Collectieve oplossing voor ‘AVG knelpunten’ in de haven: de Privacy Gedragscode

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat is Europese wetgeving die directe werking heeft op alle bedrijven in de EU.

De AVG zal meer bescherming bieden aan betrokken personen, maar ook meer verantwoordelijkheid neerleggen bij de gebruikers van persoonsgebonden gegevens (bedrijven) met aanzienlijke administratieve rompslomp als gevolg. 

Eind vorig jaar heeft Deltalinqs haar leden met een tweetal workshops geïnformeerd over de impact van de Algemene Verordening Gegevensbescherming (AVG) voor bedrijven in de Rotterdamse haven en meer specifiek over de privacyaspecten rondom het werken met bijzondere persoonsgegevens zoals het (laten) uitvoeren van alcohol- en drugstesten. Met name het laatste aspect blijkt een lastig knelpunt te zijn in de dagelijkse praktijk waarbij zich een dilemma voordoet tussen het borgen van de veiligheid enerzijds en het beschermen van de privacy anderzijds. Vanzelfsprekend willen bedrijven aan de geldende wet- en regelgeving voldoen, maar zien zich vaak geconfronteerd met conflicterende wetgeving en andere belangen. Om compliant te zijn aan de AVG is het dus noodzakelijk om te inventariseren waar de dagelijkse praktijk tot knelpunten leidt en om te bepalen hoe daar in de toekomst mee moet worden omgegaan. Alle bedrijven die hiermee te maken krijgen hebben dus een gemeenschappelijk probleem.

Het toegangsbeleid is bij veel bedrijven in de haven mede gebaseerd op de ISPS (havenbeveiliging) en AEO (Douaneregels) en knelt met de privacyregels uit Europa. Omdat het toegangsproces van deze bedrijven veel overeenkomsten heeft zijn de knelpunten met de AVG ook vergelijkbaar. Daarom is een collectieve oplossing ontwikkeld: een sectorbrede Privacy Gedragscode.

De AVG stimuleert gedragscodes. Het maakt de abstracte regels concreet en hanteerbaar en houdt rekening met de specifieke kenmerken en behoeften van de sector. Is een bedrijf aangesloten dan duidt dit volgens de AVG op compliance. Zo kan worden aangetoond dat het bedrijf bewust bezig is met privacyvraagstukken en kunnen bestuurlijke sancties en bedrijfsstagnatie worden voorkomen. Hieronder vindt u meer informatie over de gedragscode voor het toegangsbeleid en over de (aanvullende) gedragscode voor MDA-controles (medicijnen, alcohol en drugs).

Privacy Gedragscode voor het toegangsbeleid ISPS/AEO
Zoals begin maart ook bleek op het Landelijk Overleg Port Security (LOPS) worstelen nog veel havenbedrijven met de knelpunten tussen ISPS/AEO en AVG. Daar is nu een oplossing voor ontwikkeld. Op initiatief van een aantal Rotterdamse terminals is in opdracht van Deltalinqs een sectorbrede Privacy Gedragscode opgesteld. De gedragscode zorgt ervoor dat het toegangsbeleid voldoet aan zowel de ISPS en de AEO als de AVG. De gedragscode maakt de regels concreet en hanteerbaar. Het vormt bovendien een efficiënte kapstok voor het interne privacybeleid.

De gedragscode is inmiddels ingediend bij de Autoriteit Persoonsgegevens. Aansluiten kan nu al:

  • Aansluiting bij de Privacy Gedragscode voor ISPS-/AEO-bedrijven voor de duur van vijf jaar
  • Registratie daarvan bij de Autoriteit Persoonsgegevens
  • Jaarlijkse audit op locatie; met rapportage aan de Autoriteit Persoonsgegevens
  • Privacy Awareness training (introductie AVG, introductie gedragscode en tips & tricks)
  • Inventarisatie van mogelijke privacyknelpunten in uw toegangsverleningsproces
  • Efficiënte kapstok voor intern privacybeleid

Gedragscode voor MDA-controles
De Autoriteit Persoonsgegevens is – vooralsnog – van mening dat er onvoldoende juridische basis is voor MDA-controles en daarom vanuit het perspectief van privacybescherming niet zijn toegestaan. Zij stelt dat er gezondheidsgegevens worden verwerkt en er geen algemeen zwaarwegend belang aanwezig zou zijn dat de inbreuk op de privacy rechtvaardigt. Veel bedrijven zien dit anders en wijzen op het belang van de veiligheid en gezondheid. Het gaat daarbij niet alleen om de veiligheid en gezondheid van de mensen op het terrein. Het gaat ook om de veiligheid en volksgezondheid van de omliggende gemeenten en zelfs van de ruime omgeving daarbuiten. Inmiddels heeft Port Privacy in overleg met diverse bedrijven, beveiligingsbedrijven en arbodiensten een aparte privacy gedragscode voor MDA-controles opgesteld. Deze wordt op korte termijn ingediend bij de Autoriteit Persoonsgegevens. Wij houden u op de hoogte van de discussie die dit waarschijnlijk gaat opleveren.

Mocht u geïnteresseerd zijn in deelname aan deze gedragscodes of gewoon op zoek bent naar meer informatie hierover, dan kunt u direct contact opnemen met Port Privacy via www.portprivacy.com.

Bent u geïnteresseerd in deelname aan de themaworkshop 'Mogelijk gevolgen van de AVG in de arbeidsketen', die Deltalinqs samen met de VOMI organiseert op 20 maart aanstaande, meld u zich dan zo spoedig mogelijk aan via de aanmeldbutton in de link.