Privacy bij afvalinzameling: welke afspraken moeten worden gemaakt?

Privacy afvalinzameling PieterBas Automatisering Monique Hennekens

Alle partijen die bij persoonsgegevens kunnen, moeten afspreken hoe ze daar mee omgaan. Dat bepaalt de privacyregelgeving, stelt privacy-advocaat Monique Hennekens in haar nieuwe post op het Waste Insight-blog. Het gaat dan onder meer om de gemeente, afvalinzamelaar of de softwareleverancier. Omdat zij betrokken zijn bij de afvalinzameling hebben ze bijvoorbeeld de beschikking over adresgegevens, kentekens of stortgegevens. In haar nieuwe blogpost beschrijft Monique Hennekens welke afspraken ze daarover moeten maken.

Verantwoordelijke en bewerker

De huidige Wet bescherming persoonsgegevens maakt onderscheid tussen de verantwoordelijke en de bewerker. Dit onderscheid blijft onder de komende Algemene Verordening Gegevensbescherming ook bestaan. Alleen wordt de terminologie aangepast. De verantwoordelijke heet dan verwerkingsverantwoordelijke. De bewerker wordt verwerker. In deze blogpost worden de huidige termen gebruikt. De verantwoordelijke is degene die het doel en de middelen van de gegevensverwerking bepaalt. De bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke. De gemeente heeft de wettelijke taak om voor de afvalinzameling binnen haar gemeente te zorgen. Zij kan hiervoor andere partijen inschakelen. Door deze verhouding is de gemeente verantwoordelijk voor de persoonsgegevens die bij de afvalinzameling worden verwerkt. De afvalinzamelaar of softwareleverancier die door de gemeente worden ingeschakeld zijn de bewerkers.

Verschil in verplichtingen

De privacyregelgeving is zo ingericht dat op de gemeente als verantwoordelijke alle wettelijke verplichtingen rusten. Denk aan de verplichting om een doel te bepalen, een grondslag te hebben en de burgers te informeren (zie daarvoor de linken onderaan naar eerdere blogposts, red.). Ook heeft de gemeente de wettelijke verplichting om een overeenkomst te sluiten met haar bewerkers over de omgang met persoonsgegevens. Op de bewerker rusten veel minder wettelijke verplichtingen. De bewerker dient zich met name te houden aan de aanwijzingen van de gemeente en mag de persoonsgegevens niet voor eigen doeleinden gebruiken. Een bewerker mag de persoonsgegevens bijvoorbeeld niet gebruiken voor een eigen marketingcampagne of deze verkopen aan derden.

Bewerker krijgt meer verplichtingen

Onder de komende Algemene Verordening Gegevensbescherming die vanaf 25 mei 2018 van toepassing is, krijgt de bewerker (dan verwerker genoemd) meer verplichtingen. De bewerker mag bijvoorbeeld alleen nog persoonsgegevens verwerken als daar een schriftelijke opdracht voor bestaat. De bewerker zal ook de verantwoordelijke moeten waarschuwen als een opdracht in strijd is met de privacyregels. Zonder toestemming van de verantwoordelijke mag een bewerker geen eigen dienstverleners inschakelen die toegang krijgen tot de persoonsgegevens. Bovendien krijgt de bewerker een eigen verplichting om te zorgen voor een passende beveiliging van de persoonsgegevens die zij verwerkt voor de gemeente. Voor bewerkers zal een documentatieplicht gelden. Dat komt in een latere blogpost aan de orde.

Bewerkersovereenkomst

Zoals hiervoor aangegeven dient de gemeente schriftelijke afspraken te maken over de omgang met persoonsgegevens. Dit wordt vaak een bewerkersovereenkomst (of verwerkersovereenkomst) genoemd. Daarin moet in ieder geval zijn opgenomen dat de bewerker de persoonsgegevens niet voor eigen doeleinden mag verwerken. Tevens dient een geheimhoudingsverplichting voor de bewerker en haar werknemers te worden opgenomen, moet beschreven worden welke beveiligingsmaatregelen de bewerker moet treffen, op welke wijze de bewerker om moet gaan met de meldplicht datalekken en welke afspraken worden gemaakt over het inschakelen van derden of over de doorgifte van de persoonsgegevens buiten de EU. In de komende Algemene Verordening Gegevensbescherming staan alle afspraken die in ieder geval gemaakt moeten worden opgesomd.

Conclusie en checklist

Als de gemeente bij de afvalinzameling gebruik maakt van andere partijen, zoals een afvalinzamelaar of IT-leverancier, zal de gemeente met deze partijen schriftelijke afspraken moeten maken over de omgang met persoonsgegevens. In een checklist staan alle afspraken die moeten worden gemaakt in een bewerkersovereenkomst op grond van de huidige én komende privacyregelgeving. Deze kan hier worden gedownload. (Tekst gaat verder onder de foto, red.)

Monique-Hennekens-Hekkelman-Advocaten-gastblogger-Waste-Insight-AFAS-PieterBas-AutomatiseringSerie privacy in de afvalindustrie

Monique Hennekens is advocaat en gespecialiseerd in privacy in onder meer de afvalbranche. Ze is vaste gastblogger van Waste Insight en publiceert maandelijks een blog over privacy in de afvalindustrie. Haar eerdere blogposts gingen over:
Persoonsgegevens verwerken in de afvalbranche, wat houdt dat in?
Afvalpas? Leg eerst de doeleinden vast!
Persoonsgegevens verwerken met een afvalpas: wat is de grondslag?
Privacy en de afvalpas: verwerk niet meer gegevens dan noodzakelijk
Privacy en de afvalpas: informatieplicht
Beveiliging persoonsgegevens in de afvalbranche
Arnhemse afvalpaszaak: wat kan de afvalbranche ermee?
Meldplicht datalekken in de afvalbranche
Nieuw besluit in de Arnhemse afvalpaszaak

Haar volgende blogpost gaat over: ‘De privacyrechten van burgers’.

Wilt u meer weten over privacy in de Nederlandse afvalindustrie? Neem dan contact op met Monique Hennekens. Klik op deze link voor haar gegevens. Of blijf op de hoogte en volg Waste Insight op Twitter of LinkedIn.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *