Handreiking verantwoordelijke persoonsgegevens Smart Mobility diensten

Vergelijkbare documenten
Eén verantwoordelijke

De 'verantwoordelijke' voor dataprotectie bij C-ITS toepassingen. 3e Concept

De 'verantwoordelijke' voor dataprotectie bij C-ITS toepassingen

Wettelijke kaders voor de omgang met gegevens

THUISZORG GEZELLIG PRIVACYREGLEMENT T HUISZORG GEZELLIG VECHTSTRAAT AS ZWOLLE

Verwerkersovereenkomst

E-book 17 vragen over de AVG

PRIVACYREGLEMENT. de publieke uitvoerder van re-integratieactiviteiten in de Leidse regio, onderdeel van de gemeentelijke instelling DZB Leiden.

PRIVACYREGELING RITREGISTRATIESYSTEEM < NAAM BEDRIJF > Versienummer: 1.4 Datum wijziging: < 1 september 2013 > Ingangsdatum: < 1 september 2013 >

Verwerkersovereenkomst

Procedure meldplicht datalekken

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

GDPR. De nieuwe privacywetgeving; wij helpen je op weg. dejuristen Amsterdam Joris Voorhuis, IP/IT jurist Simone Op Heij, IP/IT jurist

REGLEMENT TAKEN EN BEVOEGDHEDEN FUNCTIONARIS GEGEVENSBESCHERMING

Privacy Statement Sa4-zorg

Degene op wie een Persoonsgegeven betrekking heeft. Dit kan de bewoner of diens naaste of gemachtigde zijn.

Standaard verwerkersovereenkomst

PRIVACYREGLEMENT AVAQ GROEP. Allround Security Company B.V., Allround Security Company B.V.B.A. en Vidocq B.V. maken onderdeel uit van AVAQ B.V.

Hengelsport Federatie Midden Nederland Frank Bosman

STE Languages. Privacyreglement versie 1.2

gewoondoenreintegratie

Privacyreglement Okkerse & Schop Advocaten rechtsbijstand en procesvertegenwoordiging

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

Privacyreglement Stichting Queridon taal & horeca September 2017

Privacyreglement. NLeducatie

a. persoonsgegeven: elke gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Artikel 1. Algemene begripsbepalingen 1.2 Persoonsgegevens 1.3 Verwerking van persoonsgegevens 1.4 Verantwoordelijke 1.5 Bewerker

Privacy reglement Pagina 1 van 6

Privacy reglement Geluk in werken

Privacy statement Immediator

Verwerking van persoonsgegevens:

Privacyreglement. Begripsbepaling Artikel 1

Privacyreglement CURA XL

PRIVACY REGLEMENT

Privacyreglement Werkvloertaal 26 juli 2015

Privacyreglement Zorgboerderij De Geijsterse Hoeve. Inwerkingtreding: 1 september In dit reglement wordt verstaan onder:

Verwerkersovereenkomst Active Collecting Control & Services B.V.

Verder in dit document te noemen Optimaal Werk en gelieerde bedrijven of Opdrachtnemer.

Privacy beleid Bavaria Zeilclub

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit

Privacy statement. BEGRIPSBEPALINGEN In dit reglement wordt verstaan onder:

GDPR, wat betekent deze nieuwe privacywet voor jou?'

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

Privacyreglement van De Zaak van Ermelo

Reglement bescherming persoonsgegevens Nieuwegein

Privacy statement Nederlandse Triage Standaard

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING

Privacyreglement Esma dienstverlening (februari 2018)

Privacy reglement. Pagina 1 van 9

Privacyreglement 2018

PRIVACYREGLEMENT UNIT ACADEMIE HOOFDSTUK 1 ALGEMENE BEPALINGEN. Artikel 1 Begripsbepalingen

KLACHTEN- EN PRIVACYREGLEMENT NEW TARGET VISION BV (met betrekking tot verwerking persoonsgegevens)

Privacyreglement. DutchNL

PRIVACY REGELEMENT

Privacy Protocol van vereniging

Privacyreglement WSVH

Art. 1 Begripsbepalingen In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens verstaan onder:

2.1. Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Accent Taaltraining NT2.

Privacyreglement Picos B.V.

Algemene verordening gegevensbescherming (AVG)

: Privacyreglement Datum : 14 mei 2018 Versienummer : V1.0

PRIVACYREGLEMENT. maakt werk van de apotheek. Stichting Bedrijfsfonds Apotheken. Paragraaf 1. Algemene bepalingen

verantwoordelijke: de Algemeen directeur/bestuurder van het CVD

2. In deze overeenkomst (de Verwerkersovereenkomst) wordt onder de volgende begrippen verstaan:

Privacyreglement OCA(Zorg)

Privacystatement Knac Nationale Autosport Federatie (KNAF)

Verwerkersovereenkomst Tussen DataSpeed en <bedrijf>

Privacyreglement Work4People Privacyreglement

1.2. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Privacyreglement Stichting Werkcarrousel

Artikel 2 Reikwijdte 2.1 Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Flevotaal.

FACTSHEET BIJZONDERE PERSOONSGEGEVENS

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Documentinformatie: Wijzigingslog:

PROTOCOL. Vereniging van Gepensioneerden van de eenheid Den Haag

Historische Vliegtuigen Volkel. Privacy reglement. ~ bezoekers. Opgemaakt door: Theo Rombout Versiedatum: 20/11/18

Vraag 1: Is er sprake van verwerking van persoonsgegevens?

Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling Privacy reglement SlagKracht re-integratie en loopbaanontwikkeling

Privacy statement Autocross Masters

In dit reglement wordt in aansluiting bij en in aanvulling op de Wet bescherming persoonsgegevens (Staatsblad 2000, 302) verstaan onder:

P R I V A C Y R E G L E M E N T

Privacyreglement AMK re-integratie

Informatie over privacywetgeving en het omgaan met persoonsgegevens

Phytalis-Verwerkersovereenkomst

29 PRIVACYREGLEMENT PERSONEELS- EN SALARISADMINISTRATIE

1. Begripsbepaling AVG Algemene verordening gegevensbescherming, of te wel de privacywetgeving. Persoonsgegevens Alle gegevens betreffende een

BLAD GEMEENSCHAPPELIJKE REGELING

Privacyreglement Auto huren op Curacao

In dit reglement laat de gemeente Bronckhorst zien op welke manier zij dagelijks omgaat met

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

Privacyverklaring. 1. Begripsbepalingen. Privacyreglement Dapper Kindercoaching

Privacyreglement. Drive The Care Company b.v. Sint Martinusstraat CK Venlo Telefoon

Versie Privacyreglement. van Gilde Educatie activiteiten BV

Privacyreglement Potenco

Privacyverklaring Therapeuten VVET

Verwerkingsovereenkomst Bijlage bij Algemene Voorwaarden Thumbs Up VOF

Factsheet Bewerkersovereenkomst

Privacy in de afvalbranche Juridisch kader

Transcriptie:

Handreiking verantwoordelijke persoonsgegevens Smart Mobility diensten Wouter van Haaften, Hans van Douwe LANDELIJKE RONDE TAFEL VOOR SMART MOBILITY JURIDISCHE ASPECTEN RONDETAFELS.DITCM.EU

