens is voor een bedrijf voldoende om de aandacht op zich te vestigen. Als voorbeeld: de Arnhemse afvalpaszaak is geïnitieerd door één burger. Bedrijven die zich nog niet voorbereiden op de Algemene Verordening Gegevensbescherming moeten om die reden van de gedachte af dat ze geen persoonsgegevens verwerken.’

Hoe kunnen bedrijven de risico’s voor blijven?

‘Door een inventarisatie te doen: welke gegevens worden verwerkt en wat zijn daarbij de grootste risico’s. Ik adviseer dat wel breed op te pakken. Dus de verwerking van echt alle persoonsgegevens, zowel van klanten als werknemers. Omdat personeelsgegevens de meest gevoelige gegevens zijn die bedrijven verwerken, lopen bedrijven in de afvalindustrie daar de meeste risico’s mee. Hoe pak je dat aan, is de vraag? Ik zal in het volgende artikel aangeven hoe bedrijven zich op de AVG kunnen voorbereiden.’

Meer weten?

Monique Hennekens Hekkelman Advocaten gastblogger Waste Insight AFAS PieterBas Automatisering Algemene Verordening Gegevensbescherming AVG privacywetDit is de eerste post in een drieluik over de Algemene Verordening Gegevensbescherming (AVG) in de afvalindustrie. De volgende twee artikelen gaan over hoe bedrijven zich op de AVG kunnen voorbereiden en welke concrete stappen ze daarvoor moeten nemen.

Wilt u meer weten over privacy in de afvalindustrie? Lees dan de posts die advocaat Monique Hennekens (foto. red.) al schreef voor het Waste Insight-blog. Of neem contact op met Monique Hennekens. Klik op deze link voor haar gegevens. Of blijf op de hoogte en volg Waste Insight op Twitter of LinkedIn.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *