College bescherming persoonsgegevens. Rapport definitieve bevindingen

Vergelijkbare documenten
Ministerie van Verkeer en Waterstaat. Advies over concept-wetsvoorstel tot wijziging van de Wegenverkeerswet 1994

Definitieve bevindingen Centrale Huisartsenpost Gorinchem

Definitieve bevindingen SPITZ Midden-Holland

Stichting RDC. Informatieverplichting

Zorgverzekeraars Nederland Definitieve bevindingen Ambtshalve onderzoek aangaande toepassing Controle op Verzekering van VECOZO B.V.

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

De Minister van Sociale Zaken en Werkgelegenheid Postbus LV Den Haag

Definitieve bevindingen Rijnland ziekenhuis

Definitieve bevindingen MC/Lelystad

Vangnetregeling huursubsidie

De Staatssecretaris van Volksgezondheid, Welzijn en Sport. Postbus EJ DEN HAAG. Advisering Besluit langdurige zorg.

z Rapport van definitieve bevindingen April 2011 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10

De minister van Sociale Zaken en Werkgelegenheid Wijziging in SZW wetgeving

Officiële uitgave van het Koninkrijk der Nederlanden sinds Verstrekkingsvoorwaarden inzake het Kentekenregister van de Dienst Wegverkeer 2015

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus EC Den Haag Ministeriële regeling afsluitingen

Arbodienst. Klacht; verzoeker/arbodienst

Op grond van de verstrekte informatie concludeert het CBP dat de FAD voornemens is het Protocol op een aantal punten te wijzigen.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Adecco Group Nederland; z

BEWERKERSOVEREENKOMST

Universiteit Leiden Centrum voor Recht in de Informatiemaatschappij Postbus RA LEIDEN. privacyaspecten digitalisering cultureel erfgoed

AANGETEKEND Rijnland Ziekenhuis last onder dwangsom. Geachte A,

Privacyreglement versie 1.2, d.d

Onderzoek bij het KLPD naar door Nederland ingevoerde gegevens in het Europol Informatiesysteem. z

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek.

De minister van Veiligheid en Justitie. Postbus EH DEN HAAG. Wetgevingsadvies invoering flexibel cameratoezicht.

Privacyreglement Bureau Beckers

Privacy reglement. Inleiding

Het College bescherming persoonsgegevens (CBP) heeft een onderzoek gedaan naar aanleiding van de klacht bij brief van 10 maart 2006 A.

de bank ambtshalve onderzoek de bank Definitieve Bevindingen

Privacy Protocol van voetbalvereniging F.C.R.I.A.

Privacyreglement. AM Advies & Begeleiding. Mei 2018

Bevindingen De bevindingen van het CBP luiden als volgt:

Privacy Protocol van vereniging

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking van screeningsgegevens van Curriculum Vitae Zeker B.V.; z

Ruwaard van Putten Ziekenhuis. Rapportage van definitieve bevindingen

Winkelier. Winkelier creditcard; definitieve bevindingen

Bewerkersovereenkomst

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

Minister van Financiën. Postbus EE Den Haag

Rapportage van definitieve bevindingen

RIS123603_15-feb-2005 Gemeente Den Haag

Impuls Kindercampus PRIVACYREGLEMENT

Gastouderbureau Alles Kids Zoetermeer Privacyreglement

De Minister van Sociale Zaken en Werkgelegenheid Wetgevingsadvies AMvB wijziging Besluit SUWI

Beoordeling Bevindingen

Even vooraf Dit is ons doel Dan maken wij gebruik van uw gegevens Dit is het doel van dit reglement

Staatsblad van het Koninkrijk der Nederlanden

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

De voorgestelde wijziging in artikel I B geven het CBP aanleiding tot het maken van de volgende op- en aanmerkingen.

Ons kenmerk z Contactpersoon

Officiële uitgave van het Koninkrijk der Nederlanden sinds 1814.

REGLEMENT PERSOONSGEGEVENS NHV INHOUDSOPGAVE:

Op drie punten uit uw brief van 23 februari 2006 zal het CBP hieronder nog nader ingaan.

Nederlands Instituut van Psychologen inzagerecht testgegevens

Hoofdstuk 1 Algemene bepalingen

Regionaal politiekorps Flevoland. Rapportage van definitieve bevindingen

Privacyverklaring. 1. Begripsbepalingen. Privacyreglement Dapper Kindercoaching

PRIVACYREGLEMENT. maakt werk van de apotheek. Stichting Bedrijfsfonds Apotheken. Paragraaf 1. Algemene bepalingen

Persoonsgegevens Alle gegevens die informatie kunnen verschaffen over een identificeerbare natuurlijke persoon.

Ministerie van Infrastructuur en Milieu. Advies concept wetsvoorstel Basisregistratie Ondergrond. Geachte,

Ook zet het CBP vraagtekens bij de noodzaak voor het van toepassing verklaren van het gehele hoofdstuk VIII van de AWBZ.

Privacyreglement Stichting Zorglandgoed 't Huisven

In dit reglement zullen we vastleggen hoe bij SPEL de privacy van persoonsgegevens is vastgesteld.

De Minister van Economische Zaken. Advies over de novelle behorende bij het wetvoorstel 31374

Privacyreglement. 1. Begripsbepalingen

BEWERKERSOVEREENKOMST OV-CHIPKAART GEGEVENS in de zin van de Wet bescherming persoonsgegevens

Privacyreglement. Datum Januari 2017 Versie 2.0 Pagina s 6 (inclusief voorpagina)

PRIVACYVOORWAARDEN. 1. Algemeen In deze privacyvoorwaarden wordt verstaan onder:

Concept Bewerkersovereenkomst uitvoering

Wet bescherming persoonsgegevens (Wbp) Bewerkersovereenkomst de gemeente Scherpenzeel met Jeugdbescherming Gelderland

Datum: 20 april Auteur: Jan Vermeulen/Karin Melger. Status: Definitief t.b.v. bestuur. Directie / Bestuur / GMR / Raad van Toezicht.

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

Secretariaat De Eendracht (BETA) Voorafgaand onderzoek Verklaring omtrent rechtmatigheid Definitief besluit. Geachte A,

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

SCA Hygiene Products Zeist B.V. AANGETEKEND. Eindbrief onderzoek CBP. Geachte directie,

Datum Ons kenmerk. Uw brief van. Contactpersoon. Onderwerp. 1. Het handhavingsverzoek AUTORITEIT PERSOONSGEGEVENS. AutDritit Pe39egeva1s

Bestuurlijk Overleg Almere. onderzoek Digidoor; eindoordeel

Reglement bescherming persoonsgegevens Nieuwegein

PRIVACYREGLEMENT SERKO GEVELTECHNIEK

Rapportage van definitieve bevindingen

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

Bewerkersovereenkomst

Klacht Op grond van de door verzoeker verstrekte gegevens is de klacht als volgt geformuleerd:

8.50 Privacyreglement

's-gravenhage, 31 januari 1997 Ons kenmerk 96.A Onderwerp gecontroleerde afgifte kentekenplaten en persoonsregistratie

Gedragscode voor Onderzoek & Statistiek. Gedragscode op basis van artikel 25 Wet bescherming persoonsgegevens

Privacyreglement van De Zaak van Ermelo

de minister voor Jeugd en Gezin Ontwerpbesluit verwijsindex risicojongeren

Burgemeester en wethouders van de gemeente Teylingen; gelet op het bepaalde in de Wet bescherming persoonsgegevens; besluiten:

Verwerkersovereenkomst INTRAMED ONLINE

De Minister van Veiligheid en Justitie. Postbus EH Den Haag. Advies wetsvoorstel toevoegen gegevens aan procesdossier minderjarige

Informatiebeveiligingsplan

Bewerkersovereenkomst uitvoering Vroeg Eropaf

Afdeling Werk en Inkomen Gemeente Roosendaal

Algemene Verordening Gegevensbescherming (AVG)

Privacyreglement KOM Kinderopvang

Transcriptie:

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 INTERNET www.cbpweb.nl www.mijnprivacy.nl College bescherming persoonsgegevens Onderzoek naar de controle door de Dienst Wegverkeer op de online verstrekking van persoonsgegevens uit het kentekenregister aan beroepsbeoefenaren z2010-00211 Rapport definitieve bevindingen Juni 2012 DATUM 29 juni 2012

INHOUDSOPGAVE Samenvatting 1. Inleiding 2. Bevindingen 3. Conclusie 1

Samenvatting De Dienst Wegverkeer (RDW) is voor het kentekenregister de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (Wbp). De RDW verstrekt op grond van de Wegenverkeerswet 1994 (WVW 94) persoonsgegevens uit het kentekenregister aan externe partijen. Aan de verstrekking van deze gegevens zijn in de WVW 94 en de daaruit voortvloeiende regelgeving beperkingen gesteld. Vastgelegd is dat deze gegevens slechts aan bepaalde partijen en voor een limitatief aantal doeleinden worden verstrekt. Het College bescherming persoonsgegevens (CBP) heeft onderzocht of de RDW op het online bevragen van het kentekenregister door categorieën van beroepsbeoefenaren, te weten verzekeraars en gerechtsdeurwaarders, controles uitvoert op de rechtmatigheid van de verstrekkingen. Op grond van de Wbp en de nadere invulling die aan de controleverplichtingen wordt gegeven in de WVW 94 en de daaruit volgende regelgeving dient de RDW bij deze afnemers herhaalde controles uit te voeren op de identiteit van de aanvrager (de vraag of de aanvrager beroepsbeoefenaar is) en het doel van de aanvraag in verband met de vereiste doelbinding. Controlemaatregelen zijn van belang omdat de burger erop moet kunnen vertrouwen dat de overheid (i.c. RDW) zorgvuldig en in overeenstemming met de wet zijn persoonsgegevens (verder) verwerkt. Het CBP komt tot de conclusie dat de RDW niet bij iedere eerste aanvraag tot toegang tot het kentekenregister controleert of de aanvrager een beroepsbeoefenaar is. Daarmee heeft de RDW ten aanzien van de eerste aanvraag onvoldoende invulling gegeven aan het bepaalde in artikel 13 Wbp. Van de door het CBP ontvangen en gecontroleerde eerste aanvragen en verificatiedocumenten blijkt dat deze controle op een later moment alsnog heeft plaatsgevonden. Daarmee is de onrechtmatige situatie ten aanzien van deze aanvragen beëindigd. Voorts stelt de RDW dat het door middel van digitale online controle bij iedere verstrekking de identiteit controleert. Daarnaast is gebleken dat de RDW de identiteit van een deel van de aanvragers periodiek controleert tijdens de herhaalde basistoets. Daarmee heeft de RDW ten aanzien van de identiteitscontrole bij vervolgverstrekkingen voldoende invulling gegeven aan het bepaalde in artikel 13 Wbp. Ten aanzien van de controle op doelbinding bij raadplegingen van het kentekenregister heeft het CBP niet kunnen vaststellen dat de RDW gedurende 2010 controles heeft uitgevoerd waarbij het doel van de aanvraag is vastgesteld. Het CBP concludeert dat de RDW voor betreft de controle op het doel in 2010 onvoldoende invulling heeft gegeven aan het bepaalde in artikel 13 Wbp. Nu de RDW evenwel in 2011 tijdens steekproeven alsnog heeft gecontroleerd op het doel van de aanvraag, heeft de RDW op dit punt voldoende invulling gegeven aan het bepaalde in artikel 13 Wbp. 2

1. Inleiding De Dienst Wegverkeer (RDW) is voor het kentekenregister de verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (Wbp). In het kentekenregister verwerkt de RDW gegevens. In de Wegenverkeerswet 1994 (hierna: WVW 94) is vastgelegd dat de gegevens die zijn opgenomen in het kentekenregister zijn onderverdeeld in gevoelige en niet-gevoelige gegevens. 1 Bij niet-gevoelige gegevens gaat het hoofdzakelijk om technische voertuiggegevens. Deze gegevens mogen vrij worden verstrekt. Ten aanzien van gevoelige gegevens, waaronder persoonsgegevens als bedoeld in artikel 1, onder a, van de Wbp (hierna te noemen: persoonsgegevens) geldt echter een restrictief verstrekkingenbeleid. 2 In de regelgeving voortvloeiend uit de WVW '94 is nader uitgewerkt aan welke partijen de RDW persoonsgegevens verstrekt evenals de gevallen waarin, de voorwaarden waaronder en de doeleinden waarvoor die gegevens worden verstrekt. Aanleiding onderzoek In 2008 is de Wegenverkeerswet gewijzigd in verband met het aanmerken van het kentekenregister als basisregistratie alsmede in verband met de herziening van de gegevensverstrekking uit het kentekenregister. 3 Met de wijziging is bepaald dat partijen die gegevens ontvangen uit het kentekenregister onder een bepaalde vorm van controle en toezicht door de RDW vallen. 4 De wetgever heeft in de memorie van toelichting bij het wetsvoorstel tot Wijziging van de WVW 94 (verder: MvT) destijds vastgesteld om op bepaalde partijen een actiever toezicht te laten uitoefenen dan voorheen en om in dat kader passende maatregelen te treffen bij overtreding van de voorschriften. Dit betreft controle en toezicht op de doelbinding, de maatregel betreft het ontzeggen van verstrekkingen in de toekomst. 5 Doel onderzoek Het doel van het onderzoek is vast te stellen of de RDW passende maatregelen heeft getroffen om de persoonsgegevens uit het kentekenregister te beveiligen tegen enige vorm van onrechtmatige verwerking. In dit onderzoek is ten aanzien van een aantal maatregelen nagegaan of deze worden nageleefd, namelijk of de RDW controles uitvoert om te bepalen of de persoonsgegevens aan de juiste ontvangers en voor de juiste doeleinden uit het kentekenregister worden verstrekt. De burger moet erop kunnen vertrouwen dat de overheid zorgvuldig en in overeenstemming met de wet zijn persoonsgegevens (verder) verwerkt. 1 Artikel 42a, eerste lid, onderdeel b, van de Wegenverkeerswet 1994. 2 Hieronder vallen onder meer naam-, adres- en woonplaatgegevens. Het betreft hier niet de bijzondere persoonsgegevens in de zin van artikel 16 Wbp. 3 Stb. 2008, 99. 4 Het CBP heeft in 2006 advies uitgebracht over het conceptvoorstel tot wijziging van de WVW 94 en daarin aangedrongen op het uitvoeren van controles bij ontvangers van persoonsgegevens. Zie: http://www.cbpweb.nl/pages/adv_z2006-00533.aspx. 5 Memorie van toelichting Wijziging van de Wegenverkeerswet 1994 in verband met het aanmerken van het kentekenregister als basisregistratie alsmede in verband met de herziening van de gegevensverstrekking uit het kentekenregister en enkele andere wijzigingen, Tweede Kamer, vergaderjaar 2007 2008, 31 219, nr. 3, p. 18 t/m 20. 3

Afbakening onderzoek Het onderzoek richt zich op de controles die de RDW moet uitvoeren op verstrekkingen aan ontvangers van gegevens als bedoeld in artikel 2 Regeling gegevensverstrekking kentekenregister 2008 (hierna: Regeling), te weten categorieën van beroepsbeoefenaren. Het onderzoek is beperkt tot de categorieën van beroepsbeoefenaren die via een online verbinding gegevens uit het kentekenregister ontvangen. Dit zijn verzekeringsmaatschappijen en de door hen aangewezen gevolmachtigden (hierna: verzekeraars) en gerechtsdeurwaarders. 6 De doeleinden waarvoor de RDW gegevens aan deze beroepsbeoefenaren verstrekt, zijn uitputtend omschreven in de Regeling. Bevoegdheid CBP Het toezicht van het College bescherming persoonsgegevens (CBP) strekt zich uit tot de verwerking van gegevens door de RDW voor zover het betreft verwerking van persoonsgegevens. Voorts strekt het toezicht van het CBP zich uit over de maatregelen die de RDW dient te treffen om de persoonsgegevens uit het kentekenregister te beveiligen tegen enige vorm van onrechtmatige verwerking. Verloop onderzoek Het onderzoek is uitgevoerd van april 2011 tot en met september 2011. Het CBP heeft in twee schriftelijke rondes informatie ingewonnen. Aan de RDW is tevens gevraagd de antwoorden van relevante documentatie te voorzien. Aanvullend is nog per e-mail informatie opgevraagd en is op enkele punten telefonisch navraag gedaan. Het CBP heeft bij brieven van 26 april en 10 juni 2011 en bij e-mails van 6 juli, 20 juli en 24 augustus 2011 aan de RDW vragen gesteld. De RDW heeft bij brieven van 12 mei en 27 juni 2011 en bij e-mails van 12 juli, 29 juli, 31 augustus 2011 gereageerd. Daarnaast is op 8 september 2011 telefonisch informatie ingewonnen. Het verslag daarvan is aan de RDW voorgelegd. Op 28 september 2011 is door de RDW nog informatie per e-mail nagezonden. Op 16 maart 2012 heeft het CBP de RDW het Rapport voorlopige bevindingen naar aanleiding van het onderzoek toegezonden. Bij brief van 5 april 2012 is door de RWD op deze bevindingen gereageerd. Naar aanleiding van de zienswijze heeft het CBP bij brief van 10 mei 2012 aanvullende informatie opgevraagd alsmede een wijziging van de voorlopige bevindingen voorgelegd. De RDW heeft hierop bij brief van 23 mei 2012 gereageerd. Dit heeft geleid tot een wijziging van de bevindingen en bijbehorende conclusie. Daarnaast is het juridisch kader deels aangepast. Gelet op het voorgaande worden de bevindingen van het CBP definitief vastgesteld. 6 De RDW heeft verklaard dat de overige categorieën van beroepsbeoefenaren (advocatuur en fabrikanten en importeurs van motorrijtuigen) slechts incidenteel gegevens uit het kentekenregister ontvangen. Om deze reden heeft het CBP geen nadere vragen gesteld over de controles bij deze categorieën beroepsbeoefenaren. 4

2. Bevindingen Wettelijk kader De RDW dient als verantwoordelijke voor het kentekenregister op grond van artikel 13 Wbp passende technische en organisatorische maatregelen te treffen om persoonsgegevens in het kentekenregister te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Nu in artikel 13 Wbp slechts is voorzien in een algemene norm voor informatiebeveiliging, sluit het CBP voor de beoordeling of sprake is van passende beveiligingsmaatregelen bij de online verstrekking van persoonsgegevens uit het kentekenregister aan beroepsbeoefenaren aan bij de nadere invulling die daaraan wordt gegeven in de MvT bij het wetsvoorstel tot Wijziging van de WVW 94, de uit de WVW 94 volgende regelgeving en het toezichtbeleid van de RDW zoals dit in de Aanwijzing toezichthouders gebruik gegevens kentekenregister is uitgewerkt. 7 Het betreft de aard en vorm van controles die de RDW in dat kader dient uit te voeren ter voorkoming van misbruik van de gegevens. In de MvT staat dat de RDW bij de aanvraag van gegevens de identiteit van de aanvrager toetst. Daarnaast is het belang van controle op de doelbinding in de MvT onderstreept. 8 Ten aanzien van het toezicht op ontvangers van persoonsgegevens is aangegeven dat tijdens de looptijd van de gegevensverstrekking de ontvangers door middel van periodieke steekproeven worden gecontroleerd. Voorts wordt aangegeven dat bij misbruik allereerst een interne controle plaatsvindt op de betrokken gegevens. Vervolgens worden de afnemers schriftelijk om opheldering gevraagd en zo nodig gehoord. Dit kan leiden tot een waarschuwing of het tijdelijk of blijvend achterwege laten van de gegevensverstrekking. 9 De controle op identiteit en doelbinding is uitgewerkt in artikel 9 van het Reglement verwerking gegevens kentekenregister 2009 (hierna: Reglement). 10 Daarin is voorgeschreven dat de eerste aanvraag tot het verstrekken van persoonsgegevens door beroepsbeoefenaren bij de RDW schriftelijk dient plaats te vinden. Op grond van het Reglement dient de RDW in ieder geval de identiteit en het doel van de eerste aanvraag te beoordelen. De RDW kan voor de beoordeling van de eerste aanvraag documenten verlangen waaruit blijkt dat de aanvrager behoort tot de in artikel 9, eerste lid, onderdeel a van het Kentekenreglement genoemde beroepsbeoefenaren. Voorts volgt uit het Reglement dat de RDW bij iedere vervolgverstrekking zich van de identiteit van de aanvrager dient te vergewissen. Desgevraagd dient de aanvrager documenten te overleggen waaruit de identiteit van de aanvrager blijkt (d.w.z. bewijsstukken waaruit blijkt dat de aanvrager behoort tot de 7 Stb. 2008, 122. 8 Tweede Kamer, vergaderjaar 2007 2008, 31 219, nr. 3, p. 18 t/m 20. 9 Tweede Kamer, vergaderjaar 2007 2008, 31 219, nr. 3, p. 20. 10 Stb. 2009, 19147. 5

wettelijk vastgestelde categorieën van beroepsbeoefenaren) en op grond waarvan het doel van de aanvraag kan worden vastgesteld in verband met de vereiste doelbinding. Bovendien blijkt uit verklaringen van de RDW verkregen ten tijde van het onderzoek alsmede uit de door de RDW opgestelde Notitie Toezichtbeleid RDW en het bijbehorende toezichtprogramma dat de RDW een herhaalde toets zal uitvoeren bij beroepsbeoefenaren en dat deze toets betrekking zal hebben op de identiteit en de doeleinden waarvoor de gegevens worden opgevraagd. Uit deze stukken blijkt dat de controle jaarlijks zal plaatsvinden bij alle online aangesloten categoraal aangewezen beroepsbeoefenaren. 11 Verder is in de toelichting bij de Aanwijzing toezichthouders gebruik gegevens kentekenregister opgenomen dat de RDW steekproefsgewijs controles zal houden op het juiste gebruik. Dit komt eveneens terug in de Notitie Toezichtbeleid RDW en het bijbehorende toezichtprogramma. Uit het voorgaande volgt dat de RDW bij verstrekking van persoonsgegevens uit het kentekenregister aan beroepsbeoefenaren actief de rechtmatigheid van die verstrekkingen dient te controleren door middel van een herhaalde toets op (a) de identiteit van de aanvrager (is de aanvrager een beroepsbeoefenaar?) en (b) de doelbinding. Feitelijke bevindingen Beroepsbeoefenaren die een online aansluiting op het kentekenregister kunnen krijgen zijn de verzekeraars en gerechtsdeurwaarders. Ten aanzien van het aantal verstrekkingen heeft de RDW verklaard dat de verzekeraars en hun gevolmachtigden met een online aansluiting op het kentekenregister hebben het afgelopen jaar ca. 4, 4 miljoen maal gevoelige gegevens opgevraagd. En de gerechtsdeurwaarders met een online aansluiting hebben het afgelopen jaar ca. 36 duizend maal gevoelige gegevens opgevraagd. 12 Controle aanvraag toegang De RDW stelt dat voor het verkrijgen van de online aansluiting een document moet worden ondertekend waarin de ontvanger verklaart de ontvangen gegevens uitsluitend te gebruiken voor de wettelijk toegestane doeleinden. Het CBP heeft deze documenten van 36 afnemers opgevraagd en ontvangen. Tevens heeft de RDW van deze aanvragen verificatiedocumenten toegestuurd op basis waarvan de identiteit bij de eerste aanvraag is gecontroleerd. Van deze 36 ingediende aanvragen bleken 5 aanvragen voor de wetswijziging van 1 juli 2008 te hebben plaatsgevonden. Deze aanvragen zijn buiten beschouwing gelaten aangezien het onderzoek zich richt op de periode na de wetswijziging. Het CBP heeft van de 31 aanvragen die dateren van na 1 juli 2008, beoordeeld of deze conform artikel 9, lid 1 van het Reglement door de RDW zijn getoetst. Bij 8 van deze 31 aanvragen is niet gebleken dat de RDW de 11 Notitie Toezichtbeleid RDW en Programma toezichtbeleid d.d. 14-01-2009 overgelegd door de RDW in het kader van het onderzoek. 12 Periode medio 2010 tot medio 2011. 6

identiteit bij de eerste aanvraag heeft gecontroleerd. De verificatiedocumenten waarmee kan worden beoordeeld dat de aanvrager een beroepsbeoefenaar is in de zin van de artikel 9, eerste lid, onderdeel a van het Kentekenreglement, dateren van een later moment dan het moment van aanvraag. Dit is niet in overeenstemming met het bepaalde in artikel 9, eerste lid Reglement. Controle raadplegen kentekenregister De RDW is verzocht aan te geven welke controles zijn uitgevoerd onder de aangesloten verzekeraars en gerechtsdeurwaarders. Daarnaast heeft het CBP bij de RDW van een aantal afnemers de controleresultaten opgevraagd van de periode medio 2010 tot medio 2011. 13 Desgevraagd stelt de RDW ter uitvoering van artikel 9, tweede lid Reglement zich bij iedere online verstrekking digitaal van de identiteit van de afnemers te vergewissen, door middel van een controle op het systeemwachtwoord, een identiteitscode en een door de RDW afgegeven certificaat waarbij een beveiligde verbinding tot stand wordt gebracht. Niet is gebleken dat de RDW op grond van artikel 9, derde lid van het Reglement incidenteel documenten opvraagt bij de beroepsbeoefenaar ten behoeve van de controle op identiteit. Desgevraagd heeft de RDW verklaard periodiek de identiteit te controleren door middel van de herhaalde basistoets. De toets vindt plaats door middel van het digitaal vergelijken en controleren van inschrijvingen/registratie bij de DNB/AFM en de registratie bij de KBvG. Deze toets vindt risico georiënteerd plaats, aldus de RDW. Voorts heeft de RDW er geen blijk van gegeven op grond van artikel 9, derde lid van het Reglement incidenteel documenten op te vragen bij de beroepsbeoefenaar ten behoeve van de controle op doelbinding. Desgevraagd heeft de RDW aangegeven wel door middel van steekproeven bij de beroepsbeoefenaren te controleren op doelbinding. De RDW heeft aangegeven dat in 2010 een deelwaarneming heeft plaatsgevonden bij de gerechtsdeurwaarders. Dit betrof een controle op aanwezige dossiernummers, de logginggegevens en de actuele inschrijving bij de KBvG. Niet is gebleken dat de RDW tijdens deze controle steekproefsgewijs het doel van de aanvraag heeft vastgesteld. Verder is door de RDW aangegeven dat het in 2011 zowel bij gerechtsdeurwaarders als bij verzekeraars heeft gecontroleerd op doelbinding. Ten behoeve van de controle op doelbinding bij gerechtsdeurwaarders is via het Landelijk Informatiecentrum Voertuigcriminaliteit (LIV) bij een selectie van bevragingen van het kentekenregister nader onderzocht of deze rechtmatig waren. Bij de controle bij verzekeraars is een deel van de verzekeraars aangeschreven, waarbij de rechtmatigheid, waaronder doelbinding, is gecontroleerd. Dit heeft geleid tot waarschuwingen en aanpassingen van processen bij verzekeraars, aldus de RDW. Tot slot zijn in 2010 en 2011 naar aanleiding van klachten over vermeend misbruik drie verzekeraars aangeschreven. Uit de overgelegde stukken die 13 Drie verzekeraars en drie gerechtsdeurwaarders. 7

zien op de klachtbehandeling blijkt dat de RDW navraag heeft gedaan bij deze afnemers over de doeleinden waarvoor de gegevens zijn opgevraagd. Beoordeling Controle aanvraag toegang Nu is gebleken dat de RDW niet bij iedere eerste aanvraag tot toegang tot het kentekenregister controleert of de aanvrager een beroepsbeoefenaar is in de zin van de artikel 9, eerste lid, onderdeel a van het Kentekenreglement, handelt de RDW niet in overeenstemming met artikel 9, eerste lid van het Reglement. Daarmee heeft de RDW ten aanzien van de eerste aanvraag onvoldoende invulling gegeven aan het bepaalde in artikel 13 Wbp. Van de door het CBP ontvangen en gecontroleerde aanvragen blijkt dat deze controle op een later moment alsnog heeft plaatsgevonden. Daarmee is de onrechtmatige situatie ten aanzien van deze aanvragen beëindigd. Controle raadplegen kentekenregister De RDW stelt dat het ten behoeve van de identiteitscontrole door middel van digitale online controle bij iedere verstrekking de identiteit controleert. Op basis hiervan concludeert het CBP dat de RDW handelt in overeenstemming met artikel 9, tweede lid van het Reglement. Daarnaast is gebleken dat de RDW de identiteit controleert tijdens de herhaalde basistoets. Daarmee heeft de RDW ten aanzien van de identiteitscontrole bij vervolgverstrekkingen voldoende invulling gegeven aan het bepaalde in artikel 13 Wbp. Ten aanzien van de controle op doelbinding is niet gebleken dat de RDW op grond van artikel 9, derde lid Reglement incidenteel bewijsstukken bij de beroepsbeoefenaar opvraagt. Behoudens onderzoek naar enkele klachten is niet gebleken dat de RDW in 2010 op een andere wijze controles heeft uitgevoerd waarbij het doel van de aanvraag is vastgesteld. Daarmee heeft de RDW voor betreft de controle op het doel in 2010 onvoldoende invulling gegeven aan het bepaalde in artikel 13 Wbp. Nu evenwel is gebleken dat de RDW in 2011 tijdens steekproeven alsnog heeft gecontroleerd op het doel van de aanvraag, is op dit punt voldoende invulling gegeven aan het bepaalde in artikel 13 Wbp. 3. Conclusie De RDW handelt voor zover het betreft de online verstrekking van persoonsgegevens uit het kentekenregister aan verzekeraars en gerechtsdeurwaarders in overeenstemming met artikel 13 Wbp door als verantwoordelijke voor het kentenregister voldoende maatregelen te treffen tegen enige vorm van onrechtmatige verwerking. 8

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback