Waste Insight
The hybrid ERP solution powered by AFAS software PieterBas Automatisering

Privacy bij afvalinzameling: welke afspraken moeten worden gemaakt?

11 september 2017
Regelgeving & Standaards,
3 Reacties
Privacy in de afvalindustrie Monique Hennekens Hekkelman Advocaten Waste Insight AFAS PieterBas Automatisering

Bij de afvalinzameling zijn vaak meerdere partijen betrokken. De gemeente, de afvalinzamelaar, de softwareleverancier, etc. Deze partijen hebben ook toegang tot de persoonsgegevens die bij de inzameling worden verwerkt, zoals adresgegevens, kentekens of stortgegevens. Op grond van de privacyregelgeving moeten deze partijen afspraken vastleggen over de omgang met deze persoonsgegevens. In deze blogpost beschrijf ik welke afspraken ze daarover moeten maken.


Monique Hennekens Hekkelman Advocaten gastblogger Waste Insight AFAS PieterBas Automatisering

Auteur Monique Hennekens is advocaat bij Hekkelman Advocaten. In een serie posts voor het Waste Insight-blog over privacy belicht ze voor de afvalindustrie de belangrijkste onderwerpen. Monique heeft ruime ervaring met het bijstaan van diverse organisaties in privacy en IT projecten. Op privacygebied adviseert zij over vraagstukken die betrekking hebben op zowel Nederlandse als Europese privacyregelgeving en geeft zij regelmatig cursussen en (in house) trainingen. Op IT-gebied  begeleidt zij zowel leveranciers als afnemers bij diverse IT-projecten en bij het beoordelen of opstellen van contracten, zoals ERP (raam)overeenkomsten, hostingovereenkomsten, softwarelicenties en SLA’s.


Verantwoordelijke en bewerker

De huidige Wet bescherming persoonsgegevens maakt onderscheid tussen de verantwoordelijke en de bewerker. Dit onderscheid blijft onder de komende Algemene Verordening Gegevensbescherming ook bestaan. Alleen wordt de terminologie aangepast. De verantwoordelijke heet dan verwerkingsverantwoordelijke. De bewerker wordt verwerker. In deze blogpost worden de huidige termen gebruikt. De verantwoordelijke is degene die het doel en de middelen van de gegevensverwerking bepaalt. De bewerker verwerkt persoonsgegevens ten behoeve van de verantwoordelijke. De gemeente heeft de wettelijke taak om voor de afvalinzameling binnen haar gemeente te zorgen. Zij kan hiervoor andere partijen inschakelen. Door deze verhouding is de gemeente verantwoordelijk voor de persoonsgegevens die bij de afvalinzameling worden verwerkt. De afvalinzamelaar of softwareleverancier die door de gemeente worden ingeschakeld zijn de bewerkers.

Verschil in verplichtingen

De privacyregelgeving is zo ingericht dat op de gemeente als verantwoordelijke alle wettelijke verplichtingen rusten. Denk aan de verplichting om een doel te bepalen, een grondslag te hebben en de burgers te informeren (zie daarvoor de linken onderaan naar eerdere blogposts, red.). Ook heeft de gemeente de wettelijke verplichting om een overeenkomst te sluiten met haar bewerkers over de omgang met persoonsgegevens. Op de bewerker rusten veel minder wettelijke verplichtingen. De bewerker dient zich met name te houden aan de aanwijzingen van de gemeente en mag de persoonsgegevens niet voor eigen doeleinden gebruiken. Een bewerker mag de persoonsgegevens bijvoorbeeld niet gebruiken voor een eigen marketingcampagne of deze verkopen aan derden.

Bewerker krijgt meer verplichtingen

Onder de komende Algemene Verordening Gegevensbescherming die vanaf 25 mei 2018 van toepassing is, krijgt de bewerker (dan verwerker genoemd) meer verplichtingen. De bewerker mag bijvoorbeeld alleen nog persoonsgegevens verwerken als daar een schriftelijke opdracht voor bestaat. De bewerker zal ook de verantwoordelijke moeten waarschuwen als een opdracht in strijd is met de privacyregels. Zonder toestemming van de verantwoordelijke mag een bewerker geen eigen dienstverleners inschakelen die toegang krijgen tot de persoonsgegevens. Bovendien krijgt de bewerker een eigen verplichting om te zorgen voor een passende beveiliging van de persoonsgegevens die zij verwerkt voor de gemeente. Daarnaast zal ook voor bewerkers een documentatieplicht gelden, waar ik in een latere blogpost op terug zal komen.

Bewerkersovereenkomst

Zoals hiervoor aangegeven dient de gemeente schriftelijke afspraken te maken over de omgang met persoonsgegevens. Dit wordt vaak een bewerkersovereenkomst (of verwerkersovereenkomst) genoemd. Daarin moet in ieder geval zijn opgenomen dat de bewerker de persoonsgegevens niet voor eigen doeleinden mag verwerken. Tevens dient een geheimhoudingsverplichting voor de bewerker en haar werknemers te worden opgenomen, moet beschreven worden welke beveiligingsmaatregelen de bewerker moet treffen, op welke wijze de bewerker om moet gaan met de meldplicht datalekken en welke afspraken worden gemaakt over het inschakelen van derden of over de doorgifte van de persoonsgegevens buiten de EU. In de komende Algemene Verordening Gegevensbescherming staan alle afspraken die in ieder geval gemaakt moeten worden opgesomd.

Conclusie en checklist

Als de gemeente bij de afvalinzameling gebruik maakt van andere partijen, zoals een afvalinzamelaar of IT-leverancier, zal de gemeente met deze partijen schriftelijke afspraken moeten maken over de omgang met persoonsgegevens. In een checklist staan alle afspraken die moeten worden gemaakt in een bewerkersovereenkomst op grond van de huidige én komende privacyregelgeving. Deze kan hier worden gedownload.

Monique Hennekens Hekkelman Advocaten gastblogger Waste Insight AFAS PieterBas Automatisering

Serie privacy in de afvalindustrie

Monique Hennekens is advocaat en gespecialiseerd in privacy in onder meer de afvalbranche. Ze is vaste gastblogger van Waste Insight en publiceert maandelijks een blog over privacy in de afvalindustrie. Haar eerdere blogposts gingen over:
Persoonsgegevens verwerken in de afvalbranche, wat houdt dat in?
Afvalpas? Leg eerst de doeleinden vast!
Persoonsgegevens verwerken met een afvalpas: wat is de grondslag?
Privacy en de afvalpas: verwerk niet meer gegevens dan noodzakelijk
Privacy en de afvalpas: informatieplicht
Beveiliging persoonsgegevens in de afvalbranche
Arnhemse afvalpaszaak: wat kan de afvalbranche ermee?
Meldplicht datalekken in de afvalbranche
Nieuw besluit in de Arnhemse afvalpaszaak

Haar volgende blogpost gaat over: ‘De privacyrechten van burgers’.

Wilt u meer weten over privacy in de Nederlandse afvalindustrie? Neem dan contact op met Monique Hennekens. Klik op deze link voor haar gegevens. Of blijf op de hoogte en volg Waste Insight op Twitter of LinkedIn.

3
Reageer op dit artikel

1 Comment threads
2 Thread replies
0 Followers
 
Most reacted comment
Hottest comment thread
2 Comment authors
nieuwste oudste
Sahin

Zeer interessant en erg duidelijk uitgelegd!! Het is nu wel duidelijk dat een gemeente en een afvalinzamelaar duidelijke afspraken met elkaar moeten maken voor het verwerken van de persoonsgegevens. Hierbij is het onderscheid ook makkelijk te bepalen, de gemeente is de verwerkingsverantwoordelijke en de afvalinzamelaar de verwerker (de gemeente bepaalt immers het doel en de middelen), maar hoe zit het dan bij een (belasting)samenwerkingsverband. Binnen onze huidige samenleving komen samenwerkingsverbanden steeds méér voor waarbij gemeenten deelnemers zijn van één uitvoerende organisatie die vervolgens de gemeentelijke taken uitvoert (d.m.v. delegatie). De gemeente heeft hierbij geen bevoegdheid oftewel geen grondslag meer om… Lees verder »

Monique Hennekens

Hartelijk dan voor uw reactie! U geeft een goed voorbeeld om aan te tonen hoe lastig dit onderscheid tussen verwerker en verwerkingsverantwoordelijke in de praktijk werkt. Bij samenwerkingsverbanden of delegatie van taken is sprake van twee of meer verwerkingsverantwoordelijken. Het kan daarbij voorkomen dat partijen gezamenlijk een doel bepalen voor de verwerking van de persoonsgegevens. In dat geval zijn partijen gezamenlijke verwerkingsverantwoordelijken. Dan zal tussen partijen schriftelijke afspraken moeten worden gemaakt waarin in ieder geval is geregeld hoe de verantwoordelijkheid met betrekking tot de verwerking is verdeeld, wie de burgers informeert en waar de burgers terecht kunnen. De burgers zullen… Lees verder »

Sahin

Hartelijk dank voor uw uitgebreide reactie. Het gaat er dus om dat de situatie goed geschetst en in kaart gebracht moet worden. Aan de hand daarvan moeten er duidelijke en overzichtelijke afspraken worden gemaakt om de persoonsgegevens zo goed mogelijk te beveiligen.