Camera’s bij milieustraten, een chip in een minicontainer die wordt uitgelezen bij het legen, de registratie van grof afval, het gebruik van adresgebonden afvalpassen en track- en tracesystemen in inzamelvoertuigen. Stuk voor stuk voorbeelden van privacy inbreuken in het kader van de inzameling van huishoudelijk afval.

Een datalek kan uit een onverwachte hoek komen. Een foutje in een e-mailadres, het verlies van een mobiele telefoon of de actie van een hacker. Vanaf dat moment heb je 72 uur de tijd om te bepalen of je het datalek meldt bij de Autoriteit Persoonsgegevens (AP) of niet. Een datalek houdt geen rekening met een volle agenda. Daarom is een datalekprocedure essentieel.

Een datalek zit soms in een klein hoekje. Een e-mail aan nét dat verkeerde e-mailadres, het verlies van een mobiele telefoon, een klik op een link in een phishing mail… Wat nu?

Vanaf 25 mei 2019 zitten we alweer in het tweede handhavingsjaar van de Algemene Verordening Gegevensbescherming (AVG of ook wel GDPR genoemd). In Nederland is het de Autoriteit Persoonsgegevens (AP) die toezicht houdt en handhaaft.

Op 20 september 2018 kwam het bericht van de Autoriteit Persoonsgegevens dat zij 40.000 euro heeft gevorderd van de Nationale Politie. Het gaat om een dwangsom die de Nationale Politie moet betalen, omdat zij haar logbestanden niet regelmatig controleert. Om persoonsgegevens voldoende te beveiligen moet het gebruik van systemen worden geregistreerd. Ook moet het geregistreerde gebruik regelmatig worden gecontroleerd. 

Ook bij afvalinzameling worden persoonsgegevens verwerkt, zoals van bezoekers op de milieustraat, via chips in minicontainers of met een adres gebonden afvalpas. De Algemene Verordening Gegevensbescherming (AVG) dievanaf 25 mei 2018 van kracht is geldt daarom ook bij afvalinzameling. Ik zal hieronder bespreken wat de meest relevante wijzigingen zijn voor de afvalbranche.

Op de milieustraat, via chips op minicontainers of met een adres gebonden afvalpas worden persoonsgegevens verwerkt. Niet alleen een adres is een persoonsgegeven, maar ook alle gegevens die via een adresgebonden afvalpas worden verwerkt. Voor al deze verwerkingen is daarom de privacyregelgeving van toepassing. Om aan deze regelgeving te voldoen mogen niet méér persoonsgegevens worden verwerkt dan noodzakelijk om het doel van de verwerking te bereiken.

Zoals ik schreef in de eerdere delen van deze blogserie worden bij de afvalinzameling persoonsgegevens verwerkt. Denk aan de verwerking van adresgegevens voor de uitgifte van afvalpassen of gechipte minicontainers of de registratie van kentekens en stortgegevens bij de milieustraat. Dus ook binnen de afvalbranche moet voldaan worden aan de privacyregelgeving. In deze regelgeving staan een aantal grondslagen. Iedere verwerking van persoonsgegevens zal gebaseerd moeten zijn op één van die grondslagen.

Zoals ik aangaf in deel 1 van deze blogserie over de verwerking van persoonsgegevens in de afvalinzameling zijn ook adresgegevens persoonsgegevens. De betekent dat via afvalpassen of chips in minicontainers die gekoppeld zijn aan adressen persoonsgegevens worden verwerkt en de privacyregelgeving van toepassing is.

In mijn vorige blogpost schreef ik over Privacy en de Arnhemse afvalpas. Tot op vandaag verschijnen er nog artikelen in diverse media over deze kwestie. Welke persoonsgegevens worden er eigenlijk verwerkt bij de afvalinzameling?

Om de afvalinzameling te optimaliseren en het scheiden van afval te stimuleren wordt door gemeenten en afvalverwerkers onder meer gebruik gemaakt van afvalpassen. De afvalpassen worden op adresniveau uitgegeven. Een inwoner van de gemeente Arnhem is van mening dat de gemeente zijn privacy schendt omdat de restafvalcontainers alleen geopend kunnen worden met deze adres gebonden afvalpas en heeft een handhavingsverzoek ingediend bij de Autoriteit Persoonsgegevens.

Op 28 januari 2017 was het de dag van de privacy. Een goed moment om stil te staan bij de verwerking van persoonsgegevens. Zoals ieder jaar heeft de Autoriteit Persoonsgegevens haar agenda gepresenteerd. Het jaar 2017 is een bijzonder jaar, want het is het laatste jaar dat de Wet bescherming persoonsgegevens geldt. Daarna geldt de Algemene Verordening Gegevensbescherming.

Beveiliging persoonsgegevens

Iedere organisatie die persoonsgegevens verwerkt dient te zorgen voor passende technische en organisatorische maatregelen om persoonsgegevens adequaat te beveiligen. De beveiliging is passend als de maatregelen zijn afgestemd op de risico's en de aard van de persoonsgegevens. Zo moeten persoonsgegevens van gevoelige aard, zoals medische gegevens, BSN of financiële gegevens zwaarder worden beveiligd dan NAW gegevens. Over de inrichting van de beveiliging heeft de Autoriteit Persoonsgegevens (toen nog College Bescherming Persoonsgegevens) richtsnoeren gepubliceerd. De beveiliging van persoonsgegevens is ook in 2017 één van de belangrijkste agendapunten van de Autoriteit Persoonsgegevens.