Samen geschreven met: mr. Daphne Methorst-Smaling Juridisch adviseur bij Transport en Logistiek Nederland (TLN) / FENEX
Transportbedrijven hebben als dienstverlener en als werkgever te maken met privacyregels. Hoe moet/mag een transportbedrijf omgaan met persoonsgegevens. En welke rol speelt het bedrijf dan volgens de terminologie van de privacywetgeving: verantwoordelijke of bewerker?
1. INLEIDING
In deze bijdrage gaan we in op het belang van privacy voor transportbedrijven. Allereerst beantwoorden we de vraag “Wat is privacy?”. We leggen uit wat datagedreven bedrijfsvoering is, en dat de privacywetgeving eigenlijk daarover gaat. Daarna gaan we in op de uitgangspunten die ervoor moeten zorgen dat datagedreven bedrijfsvoering op een nette manier gebeurt. Vervolgens bekijken we in hoeverre transportbedrijven te maken hebben met privacyregels. Van groot belang daarbij is het onderscheid tussen twee belangrijke rollen van het transportbedrijf: dienstverlener en werkgever. Kort gezegd heeft de dienstverlener doorgaans niet zo veel met privacy te maken, maar de werkgever des te meer. Tot slot gaan we in op twee grote veranderingen die er op privacygebied aan zitten te komen: er komen over een paar jaar nieuwe Europese privacyregels die onze nationale regels gaan vervangen en waarin het systematisch borgen van naleving veel belangrijker wordt, en op korte termijn gaat het handhavingsrisico flink toenemen doordat de toezichthouder fikse boetes mag gaan uitdelen.
2. WAT IS PRIVACY?
2.1. PERSOONSDATAGEDREVEN BEDRIJFSVOERING
Strikt genomen gaat privacy over de afscherming van onze persoonlijke levenssfeer: sommige zaken houden we liever voor onszelf. Maar als we het over wettelijke privacyregels hebben, dan bedoelen we eigenlijk: regels voor het behoorlijk en zorgvuldig omgaan met persoonsgegevens. Persoonsgegevens zijn álle gegevens over mensen: niet alleen hun naam, adres en telefoonnummer, maar ook informatie over hun gezondheid, wat ze in hun vrije tijd doen, hoe ze op hun werk functioneren, wanneer ze waar geweest zijn, noem maar op. Bij steeds meer bedrijven en overheidsorganisaties zijn persoonsgegevens de kurk waarop de belangrijkste processen drijven. Privacyregels zijn dan dus spelregels voor persoonsdatagedreven bedrijfsvoering. Omdat transportbedrijven datagedreven bedrijfsvoering hebben, zullen we in paragraaf 3 bekijken in hoeverre dat persoonsdatagedreven bedrijfsvoering is.
2.2. KERNVERPLICHTINGEN
De algemene wettelijke privacyregels zijn te vinden in de Wet Bescherming Persoonsgegevens (WBP). Daarnaast hebben bepaalde branches nog hun eigen wetgeving, waarin vaak ook privacyregels staan. Want, zoals gezegd, privacyregels zijn alle regels over hoe je met persoonsgegevens moet en mag omgaan. Voor de transportsector gaat het dan bijvoorbeeld over regels over de vrachtbrief en de digitale tachograaf. Al die privacyregels zijn behoorlijk ingewikkeld. Uiteindelijk komen ze neer op de volgende vijf kernverplichtingen voor bedrijven die persoonsgegevens verwerken (opslaan, gebruiken enz.):
1. Privacy management – Wie persoonsgegevens verwerkt, moet daarvoor allereerst beleid vaststellen; dat beleid moet worden vertaald in passende maatregelen die ervoor zorgen dat met persoonsgegevens volgens de regels wordt omgegaan, denk aan instrumenten zoals voorlichting, training, procedures, contracten en audits; die maatregelen moeten worden gedocumenteerd en gemonitord, zodat kan worden aangetoond dat ze effectief zijn.
2. Gebalanceerde oplossingen – Welke maatregelen moeten er getroffen worden? Met een zogenaamd “Privacy Impact Assessment” (PIA) kunnen de privacyrisico’s in kaart gebracht worden. Het gaat dan om de risico’s van onzorgvuldige of onbehoorlijke verwerking voor zowel de personen in kwestie als voor de organisatie die de gegevens verwerkt. De uitkomsten van een PIA vormen het vertrekpunt voor het nemen van beheersmaatregelen. Een verwerker kan niet redeneren dat zulke maatregelen onnodig zijn omdat de kans te klein is dat een probleem zich voordoet. Wel is het mogelijk om prioriteringen aan te brengen want niet alle privacyproblemen zijn even zwaarwegend. Ook is er ruimte voor efficiency: Rolls Royce-oplossingen zijn niet nodig waar Volkswagen-oplossingen volstaan.
3. Integere gegevensverwerking – Privacywetgeving is vooral legitimerende wetgeving: wie binnen de wettelijke kaders blijft, mag persoonsgegevens verwerken. De kern van die wettelijke kaders is: integere gegevensverwerking. Zo moet er een duidelijk doel zijn voor de gegevensverwerking en moeten de gegevens voor dat doel ook noodzakelijk zijn. Ook mogen er niet meer gegevens verwerkt worden dan nodig en moeten de gegevens voldoende juist en actueel zijn. Voor bepaalde zeer gevoelige gegevens ligt het anders, het verwerken daarvan is “verboden, tenzij ...”. Het gaat dan bijvoorbeeld over gegevens over iemands gezondheid, seksuele geaardheid of strafrechtelijk verleden.
4. Privacyservices – De privacywetgeving geeft iedereen het recht om bij verwerkers klachten of verzoeken in te dienen. Een verwerker moet in de eerste plaats transparant zijn over de vormen van verwerking en over waar iemand terecht kan met vragen en klachten. Ieder verzoek van een persoon tot inzage, correctie of verwijdering van zijn of haar gegevens moet binnen vier weken zijn afgehandeld. Dat wil niet zeggen dat een verzoeker in alle gevallen ook zijn zin moet krijgen, maar bij afwijzing zal dat juridisch goed moeten worden gecheckt en onderbouwd. Als er gehoor moet worden gegeven aan een verzoek, dan moet dat vervolgens natuurlijk ook daadwerkelijk worden uitgevoerd.
5. Ketenregie – Tegenwoordig werken verschillende partijen vaak met elkaar samen, zowel intern als extern, of worden informatieservices gedeeld. Het komt bijvoorbeeld veelvuldig voor dat een werkgever zijn salarisadministratie heeft uitbesteed aan een gespecialiseerde dienstverlener. In plaats van één zijn er dan twee partijen betrokken: de opdrachtgever en zijn uitvoeringsorganisatie. Dankzij internet en de opkomst van cloud services neemt die complexiteit alleen maar toe, waarbij dienstverleners overal ter wereld gevestigd kunnen zijn. Van belang is daarbij vooral dat de opdrachtgever eindverantwoordelijk blijft voor het naleven van de privacyregels. Hij kan dus worden aangesproken op fouten die zijn dienstverlener maakt.
3. TRANSPORTBEDRIJVEN EN PRIVACY
In deze paragraaf bekijken we in hoeverre transportbedrijven een persoonsdatagedreven bedrijfsvoering hebben, en dus in hoeverre transportbedrijven met de privacyregels te maken hebben.
3.1. HET TRANSPORTBEDRIJF ALS DIENSTVERLENER
Wat heeft het transportbedrijf in zijn hoedanigheid als dienstverlener met de privacyregels te maken? Die vraag kunnen we in een aantal stappen beantwoorden.
De eerste vraag is of er persoonsgegevens verwerkt worden. Dat is inderdaad het geval. Een transportbedrijf ontvangt namelijk in veel gevallen de naam en het adres van een persoon waaraan goederen geleverd moeten worden. Daarmee is meteen sprake van het verwerken van persoonsgegevens, want dat is een heel breed begrip: gegevens bewaren, gebruiken, aan anderen geven, vernietigen, het valt er allemaal onder. Het is deze verwerking waarop we hieronder focussen.
De tweede vraag is of die verwerking onder de WBP valt. Dat zal vrijwel altijd het geval zijn. De WBP geldt namelijk in ieder geval voor elke geautomatiseerde verwerking van persoonsgegevens door een bedrijf. Bijvoorbeeld wanneer er gebruik wordt gemaakt van elektronische vrachtbrieven of van software voor het plannen van routes. Maar ook een papieren gegevensverzameling valt onder de WBP zodra die structureel geordend is.
De derde vraag is wat de rol van het transportbedrijf is. In paragraaf 2.2 gaven we een aantal kernverplichtingen aan voor degene die op eigen initiatief persoonsgegevens verwerkt of een ander daartoe opdracht verstrekt. Zo iemand heet de verantwoordelijke. Degene die in opdracht van een verantwoordelijke persoonsgegevens verwerkt, wordt de bewerker genoemd. Dat is een belangrijk verschil, omdat de verantwoordelijke meer verplichtingen heeft en primair op de verwerking kan worden aangesproken.
Wanneer een opdrachtgever een transportbedrijf inschakelt voor het vervoeren van goederen, dan zal in het algemeen de opdrachtgever de verantwoordelijke zijn (tenzij deze zelf ook weer bewerker is voor een andere partij) en het transportbedrijf de bewerker. Het transportbedrijf moet namelijk weten bij wie het goed moet worden opgehaald en bij wie het goed moet worden afgeleverd. Die gegevensverwerking dient primair de afzender en de ontvanger, niet het transportbedrijf.
Het wordt anders wanneer het transportbedrijf de gegevens ook voor zichzelf zou gaan verwerken, bijvoorbeeld door ze te gebruiken voor direct marketing voor zijn eigen diensten. Voor die verwerking zou hij dan verantwoordelijke zijn. Maar in de meeste gevallen zal een transportbedrijf dat helemaal niet mogen doen. Als bewerker mag hij namelijk alleen met de gegevens doen wat de opdrachtgever van hem vraagt, en dat is meestal beperkt tot het verzorgen van het vervoer en het vastleggen daarvan.
De laatste vraag is wat deze rolverdeling (opdrachtgever = verantwoordelijke, transportbedrijf = bewerker) nu voor beide partijen betekent. De belangrijkste plicht voor de bewerker (het transportbedrijf) is dat die de gegevens afdoende moet beveiligen. De verantwoordelijke (de opdrachtgever) moet de afspraken met de bewerker over de gegevensverwerking schriftelijk vastleggen, en ook controleren dat de bewerker die naleeft. In het bijzonder geldt dat voor de beveiligingsverplichting van de bewerker. Zoals we in de vorige alinea al aangaven, mag het transportbedrijf alleen persoonsgegevens verwerken in opdracht van de verantwoordelijke. Hij mag dus niet zelfstandig besluiten om over te gaan tot een bepaalde verwerking van aan hem toevertrouwde gegevens, tenzij dat is om te voldoen aan een wettelijke verplichting, bijvoorbeeld de belastingwetgeving die verplicht om de administratie zeven jaar te bewaren.
De verantwoordelijke moet ervoor zorgen dat de gegevens op behoorlijke en zorgvuldige wijze verwerkt worden, en is dus primair aansprakelijk als er iets mis gaat. Maar als de fout geheel of gedeeltelijk bij de bewerker ligt, dan is die aansprakelijk voor zijn aandeel. Tot slot zijn zowel de verantwoordelijke als de bewerker (en hun personeel, uiteraard) verplicht tot geheimhouding van de aan hen toevertrouwde gegevens.
Samenvattend kunnen we zeggen dat de meeste transportbedrijven in hun rol als dienstverlener weinig te maken zullen hebben met de privacyregels. Wel moeten ze persoonsgegevens voldoende beveiligen en zorgen dat ze ze alleen verwerken conform de opdracht van de opdrachtgever. In het licht van nieuwe privacyregels (zie §4) zullen opdrachtgevers naar verwachting steeds vaker van bewerkers vragen om aan te tonen dat zij op privacygebied hun zaakjes op orde hebben.
3.2. HET TRANSPORTBEDRIJF ALS WERKGEVER
In hun rol van dienstverlener hebben transportbedrijven dus niet zoveel te maken met de privacyregels. Dat is heel anders in hun rol van werkgever! Er zijn tal van regels voor het goed omgaan met de gegevens van uw personeel. Natuurlijk moeten het personeelsbestand en de salarisadministratie netjes bijgehouden worden, ook met het oog op wettelijke verplichtingen. Maar er is nog veel meer: screening van sollicitanten; het (kunnen) volgen en monitoren van personeel door middel van, bijvoorbeeld, controle van e-mail, internet- en telefoongebruik, cameratoezicht, toegangspasjes, GPS of digitale tachograaf; uitvoeren van regels rondom ziekte, re-integratie en arbeidsongeschiktheid; tegengaan van fraude; gebruik van sociale media; enz. Het is hier niet de plek om uitgebreid in te gaan op deze materie, die immers voor het merendeel niet specifiek is voor transportbedrijven. Onlangs heeft de toezichthouder, het College Bescherming Persoonsgegevens (CBP), op zijn website een overzicht gepubliceerd van do’s & don’ts bij gebruik van persoonsgegevens van werknemers.(1)
4. ONTWIKKELINGEN OP PRIVACYGEBIED
Ter besluit van dit artikel gaan we nog kort in op twee belangrijke ontwikkelingen die op stapel staan.
4.1. ALGEMENE VERORDENING GEGEVENSBESCHERMING
Op Europees niveau wordt al enkele jaren gewerkt aan een algemene verordening gegevensbescherming.(2) Dat wordt een soort Europese privacywet, waardoor nationale wetten als de WBP zullen komen te vervallen. Inhoudelijk gaat er het een en ander veranderen, maar blijven de uitgangspunten hetzelfde. De belangrijkste wijziging zit hem op het gebied van privacy management, de eerste kernverplichting uit §2.2. Nu is dat nog een verplichting die je met een vergrootglas moet zoeken in de WBP, straks staan er een aantal specifieke eisen op dit gebied in de verordening. Zo zullen veel grotere bedrijven verplicht worden om een privacy officer aan te stellen.
4.2. GROTER HANDHAVINGSRISICO
Momenteel kan het CBP nauwelijks boetes opleggen voor geconstateerde overtredingen. Dat wordt binnenkort echter anders. Naar verwachting komt er per 1 januari 2015 een meldplicht voor datalekken. In hetzelfde wetsvoorstel krijgt het CBP naar verwachting de bevoegdheid om voor overtredingen van álle wettelijke privacyregels boetes tot €810.000 op te leggen. Deze boetes zijn overigens nog niets vergeleken met de maximale privacyboetes die het Europese Parlement heeft voorgesteld voor in de Verordening: 5% van de wereldwijde jaaromzet, of (ja, u leest het goed) 100 miljoen euro – wat maar het hoogste is!
5. CONCLUSIE
Transportbedrijven verwerken persoonsgegevens. In hun rol als dienstverlener zullen zij over het algemeen bewerker zijn. Het is dan vooral zaak om de gegevens alleen conform de opdracht te gebruiken voor het uitvoeren van de vervoersovereenkomst en het voldoen aan wettelijke verplichtingen. Wie ze gebruikt voor eigen doeleinden, zoals direct marketing, of verstrekt aan anderen, loopt een aansprakelijkheidsrisico. De gegevens moeten ook goed beveiligd worden. In hun rol als werkgever hebben transportbedrijven net als andere werkgevers met allerlei privacyregels te maken. Met het oog op de fikse boetes die binnenkort opgelegd kunnen worden, verdient het aanbeveling om het privacy management op orde te hebben
https://www.autoriteitpersoonsgegevens.nl/nl/onderwerpen/werk-uitkering/controle-van-personeel
De verordening wordt waarschijnlijk in het voorjaar van 2015 aangenomen, waarna nog een overgangstermijn van twee jaar volgt
