Stichting vervoeradres | Weg en wagen 72

WEG EN WAGEN | Maart 2014 | Jaargang 28 | Nummer 72
Elektronische vrachtbrief
Transportbedrijven en privacy
Transportbedrijven hebben als dienstverlener en als werkgever te maken met privacyregels.
Hoe moet/mag een transportbedrijf omgaan met persoonsgegevens. En welke rol speelt het
bedrijf dan volgens de terminologie van de privacywetgeving: verantwoordelijke of bewerker?
1.Inleiding
Dr. Koen Versmissen partner
bij Privacy Management
Partners
Mw. Mr. Daphne Smaling
juridisch adviseur bij
Transport en Logistiek
Nederland (TLN)
In deze bijdrage gaan we in op het belang van privacy voor
transportbedrijven. Allereerst beantwoorden we de vraag “Wat
is privacy?”. We leggen uit wat datagedreven bedrijfsvoering is, en dat de privacywetgeving eigenlijk daarover gaat.
Daarna gaan we in op de uitgangspunten die ervoor moeten
zorgen dat datagedreven bedrijfsvoering op een nette manier
gebeurt. Vervolgens bekijken we in hoeverre transportbedrijven te maken hebben met privacyregels. Van groot belang
daarbij is het onderscheid tussen twee belangrijke rollen van
het transportbedrijf: dienstverlener en werkgever. Kort gezegd
heeft de dienstverlener doorgaans niet zo veel met privacy
te maken, maar de werkgever des te meer. Tot slot gaan we
in op twee grote veranderingen die er op privacygebied aan
zitten te komen: er komen over een paar jaar nieuwe Europese
privacyregels die onze nationale regels gaan vervangen en
waarin het systematisch borgen van naleving veel belangrijker wordt, en op korte termijn gaat het handhavingsrisico flink
toenemen doordat de toezichthouder fikse boetes mag gaan
uitdelen.
2. Wat is privacy?
2.1. Persoonsdatagedreven bedrijfsvoering
Strikt genomen gaat privacy over de afscherming van onze
persoonlijke levenssfeer: sommige zaken houden we liever
voor onszelf. Maar als we het over wettelijke privacyregels hebben, dan bedoelen we eigenlijk: regels voor het
behoorlijk en zorgvuldig omgaan met persoonsgegevens.
Persoonsgegevens zijn álle gegevens over mensen: niet
alleen hun naam, adres en telefoonnummer, maar ook informatie over hun gezondheid, wat ze in hun vrije tijd doen, hoe
ze op hun werk functioneren, wanneer ze waar geweest zijn,
noem maar op. Bij steeds meer bedrijven en overheidsorganisaties zijn persoonsgegevens de kurk waarop de belangrijkste
processen drijven. Privacyregels zijn dan dus spelregels voor
persoonsdatagedreven bedrijfsvoering. Omdat transportbedrijven datagedreven bedrijfsvoering hebben, zullen we in
paragraaf 3 bekijken in hoeverre dat persoonsdatagedreven
bedrijfsvoering is.
2.2. Kernverplichtingen
De algemene wettelijke privacyregels zijn te vinden in de Wet
Bescherming Persoonsgegevens (WBP). Daarnaast hebben
bepaalde branches nog hun eigen wetgeving, waarin vaak ook
privacyregels staan. Want, zoals gezegd, privacyregels zijn
alle regels over hoe je met persoonsgegevens moet en mag
omgaan. Voor de transportsector gaat het dan bijvoorbeeld
over regels over de vrachtbrief en de digitale tachograaf. Al die
privacyregels zijn behoorlijk ingewikkeld. Uiteindelijk komen
ze neer op de volgende vijf kernverplichtingen voor bedrijven
die persoonsgegevens verwerken (opslaan, gebruiken enz.):
1.Privacy management – Wie persoonsgegevens verwerkt,
moet daarvoor allereerst beleid vaststellen; dat beleid
moet worden vertaald in passende maatregelen die ervoor
zorgen dat met persoonsgegevens volgens de regels wordt
omgegaan, denk aan instrumenten zoals voorlichting,
training, procedures, contracten en audits; die maatregelen
moeten worden gedocumenteerd en gemonitord, zodat kan
worden aangetoond dat ze effectief zijn.
2.Gebalanceerde oplossingen – Welke maatregelen moeten
er getroffen worden? Met een zogenaamd “Privacy Impact
Assessment” (PIA) kunnen de privacyrisico’s in kaart
gebracht worden. Het gaat dan om de risico’s van onzorgvuldige of onbehoorlijke verwerking voor zowel de personen
in kwestie als voor de organisatie die de gegevens verwerkt. De uitkomsten van een PIA vormen het vertrekpunt
voor het nemen van beheersmaatregelen. Een verwerker
kan niet redeneren dat zulke maatregelen onnodig zijn
omdat de kans te klein is dat een probleem zich voordoet.
Wel is het mogelijk om prioriteringen aan te brengen want
niet alle privacyproblemen zijn even zwaarwegend. Ook is
er ruimte voor efficiency: Rolls Royce-oplossingen zijn niet
nodig waar Volkswagen-oplossingen volstaan.
3.Integere gegevensverwerking – Privacywetgeving is
vooral legitimerende wetgeving: wie binnen de wettelijke
kaders blijft, mag persoonsgegevens verwerken. De kern
van die wettelijke kaders is: integere gegevensverwerking.
Zo moet er een duidelijk doel zijn voor de gegevensverwerking en moeten de gegevens voor dat doel ook noodzakelijk
zijn. Ook mogen er niet meer gegevens verwerkt worden
dan nodig en moeten de gegevens voldoende juist en
actueel zijn. Voor bepaalde zeer gevoelige gegevens ligt het
anders, het verwerken daarvan is “verboden, tenzij ...”. Het
gaat dan bijvoorbeeld over gegevens over iemands gezondheid, seksuele geaardheid of strafrechtelijk verleden.
“Weg en Wagen is een gratis e-magazine over vervoerrecht, douanerecht en transport van afval. Abonneren kan op www.sva.nl/weg-en-wagen.”
13
WEG EN WAGEN | Maart 2014 | Jaargang 28 | Nummer 72
4.Privacyservices – De privacywetgeving geeft iedereen
het recht om bij verwerkers klachten of verzoeken in te
dienen. Een verwerker moet in de eerste plaats transparant
zijn over de vormen van verwerking en over waar iemand
terecht kan met vragen en klachten. Ieder verzoek van een
persoon tot inzage, correctie of verwijdering van zijn of
haar gegevens moet binnen vier weken zijn afgehandeld.
Dat wil niet zeggen dat een verzoeker in alle gevallen ook
zijn zin moet krijgen, maar bij afwijzing zal dat juridisch
goed moeten worden gecheckt en onderbouwd. Als er
gehoor moet worden gegeven aan een verzoek, dan moet
dat vervolgens natuurlijk ook daadwerkelijk worden uitgevoerd.
5.Ketenregie – Tegenwoordig werken verschillende partijen
vaak met elkaar samen, zowel intern als extern, of worden
informatieservices gedeeld. Het komt bijvoorbeeld veelvuldig voor dat een werkgever zijn salarisadministratie
heeft uitbesteed aan een gespecialiseerde dienstverlener.
In plaats van één zijn er dan twee partijen betrokken: de
opdrachtgever en zijn uitvoeringsorganisatie. Dankzij
internet en de opkomst van cloud services neemt die
complexiteit alleen maar toe, waarbij dienstverleners overal
ter wereld gevestigd kunnen zijn. Van belang is daarbij
vooral dat de opdrachtgever eindverantwoordelijk blijft
voor het naleven van de privacyregels. Hij kan dus worden
aangesproken op fouten die zijn dienstverlener maakt.
3. Transportbedrijven en privacy
In deze paragraaf bekijken we in hoeverre transportbedrijven
een persoonsdatagedreven bedrijfsvoering hebben, en dus in
hoeverre transportbedrijven met de privacyregels te maken
hebben.
3.1. Het transportbedrijf als dienstverlener
Wat heeft het transportbedrijf in zijn hoedanigheid als dienstverlener met de privacyregels te maken? Die vraag kunnen
we in een aantal stappen beantwoorden.
De eerste vraag is of er persoonsgegevens verwerkt worden.
Dat is inderdaad het geval. Een transportbedrijf ontvangt
namelijk in veel gevallen de naam en het adres van een persoon waaraan goederen geleverd moeten worden. Daarmee
is meteen sprake van het verwerken van persoonsgegevens,
want dat is een heel breed begrip: gegevens bewaren, gebruiken, aan anderen geven, vernietigen, het valt er allemaal
onder. Het is deze verwerking waarop we hieronder focussen.
De tweede vraag is of die verwerking onder de WBP valt. Dat
zal vrijwel altijd het geval zijn. De WBP geldt namelijk in ieder
geval voor elke geautomatiseerde verwerking van persoonsgegevens door een bedrijf. Bijvoorbeeld wanneer er gebruik
wordt gemaakt van elektronische vrachtbrieven of van
software voor het plannen van routes. Maar ook een papieren
gegevensverzameling valt onder de WBP zodra die structureel
geordend is.
 
De derde vraag is wat de rol van het transportbedrijf is.
In paragraaf 2.2 gaven we een aantal kernverplichtingen
aan voor degene die op eigen initiatief persoonsgegevens
verwerkt of een ander daartoe opdracht verstrekt. Zo iemand
heet de verantwoordelijke. Degene die in opdracht van een
verantwoordelijke persoonsgegevens verwerkt, wordt de
bewerker genoemd. Dat is een belangrijk verschil, omdat de
verantwoordelijke meer verplichtingen heeft en primair op de
verwerking kan worden aangesproken.
Wanneer een opdrachtgever een transportbedrijf inschakelt
voor het vervoeren van goederen, dan zal in het algemeen de
opdrachtgever de verantwoordelijke zijn (tenzij deze zelf ook
weer bewerker is voor een andere partij) en het transportbedrijf de bewerker. Het transportbedrijf moet namelijk weten bij
wie het goed moet worden opgehaald en bij wie het goed moet
worden afgeleverd. Die gegevensverwerking dient primair de
afzender en de ontvanger, niet het transportbedrijf.
Het wordt anders wanneer het transportbedrijf de gegevens
ook voor zichzelf zou gaan verwerken, bijvoorbeeld door ze
te gebruiken voor direct marketing voor zijn eigen diensten.
Voor die verwerking zou hij dan verantwoordelijke zijn. Maar
in de meeste gevallen zal een transportbedrijf dat helemaal
niet mogen doen. Als bewerker mag hij namelijk alleen met de
gegevens doen wat de opdrachtgever van hem vraagt, en dat
is meestal beperkt tot het verzorgen van het vervoer en het
vastleggen daarvan.
De laatste vraag is wat deze rolverdeling (opdrachtgever =
verantwoordelijke, transportbedrijf = bewerker) nu voor beide
partijen betekent. De belangrijkste plicht voor de bewerker
(het transportbedrijf) is dat die de gegevens afdoende moet
beveiligen. De verantwoordelijke (de opdrachtgever) moet
de afspraken met de bewerker over de gegevensverwerking
schriftelijk vastleggen, en ook controleren dat de bewerker
die naleeft. In het bijzonder geldt dat voor de beveiligingsverplichting van de bewerker. Zoals we in de vorige alinea al
aangaven, mag het transportbedrijf alleen persoonsgegevens
verwerken in opdracht van de verantwoordelijke. Hij mag dus
niet zelfstandig besluiten om over te gaan tot een bepaalde
verwerking van aan hem toevertrouwde gegevens, tenzij dat
is om te voldoen aan een wettelijke verplichting, bijvoorbeeld
de belastingwetgeving die verplicht om de administratie
zeven jaar te bewaren.
“Weg en Wagen is een gratis e-magazine over vervoerrecht, douanerecht en transport van afval. Abonneren kan op www.sva.nl/weg-en-wagen.”
14
WEG EN WAGEN | Maart 2014 | Jaargang 28 | Nummer 72
De verantwoordelijke moet ervoor zorgen dat de gegevens op
behoorlijke en zorgvuldige wijze verwerkt worden, en is dus
primair aansprakelijk als er iets mis gaat. Maar als de fout
geheel of gedeeltelijk bij de bewerker ligt, dan is die aansprakelijk voor zijn aandeel. Tot slot zijn zowel de verantwoordelijke als de bewerker (en hun personeel, uiteraard) verplicht
tot geheimhouding van de aan hen toevertrouwde gegevens.
Samenvattend kunnen we zeggen dat de meeste transportbedrijven in hun rol als dienstverlener weinig te maken zullen
hebben met de privacyregels. Wel moeten ze persoonsgegevens voldoende beveiligen en zorgen dat ze ze alleen
verwerken conform de opdracht van de opdrachtgever. In het
licht van nieuwe privacyregels (zie §4) zullen opdrachtgevers
naar verwachting steeds vaker van bewerkers vragen om aan
te tonen dat zij op privacygebied hun zaakjes op orde hebben.
 
3.2. Het transportbedrijf als werkgever
In hun rol van dienstverlener hebben transportbedrijven dus
niet zoveel te maken met de privacyregels. Dat is heel anders
in hun rol van werkgever! Er zijn tal van regels voor het goed
omgaan met de gegevens van uw personeel. Natuurlijk moeten het personeelsbestand en de salarisadministratie netjes
bijgehouden worden, ook met het oog op wettelijke verplichtingen. Maar er is nog veel meer: screening van sollicitanten;
het (kunnen) volgen en monitoren van personeel door middel
van, bijvoorbeeld, controle van e-mail, internet- en telefoongebruik, cameratoezicht, toegangspasjes, GPS of digitale
tachograaf; uitvoeren van regels rondom ziekte, re-integratie
en arbeidsongeschiktheid; tegengaan van fraude; gebruik
van sociale media; enz. Het is hier niet de plek om uitgebreid
in te gaan op deze materie, die immers voor het merendeel
niet specifiek is voor transportbedrijven. Onlangs heeft de
toezichthouder, het College Bescherming Persoonsgegevens
(CBP), op zijn website een overzicht gepubliceerd van do’s &
don’ts bij gebruik van persoonsgegevens van werknemers.1
4. Ontwikkelingen op privacygebied
Ter besluit van dit artikel gaan we nog kort in op twee belangrijke ontwikkelingen die op stapel staan.
1
2
4.1. Algemene verordening gegevensbescherming
Op Europees niveau wordt al enkele jaren gewerkt aan een
algemene verordening gegevensbescherming.2 Dat wordt een
soort Europese privacywet, waardoor nationale wetten als de
WBP zullen komen te vervallen. Inhoudelijk gaat er het een en
ander veranderen, maar blijven de uitgangspunten hetzelfde.
De belangrijkste wijziging zit hem op het gebied van privacy
management, de eerste kernverplichting uit §2.2. Nu is dat
nog een verplichting die je met een vergrootglas moet zoeken
in de WBP, straks staan er een aantal specifieke eisen op dit
gebied in de verordening. Zo zullen veel grotere bedrijven
verplicht worden om een privacy officer aan te stellen.
4.2. Groter handhavingsrisico
Momenteel kan het CBP nauwelijks boetes opleggen voor
geconstateerde overtredingen. Dat wordt binnenkort echter
anders. Naar verwachting komt er per 1 januari 2015 een
meldplicht voor datalekken. In hetzelfde wetsvoorstel krijgt
het CBP naar verwachting de bevoegdheid om voor overtredingen van álle wettelijke privacyregels boetes tot €810.000
op te leggen. Deze boetes zijn overigens nog niets vergeleken
met de maximale privacyboetes die het Europese Parlement
heeft voorgesteld voor in de Verordening: 5% van de wereldwijde jaaromzet, of (ja, u leest het goed) 100 miljoen euro –
wat maar het hoogste is!
5. Conclusie
Transportbedrijven verwerken persoonsgegevens. In hun rol
als dienstverlener zullen zij over het algemeen bewerker zijn.
Het is dan vooral zaak om de gegevens alleen conform de
opdracht te gebruiken voor het uitvoeren van de vervoersovereenkomst en het voldoen aan wettelijke verplichtingen.
Wie ze gebruikt voor eigen doeleinden, zoals direct marketing,
of verstrekt aan anderen, loopt een aansprakelijkheidsrisico.
De gegevens moeten ook goed beveiligd worden. In hun rol
als werkgever hebben transportbedrijven net als andere
werkgevers met allerlei privacyregels te maken. Met het oog
op de fikse boetes die binnenkort opgelegd kunnen worden,
verdient het aanbeveling om het privacy management op orde
te hebben.
http://www.cbpweb.nl/Pages/pb_20140128_privacy-werknemers.aspx
De verordening wordt waarschijnlijk in het voorjaar van 2015 aangenomen, waarna nog een overgangstermijn van twee jaar volgt.
“Weg en Wagen is een gratis e-magazine over vervoerrecht, douanerecht en transport van afval. Abonneren kan op www.sva.nl/weg-en-wagen.”
15

Download Report