Privacy bij afvalinzameling (deel 4): niet méér gegevens verwerken dan noodzakelijk

Privacy bij afvalinzameling (deel 4): niet méér gegevens verwerken dan noodzakelijk

Thema's: Privacy, Privacy binnen de afvalbranche

24 november 2017

Op de milieustraat, via chips op minicontainers of met een adres gebonden afvalpas worden persoonsgegevens verwerkt. Niet alleen een adres is een persoonsgegeven, maar ook alle gegevens die via een adresgebonden afvalpas worden verwerkt. Voor al deze verwerkingen is daarom de privacyregelgeving van toepassing. Om aan deze regelgeving te voldoen mogen niet méér persoonsgegevens worden verwerkt dan noodzakelijk om het doel van de verwerking te bereiken.

Doel en grondslag zijn bepalend

Persoonsgegevens mogen niet worden verwerkt als daar geen wettelijke grondslag voor is, zoals de vervulling van de publiekrechtelijke taak om afval van inwoners in te zamelen. Tevens is een welbepaald en uitdrukkelijk omschreven doel vereist. Bij afvalinzameling kunnen doelen voor de verwerking van persoonsgegevens bijvoorbeeld zijn:

  • Voorkomen van 'afvaltoerisme' door niet inwoners of bedrijven
  • Bepalen hoogte afvalstoffenheffing (diftar)
  • Routeoptimalisatie
  • Behalen milieudoelstellingen door gerichte informatieverstrekking
  • Controle en handhaving van de afvalstoffenverordening

Wélke persoonsgegevens je mag verwerken wordt bepaald door de grondslag en de bepaalde doelen. Dat brengt mee dat je per persoonsgegeven zal moeten nagaan of de verwerking van dat persoonsgegeven past binnen de wettelijke grondslag en of dat concrete persoonsgegeven nodig is voor het doel dat is bepaald.

Noodzakelijkheidsvereiste


Hét uitgangspunt van de privacyregelgeving is dat je niet meer gegevens mag verwerken dan noodzakelijk is om je doel te bereiken. Als bijvoorbeeld de wettelijke grondslag de uitvoering van een arbeidsovereenkomst is en het doel de betaling van salaris, dan is het niet nodig om de kleur ogen of de schoenmaat van de werknemer te registreren. De verwerking van deze gegevens is dan in strijd met de privacyregelgeving.

Dit vereiste is bedoeld om individuen te beschermen tegen het zonder doel of noodzaak verzamelen van allerlei persoonsgegevens. Persoonsgegevens verzamelen omdat het kan of handig is mag dus niet. Dit vereiste geldt voor alle organisaties en professionals die persoonsgegevens verwerken. Dit geldt bij de afvalinzameling dus niet alleen voor de gemeenten, maar ook voor afvalverwerkers of IT leveranciers. Onder de komende Algemene Verordening van Gegevensbescherming (AVG) die vanaf 25 mei 2018 in heel Europa van kracht is, staat ook expliciet het vereiste van dataminimalisatie genoemd. 

Stortgegevens 

Ook in het kader van de verwerking van persoonsgegevens mogen niet meer persoonsgegevens worden verwerkt dan noodzakelijk om de bepaalde doelen te bereiken. Stel, het doel van een chip in de minicontainer is het beheer van de minicontainers binnen de gemeente. De gemeente en de afvalinzamelaar willen vermiste containers kunnen traceren en willen containers die buiten de wijk worden aangeboden  niet ledigen. In dat geval zal het nodig zijn de chip op adresniveau te registreren. Als iemand aangeeft dat zijn minicontainer is vermist, kan deze dan aan de hand van de chip worden getraceerd. En met behulp van een 'blacklist' op de wagens kan worden voorkomen dat de minicontainer in een andere wijk wordt geledigd. Het is voor deze doelen echter niet nodig om te registreren wanneer de gechipte minicontainer wordt geledigd. Wat, hoeveel of hoe vaak er wordt gestort per adres is namelijk niet noodzakelijk voor deze doelen. Deze zogenaamde stortgegevens mogen in dit geval niet worden verwerkt. Wordt echter de afvalstoffenheffing bepaalt per lediging van de minicontainer, dan zijn de stortgegevens wel noodzakelijk en mogen deze wel worden verwerkt. Per persoonsgegeven zal dus moeten worden nagegaan of dat gegeven nodig is om de vooraf bepaalde doelen te bereiken. 

Risico's als teveel persoonsgegevens worden verwerkt

Indien je persoonsgegevens verwerkt die je niet nodig hebt, dan handel je in strijd met de privacyregelgeving. Dan zou bijvoorbeeld een burger een handhavingsverzoek kunnen indienen bij de Autoriteit Persoonsgegevens, die vervolgens handhavend kan optreden. Naast bestuursdwang kan de Autoriteit Persoonsgegevens boetes opleggen oplopend tot € 820.000 of zelfs 10% van de jaaromzet. Vanaf 25 mei 2018 kunnen deze boetes oplopen tot 20 miljoen euro of 4% van de wereldwijde omzet. Buiten deze mogelijke boetes leidt een handhavingsverzoek vaak tot negatieve publiciteit. Het is dus de moeite waard om na te gaan of er niet meer persoonsgegevens worden verwerkt dan nodig. Bovendien is het belangrijk om de burger goed te informeren welke persoonsgegevens van hem worden verwerkt en hoe daarmee wordt omgegaan. Over deze informatieplicht kom ik in mijn volgende deel over privacy bij afvalinzameling terug.

Dit deel van mijn 'Privacy bij afvalinzameling-reeks' is gebaseerd op een blogpost die ik eerder schreef als gastblogger bij Waste-Insight.

Hulp nodig?

Om te voldoen aan de huidige Wet bescherming persoonsgegevens en voorbereid te zijn op de komende Algemene Verordening Gegevensbescherming zullen een aantal stappen genomen moeten worden. Wij helpen meerdere organisaties binnen de afvalbranche om te voldoen aan deze regelgeving. Een eerste stap is de inventarisatie van alle verwerkingen van persoonsgegevens. Deze verwerkingen zullen vanaf 25 mei 2018 ook moeten zijn opgenomen in het register van verwerkingsactiviteiten. Wilt u weten welke stappen nog nodig zijn binnen uw organisatie neem dan contact op met Monique Hennekens.