Handreiking verantwoordelijke persoonsgegevens Smart Mobility diensten Inleiding Deze handreiking heeft tot doel te helpen bij het eenduidig en consistent inrichten van de wettelijk voorgeschreven verantwoordelijkheid voor het verwerken van persoonsgegevens in Smart Mobility projecten. In die projecten worden regelmatig aan (auto)mobilisten (advies-en informatie)diensten verleend, die mede op basis van hun persoonsgegevens zijn ontwikkeld. In het bijzonder wordt bij deze handreiking gekeken naar verwerking van persoonsgegevens door samenwerkingsverbanden zoals consortia. Service providers, dataproviders en app-bouwers bieden daar in samenwerking smart mobility diensten aan. De Wet Bescherming Persoonsgegevens (Wbp) eist voor verwerking van persoonsgegevens voorafgaande, geïnformeerde toestemming van de betrokkene (degene wiens gegevens het betreft, de (auto)mobilist). Onderdeel van de informatie die moet worden verstrekt is het doel van de verwerking en de wijze waarop met de gegevens wordt omgegaan, zoals de aard van de verwerking, bewaartermijnen, anonimisering en recht op inzage door de afnemer van de dienst. De geautomatiseerde verwerking wordt vooraf gemeld aan de Autoriteit Persoonsgegevens. Van verwerking van persoonsgegevens is al snel sprake; eigenlijke alles wat men met gegevens kan doen valt onder het begrip verwerken (zie bijlage). Bij een data lek moet dat ook direct bij deze autoriteit gemeld worden. In de nieuwe Algemene Verordening Gegevensbescherming (AVG) die vanaf mei 2018 van toepassing is, zijn boetes tot 4% van de jaaromzet van de verantwoordelijke voorzien bij niet naleving van de Verordening. Alle reden dus om de organisatie van de privacybescherming in consortiumverband goed op orde te hebben. De verantwoordelijke, waarover hieronder meer, speelt hierbij een centrale rol. Persoonsgegevens In de nieuwe verordening is de definitie van persoonsgegevens geactualiseerd. De Wbp geeft aan dat een persoonsgegeven elk gegeven is over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel dat de informatie naar deze persoon te herleiden is. De Verordening geeft ook aan welke soort gegevens tot identificeerbaarheid leiden. Ten opzichte van de huidige WBP zijn daarbij locatiegegevens en online identificatoren toegevoegd. Persoonsgegevens gaan over natuurlijke 1

personen. Gegevens van overleden personen of van organisaties zijn daarom geen persoonsgegevens. Verantwoordelijke De verantwoordelijke is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt. De verantwoordelijke kan dit alleen of samen met anderen doen. Het houdt in dat de verantwoordelijke uiteindelijk beslist of een organisatie persoonsgegevens verwerkt, en zo ja; om welk soort verwerking het gaat, welke persoonsgegevens worden verwerkt, met welk doel en op welke manier de verwerking plaatsvindt. Naast deze wettelijke definitie van verantwoordelijke is aan de hand van de jurisprudentie ook een meer functionele benadering van het begrip verantwoordelijke ontstaan. Daarbij men kijkt naar aanwijzingen als; welke organisatie verwerkt feitelijk welke gegevens of bewaakt de bewaartermijnen en vernietigt de gegevens, heeft toegang tot de gegevens, verstrekt informatie aan de betrokkene en verstrekt eventueel persoonsgegevens aan derden binnen en/of buiten de EU. Bewerker Een bewerker is een persoon of organisatie aan wie de verantwoordelijke de gegevens verwerking heeft uitbesteed. Een bewerker is niet zelfstandig verantwoordelijk voor de verwerking van de persoonsgegevens. De bewerker heeft wel een aantal afgeleide verplichtingen, voor onder meer beveiliging en geheimhouding van de gegevens. Consortiumpartners: verantwoordelijke(n) en bewerkers In veel gevallen zal binnen een consortium één van de partners de verantwoordelijke zijn in de zin van de Wbp. Andere partners die persoonsgegevens verwerken kunnen in dat geval als bewerkers worden aangemerkt, voor zover zij werken in opdracht van de verantwoordelijke. 2

Eén verantwoordelijke Het is aan de verantwoordelijke om dan contractuele afspraken te maken met de partners/ bewerkers over de omgang met persoonsgegevens. Deze bewerkersovereenkomst moet een aantal punten specifiek regelen, bijvoorbeeld; soort te verwerken gegevens, doel verwerking, bewaartermijnen, te nemen veiligheidsmaatregelen en de geheimhoudingsplicht van bewerker en zijn personeel. Voor zowel de consortiumpartners als voor de betrokkene biedt deze situatie de meeste duidelijkheid. Er is een duidelijk aanspreekpunt: de verantwoordelijke. Het is aan dienstverlener om aan de betrokkene, diens afnemer/klant, helder te communiceren wie (welke consortiumpartner) de verantwoordelijke is. A levert een snelheidsadviesdienst op snelwegen met behulp van een on board unit. Deze zendt gegevens uit het voertuig, zoals locatie, richting en snelheid naar de back-office van BB slaat de gegevens tijdelijk op totdat A er, samen met andere data, een snelheidsadvies van maakt dat deelnemende bestuurders krijgen zodat ze hun snelheid kunnen aanpassen en daarmee files kunnen helpen voorkomen. De hiervoor vanuit het voertuig gezonden gegevens bestaan uit een emailadres en een door de deelnemer zelfgekozen naam. Hoewel geen directe identificatie via naam of adres mogelijk is zal, in combinatie met ook uitgezonden locatie-informatie (tijdstippen gereden trajecten), sprake kunnen zijn van tot de persoon herleidbare en dus persoonsgegevens; daarmee is de Wbp van toepassing. Als de deelnemers het advies opvolgen krijgen zij punten die worden verzameld op een smartphone app gebouwd door C. De verzamelde punten kunnen zij inwisselen voor korting bij aangesloten bedrijven door het tonen van de code van de app op de smartphone. Met dienstverlener B, die de gegevens tijdelijk opslaat heeft A als verantwoordelijke een bewerkersovereenkomst gesloten. App- bouwer C is niet betrokken is bij het maken en verzenden van het advies en heeft dan ook geen toegang heeft tot persoonsgegevens. A is als enige verantwoordelijk In de zin van de Wbp. Opdrachtgever als verantwoordelijke Omdat overheden vaak initiatiefnemer, opdrachtgever en/of facilitator van Smart Mobility projecten zijn, kan het voor komen dat de opdrachtgever zelf als verantwoordelijke moet worden aangemerkt. Dit doet zich bijvoorbeeld 3

voor als in de opdrachtformulering expliciet doel en middelen van het gebruik van persoonsgegevens worden voorgeschreven. In dat geval is er dus geen verantwoordelijke binnen het consortium, maar zijn er uitsluitend bewerkers. Deel verantwoordelijke Het is denkbaar dat er afzonderlijke verantwoordelijkheden voor deelverwerkingen bestaan. De betrokkene kan dan slechts de deelverantwoordelijke aanspreken in wiens deel van het proces de verwerking heeft plaatsgevonden. Omdat de betrokkene niets te maken heeft met de eventuele interne onduidelijkheid over de verdeling van de verantwoordelijkheid, stelt deling van verantwoordelijkheid heel hoge eisen aan de transparantie van de verwerkingen. Een smart mobility service provider A stuur voor zijn dienst 'Happy Meal & Bed' bij reserveringen, die onderweg worden aangevraagd via een in-car app, de persoonsgegevens van zijn klanten naar restaurant B en hotelketen C. B en C bevestigen de beschikbaarheid van de aangevraagde tafel en kamer. A stelt de reserveringsvoucher op voor zijn klanten op waarmee ze via hun smartphone zowel bij A als bij B korting krijgen op respectievelijk de maaltijd en de overnachting. In dit geval zijn A, B en C drie verschillende voor de verwerking verantwoordelijken, die alle drie voor hun eigen (deel)verwerking van persoonsgegevens moeten voldoen aan de verplichtingen met betrekking tot gegevensbescherming. Gezamenlijke verantwoordelijkheid Het kan ook zo zijn dat de bepaling van doel en middelen van het gebruik van persoonsgegevens zodanig geïntegreerd zijn dat er sprake is van een gezamenlijke verantwoordelijkheid. Daarbij is ieder van de partners hoofdelijk aansprakelijk jegens de betrokkene voor de goede verwerking van de gegevens. De betrokkene kan in dat geval dus ieder van de consortiumpartners aanspreken voor de verwerking van persoonsgegevens in het gehele proces. 4

