Waste Insight
The hybrid ERP solution powered by AFAS software PieterBas Automatisering

Beveiliging persoonsgegevens in de afvalbranche

18 april 2017
Regelgeving & Standaards,
0 Reacties
Beveiliging persoonsgegevens in de afvalbranche Waste Insight Monique Hennekens

Het verwerken van adresgegevens, kentekens of locatiegegevens zijn verwerkingen van persoonsgegevens. Daarom is de privacyregelgeving ook van toepassing bij afvalverwerking. Beveiliging van persoonsgegevens is een steeds belangrijker vereiste binnen het privacyrecht. Iedere organisatie moet zorgen voor passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking.


Monique Hennekens Hekkelman Advocaten gastblogger Waste Insight AFAS PieterBas Automatisering

Auteur Monique Hennekens is advocaat bij Hekkelman Advocaten. In een serie posts voor het Waste Insight-blog over privacy belicht ze voor de afvalindustrie de belangrijkste onderwerpen. Monique heeft ruime ervaring met het bijstaan van diverse organisaties in privacy en IT projecten. Op privacygebied adviseert zij over vraagstukken die betrekking hebben op zowel Nederlandse als Europese privacyregelgeving en geeft zij regelmatig cursussen en (in house) trainingen. Op IT-gebied  begeleidt zij zowel leveranciers als afnemers bij diverse IT-projecten en bij het beoordelen of opstellen van contracten, zoals ERP (raam)overeenkomsten, hostingovereenkomsten, softwarelicenties en SLA’s.


Passende beveiliging

De beveiliging is passend als de maatregelen zijn afgestemd op de risico’s en de aard van de persoonsgegevens. Daarvoor is een risicoanalyse nodig. Daarbij wordt geanalyseerd wat de gevolgen zijn voor de betrokkene als zijn of haar persoonsgegevens niet meer toegankelijk zijn of door onbevoegden kunnen worden gebruikt. Hoe gevoeliger de gegevens, hoe groter de gevolgen. Zo zullen financiële gegevens in het kader van DIFTAR, beter moeten worden beveiligd dan een lijst met adresgegevens of afvalpasgegevens. Welke beveiligingsmaatregelen getroffen moeten worden, hangt ook af van de risico’s van de verwerking. Denk daarbij aan het aantal personen dat intern en extern toegang heeft tot de gegevens en de wijze van uitwisseling of opslag van de gegevens.

Technisch én organisatorisch

Bij beveiliging van persoonsgegevens wordt vaak alleen gedacht aan technische beveiliging van netwerken of de beveiliging van een pand. Maar persoonsgegevens moeten ook organisatorisch worden beveiligd. Het gaat dan om de omgang met persoonsgegevens binnen de organisatie. Is de toegang tot persoonsgegevens intern bijvoorbeeld goed geregeld? En worden medewerkers getraind om op vertrouwelijke wijze met persoonsgegevens om te gaan? De meeste beveiligingsincidenten ontstaan door menselijk handelen. Ik zal daar in mijn volgende blogpost over de meldplicht datalekken op terugkomen.

Wie is verantwoordelijk voor de beveiliging?

Bij de verzameling en verwerking van persoonsgegevens binnen de afvalverwerking zijn vaak meerdere partijen betrokken. De gemeente, de afvalverwerker, de softwareleverancier, etc. Zoals ik in mijn eerdere blogposts heb aangegeven geldt de gemeente als verantwoordelijke in de zin van de privacyregelgeving. Dat betekent dat de gemeente ook bij het inschakelen van andere partijen verantwoordelijk blijft voor de beveiliging van de persoonsgegevens die zij aan anderen verstrekt. De gemeente zal daarom afspraken moeten maken over de beveiligingseisen waar die andere partij aan moet voldoen. Die partij is op z’n beurt ook verantwoordelijk dat persoonsgegevens adequaat zijn beveiligd. Die verplichting komt ook expliciet in de komende privacyregelgeving te staan die vanaf 25 mei 2018 van toepassing is. In een latere blogpost zal ik ingaan op de precieze afspraken die een gemeente zal moeten maken met afvalverwerkers en andere leveranciers.

Beveiligingsbeleid

Om te voldoen aan de beveiligingsplicht uit de privacyregelgeving is een beveiligingbeleid nodig. In dat beleid moeten niet alleen de concrete beveiligingsmaatregelen die zijn getroffen worden opgenomen, maar ook de risicoanalyses, de verdeling van interne verantwoordelijkheden etc. Bovendien zal de naleving van het beleid gecontroleerd, het beleid geëvalueerd en zo nodig aangepast moeten worden. In een zogenaamde ‘Plan Do Check Act-cyclus’.

Conclusie

Bij de inzameling van afval worden zowel door de gemeenten als door afvalverwerkers persoonsgegevens verwerkt. Deze persoonsgegevens zullen adequaat moeten worden beveiligd tegen verlies of onrechtmatige verwerking. De beveiliging dient te zijn afgestemd op de risico’s voor de betrokkene als zijn of haar gegevens verloren zijn gegaan of gebruikt kunnen worden door onbevoegden. De maatregelen moeten niet alleen technisch zijn, zoals netwerkbeveiliging of beveiligingscamera’s op de milieustraat, maar ook organisatorisch. De beveiliging zal ook regelmatig geëvalueerd en zo nodig aangepast moeten worden.

Meer weten?

Over de inrichting van de beveiliging heeft de Autoriteit Persoonsgegevens (toen nog College Bescherming Persoonsgegevens) richtsnoeren en algemene informatie gepubliceerd. Over de beveiliging van websites heeft Monique ook nog een andere blogpost geschreven die u hier kunt lezen. Dit is een blogpost in een serie over privacy in de afvalindustrie. De eerdere blogposts van Monique gingen over:
Persoonsgegevens verwerken in de afvalbranche, wat houdt dat in?
Afvalpas? Leg eerst de doeleinden vast!
Persoonsgegevens verwerken met een afvalpas: wat is de grondslag?
Privacy en de afvalpas: verwerk niet meer gegevens dan noodzakelijk
Privacy en de afvalpas: informatieplicht

Haar volgende blogpost gaat over: ‘De meldplicht datalekken binnen de afvalbranche’.

Wilt u meer weten over privacy in de Nederlandse afvalindustrie? Neem dan contact op met Monique Hennekens. Klik op deze link voor haar gegevens. Of blijf op de hoogte en volg Waste Insight op Twitter of LinkedIn.

Reageer op dit artikel