A ondersteunt B bij het verlenen van de dienst 'Slim op weg' door de frontoffice over te nemen. In het contract wordt duidelijk bepaald dat A namens B optreedt en bij het verwerken van persoonsgegevens als gegevensverwerker handelt. "B is als enige voor de verwerking van gegevens verantwoordelijk. A verkeert echter in een onduidelijke positie: enerzijds vervult A naar klant toe de rol van verantwoordelijke, terwijl de contractsbepaling anderzijds veronderstelt dat A verwerker is, die handelt namens de voor de verwerking verantwoordelijken, waaronder B en andere ondernemingen waarvoor het de frontoffice overneemt. Verder zoekt A met zijn bekende toegevoegde-waarde-dienst Smart Mobiel zowel naar klanten die voor andere Smart Mobility diensten rechtstreeks bij B binnenkomen als naar klanten die A het reeds in zijn uitgebreide database heeft opgeslagen. Zo kan A, die volgens het contract alleen wordt betaald voor daadwerkelijk tot stand gekomen overeenkomsten met afnemers van de dienst, vraag en aanbod van mobility diensten beter op elkaar afstemmen en dus meer inkomsten genereren. Op grond van het bovenstaande kan worden gezegd dat A in tegenstelling tot hetgeen in het contract is bepaald, moet worden beschouwd als verantwoordelijke, samen met B voor in ieder geval de bewerkingen die verband houden met de dienstverlening voor B. Vooraf regelen Het is zaak dat bij de start van een Smart Mobility dienst betrokkenen een helder zicht krijgen op, waarom en door wie er wat met hun persoonsgegevens gaat gebeuren. Het is de taak van de verantwoordelijke hiervoor te zorgen. Dit betekent dat zowel de organisatie als de gebruikte ICT ruim vóór de start van het dienst ingeregeld moeten zijn. Ook de relaties tussen de partners in het consortium moeten dan goed zijn ingeregeld. Sancties Is dit niet het geval dan kan de Autoriteit Persoonsgegevens optreden met sancties. De eventueel op te leggen sancties zijn op dit moment nog zeer beperkt. De zwaarste 'sanctie' is de negatieve publiciteit en imagoschade die een partner (verantwoordelijke of bewerker) en het consortium kunnen oplopen. Bij de komst van de nieuwe AVG in mei 2018 kunnen echter boetes worden opgelegd tot maximaal 4% wereldwijde jaaromzet van het overtreder. 5

Privacy officer In de nieuwe AVG is ook de verplichting opgenomen tot het aanstellen van een Privacy Officer (functionaris gegevensbescherming). Dit is een onafhankelijke functionaris die direct onder het bestuur van de onderneming, of groep van ondernemingen valt en die toezicht houdt op de naleving van de bepalingen uit de Verordening. De Privacy Officer hoeft niet per bedrijf te worden aangesteld, maar kan ook op branche-niveau of in een samenwerkingsverband worden aangesteld. De Privacy Officer is als het ware een vooruitgeschoven post van de Autoriteit Persoonsgegevens 1. Bijlage Onder het verwerken van persoonsgegevens wordt onder meer verstaan; Verzamelen Vastleggen Ordenen Bewaken Bijwerken Wijzigen Opvragen Raadplegen Gebruiken Doorzenden Verspreiden Beschikbaar stellen Samenbrengen Vernietigen Afschermen Uitwissen Met elkaar in verband brengen 1 https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/functionaris-voor-degegevensbescherming 6

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback