De 'verantwoordelijke' voor dataprotectie bij C-ITS toepassingen. 3e Concept

Vergelijkbare documenten
De 'verantwoordelijke' voor dataprotectie bij C-ITS toepassingen

Eén verantwoordelijke

Handreiking verantwoordelijke persoonsgegevens Smart Mobility diensten

Samenwerkingsverbanden en de AVG

Verwerkingsverantwoordelijke of verwerker?

Factsheet. Verwerkingsverantwoordelijke of verwerker?

Wanneer wij van u als opdrachtgever een opdracht in ontvangst nemen, vragen wij voor de uitvoering van deze dienstverlening om persoonsgegevens.

1. Algemeen. Gegevensbescherming

Privacyreglement Esma dienstverlening (februari 2018)

Bijzondere en/of gevoelige persoonsgegevens die wij verwerken

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

Factsheet Bewerkersovereenkomst

Ministerie van Infrastructuur en Milieu. Advies concept wetsvoorstel Basisregistratie Ondergrond. Geachte,

Privacy Reglement Nuis BV te Zwanenburg, hierna genoemd het bedrijf

2018 Privacy Reglement

Company statement Algemene verordening gegevensbescherming. AVG Informatie voor professionele relaties (v ) 1 / 7

Privacyreglement Spoor 3 BV. Artikel 1. Begripsbepalingen. Voor zover niet uitdrukkelijk anders blijkt, wordt in dit reglement verstaan onder:

Wettelijke kaders voor de omgang met gegevens

Privacy dit moet je weten over de wet

Privacy reglement Geluk in werken

Gegevensverzameling: verzameling van persoonsgegevens over een cursisten of medewerkers met daaraan ten grondslag een bepaald doel.

Phytalis-Verwerkersovereenkomst

Verwerkersovereenkomst

PRIVACYREGLEMENT VAN PANTARHEI ZORG BV & PANTA RHEI BEHEER EN BEWIND BV, LEVEN EN WERKEN IN BEWEGING

Privacyreglement Potenco

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

Gedragscode Privacy RRS

Privacyverklaring Teleson B.V. Versie 1.2, 22 mei 2018

PRIVACYVERKLARING (samengevat)

Privacyreglement CURA XL

Gedragscode Privacy RRS

Privacy reglement. Inleiding

Introductie. Dit zijn de privacy voorwaarden die van toepassing zijn op de verwerking van persoonsgegevens door Netvia B.V. (hierna samen: wij ).

Op basis van welke grondslagen wij persoonsgegevens verwerken

In dit Privacy Statement informeert IBK Incassobureau Kennemerland u over de wijze waarop zij met uw persoonsgegevens omgaat.

gewoondoenreintegratie

Privacy in de afvalbranche

Stichting Inlichtingenbureau Privacy jaarverslag Versie 1.0

Privacyreglement

Privacyreglement van De Zaak van Ermelo

Verantwoordelijke: degene die formeel bevoegd is om het doel en de middelen van de

Persoonsgegevens die wij verwerken

Privacyreglement. NLeducatie

Privacyreglement OCA(Zorg)

Privacyreglement Zorgboerderij De Geijsterse Hoeve. Inwerkingtreding: 1 september In dit reglement wordt verstaan onder:

De Clercq Advocaten Notariaat

PRIVACYREGLEMENT. de publieke uitvoerder van re-integratieactiviteiten in de Leidse regio, onderdeel van de gemeentelijke instelling DZB Leiden.

Gezondheidsmanagement, Bedrijfszorg, Verzuimpreventie & Advies

ARTIKEL 1 - ALGEMENE EN BEGRIPSBEPALINGEN

Privacy Gedragscode Keurmerk RitRegistratieSystemen

BEWERKERSOVEREENKOMST

OP WELKE MANIER VERZAMELEN WIJ PERSOONSGEGEVENS?

Privacy Statement Per 25 mei 2018

INFORMATIE WET- EN REGELGEVING PRIVACYSTATEMENT UITGEBREID

Privacy statement Nederlandse Triage Standaard

Algemene Verordening Gegevensbescherming (AVG)

Privacy reglement Pagina 1 van 6

8.50 Privacyreglement

BSD/DSP/AVG (rechten van betrokkenen) Gebruikersdag 2 oktober 2017 Ede

INFORMATIE WET- EN REGELGEVING - PRIVACYSTATEMENT (UITGEBREID) 1

Privacyreglement Werkvloertaal 26 juli 2015

Het Model Bewerkersovereenkomst is van toepassing op alle Product- en Dienstenovereenkomsten.

Documentnummer Verkorte inhoud document

Artikel 1. Algemene begripsbepalingen 1.2 Persoonsgegevens 1.3 Verwerking van persoonsgegevens 1.4 Verantwoordelijke 1.5 Bewerker

Privacyreglement. Inhoudsopgave. Melius Zorg Privacyreglement

PRIVACY PROTOCOL. Esther Jörg People Development. Esther Jörg People Development

Privacyverklaring. In deze privacyverklaring informeren wij je over het gebruik van jouw persoonsgegevens (hierna ook gegevens ) door HRMNS.

Disclaimer: de auteur van deze presentatie is niet juridisch geschoold. Met deze presentatie probeert de auteur een indruk - en niet meer dan dat -

1.1. Tenzij hieronder uitdrukkelijk anders is bepaald worden termen in dit

Chodsky Pes Club Nederland

PRIVACY STATEMENT LEURS AUTO S VOF

INFORMATIE WET- EN REGELGEVING PRIVACY VERKLARING UITGEBREID

Op welke manier verzamelen wij persoonsgegevens? Webdesign-bb kan op de volgende manieren informatie van jou ontvangen:

1.2. Persoonsgegevens Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Inhoud. Inleiding. Privacy Statement CoinCare B.V.

b. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon.

Bijlage Gegevensverwerking. Artikel 1 - Definities

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

Privacyreglement Stichting Queridon taal & horeca September 2017

Risicoanalyse bijeenkomst 10 september SEPTEMBER 2015

Hoe en waarom verzamelt DERO Payrolling B.V. persoonsgegevens?

Privacy reglement - leerlingen en jongeren. Eduvier onderwijsgroep

Privacyverklaring Bato Eemland Personenvervoer B.V. mei 2018, versie 1.0

Hoe geven wij dit als Kinderopvang Smile vorm:

Privacy reglement kinderopvang Opgesteld volgens de Wet Bescherming Persoonsgegevens (W.B.P.)

Rechten van Betrokkenen

PRIVACY STATEMENT RECOMMENDR

Algemene verordening gegevensbescherming (AVG)

SNEL EFFECTIEF & LEUK

Ingangsdatum: March 07, 2019

Privacyreglement. DutchNL

Artikel 2 Reikwijdte 2.1 Dit reglement is van toepassing op alle verwerkingen van persoonsgegevens binnen Flevotaal.

Privacyreglement 2018

a. persoonsgegeven: elke gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon

BEWERKER. In deze factsheet komen de volgende onderwerpen aan bod:

Deze checklist helpt je zorgvuldig en volgens de wetgeving te werken met de persoonsgegevens van o.a. medewerkers en studenten 1.

Spelers In de AVG definieert de volgende spelers bij de verwerking van persoonsgegevens:

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

Privacy statement ROM3D

Transcriptie:

De 'verantwoordelijke' voor dataprotectie bij C-ITS toepassingen 3e Concept Landelijke Tafel Juridische Aspecten van Smart Mobility DITCM INNOVATIONS WWW.DITCM.EU 4-3-2016

De 'verantwoordelijke' voor dataprotectie bij C-ITS toepassingen Doelstelling van deze handreiking Deelnemende partijen bij C-ITS toepassingen treden regelmatig op in consortia, of andere samenwerkingsverbanden. In het geval dat bij deze C-ITS toepassingen persoonsgegevens worden verwerkt rijst de vraag wie als verantwoordelijke voor de verwerking in de zijn van de Wet Bescherming Persoonsgegevens (WBP) moet worden aangemerkt. De verantwoordelijke in de zin van WBP is degene die het doel en de middelen van de verwerking van de persoonsgegevens bepaald. Uitgangspunt daarbij is dat de burger wiens gegevens worden verwerkt, de betrokkene, niet de dupe mag worden van onduidelijkheid over wie binnen een consortium de verantwoordelijke is. In deze handreiking worden aanbevelingen geformuleerd over hoe te komen tot een goede invulling van de positie van de verantwoordelijke binnen samenwerkingsverbanden bij C-ITS toepassingen. Wettelijk kader Een van de doelen van de Wet Bescherming Persoonsgegevens (WBP) is om de privacy van betrokkenen te beschermen bij de verwerking van hun persoonsgegevens. Bij het aanbieden en gebruiken van toepassingen die persoonsgegevens verwerken, is het daarom van belang te bepalen wie de verantwoordelijke is voor de verwerking daarvan, wie op de verwerking kan worden aangesproken. Als niet helder is op wie deze belangrijke verplichting rust, als er geen verantwoordelijke is, of juist een heel groot aantal mogelijke verantwoordelijken, dan is onvoldoende duidelijk welke organisatie aanspreekbaar is voor de verwerking van persoonsgegevens. Voor de betrokkene is het in zo'n geval niet goed mogelijk om zijn rechten, zoals het recht op inzage, van correctie en/of verwijdering van persoonsgegevens, uit te oefenen. Bovendien rust op de verantwoordelijke een aantal verplichtingen, zoals het informeren van een burger dat over hem persoonsgegevens worden verwerkt. Handreiking In situaties waarin verschillende bedrijven en/of personen bij C-ITS toepassingen betrokken zijn, is het om hiervoor genoemde redenen van belang goed van te voren te bepalen hoe de verantwoordelijkheid in de zin van de WBP is geregeld. Daarbij zijn de volgende interne en externe aandachtspunten van belang: Extern Het is aan de aanbieder van de dienst om naar de gebruiker helder te communiceren hoe de verantwoordelijkheid is geregeld en wie daarop, bijvoorbeeld in het geval van een consortium, aanspreekbaar is. Interne onduidelijkheid over wie als verantwoordelijke optreedt kan niet aan de klant worden tegengeworpen. Intern Bij C-ITS dienstverlening zal de verantwoordelijkheid van de verantwoordelijke mede kunnen blijken uit feiten en omstandigheden zoals contracten, feitelijke zeggenschap en feitelijke zichtbaarheid als verantwoordelijke. Wanneer niet elke partij evenveel zeggenschap heeft, zal ook niet elke partij in een zelfde mate verantwoordelijk zijn.

Voorbeeld Consortium Zoof, project A58 Het Zoof project op de A58 kent twee varianten. De eerste is de connected variant, via de smartphone van de gebruiker en het telefoonnet. De tweede is de coöperatieve variant via een OBU in de auto. In deze handreiking in het kader van C-ITS wordt alleen de coöperatieve variant besproken. De eerste vraag die in dit kader van belang is is of er sprake is van de verwerking van persoonsgegevens. De gegevens die gevraagd worden zijn: email adres en 'nick' name, een door de deelnemer zelf gekozen naam. Op zich is hieruit nog geen persoon te herleiden, maar door het gebruik van de on board unit en door de geo-informatie over de gereden trajecten zal toch snel sprake zijn van tot de persoon herleidbare en dus persoonsgegevens. Daarmee is de Wet bescherming persoonsgegevens van toepassing. Vervolgens is de vraag wie de verantwoordelijke is. Dit is volgens de wet degene die doel en middelen van de gegevensverzameling bepaald. Gelet op de onderlinge verhoudingen binnen Zoof, waarbij V-tron doel en middelen van de verwerking bepaalt, zal V-tron als verantwoordelijke moeten worden aangemerkt. De verzamelde gegevens zijn het emailadres en zelfgekozen naam en de geo-informatie die gedurende het gebruik van de app wordt verzameld. Met die informatie wordt de dienst gemaakt die vervolgens terug wordt gezonden in de vorm van een verkeersadvies. Naast V-tron zijn nog twee partijen betrokken bij de Zoof app:.tim en Fortress. Deze laatste is bouwer van de app, niet betrokken bij de operationele activiteiten en heeft dan ook geen toegang tot persoonsgegevens. Met de andere partner,.tim, heeft V-tron een bewerkersovereenkomst gesloten omdat zij de tijdelijke opslag van gegevens verzorgen tussen de OBU en de back-office van V-tron. De data uit de OBU gaan via de wegkantsoftware van Viallis en Siemens en het glasvezelnetwerk van Rijkswaterstaat naar de back-office van V-tron. Het glasvezelnet van Rijkswaterstaat is in beheer bij KPN. Al deze partijen verwerken gegevens onder verantwoordelijkheid van V-tron. V-tron zal dus met de andere partijen die betrokken zijn bij de verwerking van persoonsgegevens een verwerkingsovereenkomst moeten sluiten:.tim Viallis en Siemens RWS KPN Omdat zij de gegevens uit de OBU's tijdelijk opslaan. Omdat zij via hun servers toegang hebben tot de persoonsgegevens die via het glasvezelnet gaan. Omdat de persoonsgegevens over hun glasvezelnetwerk worden verzonden. omdat zij het glasvezelnetwerk beheren en daarmee toegang hebben tot de daarover getransporteerde persoonsgegevens.

Toelichting op de handreiking Het begrip verantwoordelijke Definitie De verantwoordelijke is degene die, alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt (art. 1, onder d, Wbp). Het gaat dus om degene die bepaalt welke persoonsgegevens op welke wijze en voor welk doel worden verwerkt. De definitie van het begrip verantwoordelijke is opgebouwd uit drie onderdelen: 1. het personele aspect, ( de natuurlijke of rechtspersoon, de overheidsinstantie, de dienst of enig ander lichaam ), 2. de mogelijkheid van gezamenlijke verantwoordelijkheid ( die, respectievelijk dat, alleen of tezamen met anderen ) en, 3. de wezenlijke aspecten waarmee de voor de verwerking verantwoordelijke van andere partijen kan worden onderscheiden ( het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt ). Bij C-ITS toepassingen kan de verantwoordelijke bijvoorbeeld de partij zijn die de applicatie levert, of de dienstverlener van de C-ITS dienst. De verantwoordelijke moet worden onderscheiden van de bewerker (art. 1, onder e, Wbp), die in opdracht van de verantwoordelijke de persoonsgegevens bewerkt. Bij C-ITS toepassingen kan een bewerker bijvoorbeeld een toeleverende dienstverlener zijn die een veredelingsslag maakt op de oorspronkelijke data. Relevante factoren bij het begrip verantwoordelijke De EU toezichthouders 1, hebben een analyse gemaakt van de hiervoor genoemde drie aspecten. Daarbij is vastgesteld dat, gelet op de grote variëteit aan (rechts)verhoudingen, wie de verantwoordelijke is mede zal worden bepaald door de feitelijke omstandigheden en andere feiten. Bij die feiten valt te denken aan contractuele verhoudingen, daadwerkelijke zeggenschap van een partij en zichtbaarheid voor de betrokkenen. Om als verantwoordelijke te kunnen worden aangemerkt zal dus sprake moeten zijn van een van de genoemde factoren. In het recent verschenen CBP rapport over wifi-tracking is een opsomming opgenomen van praktische indicaties als het erom gaat wie als verantwoordelijke moet worden aangemerkt. Het gaat om de volgende indicaties voor verantwoordelijkheid: - het bepalen van de doeleinden voor de gegevensverwerking; - het bepalen van de middelen die aangewend worden voor de verwerking; - het bepalen welke gegevens worden verwerkt; - het bepalen van de bewaartermijnen; - zeggenschap over de toegang tot de gegevens; 1 Artikel 29 Werkgroep, Advies 1/2010 over de begrippen voor de verwerking verantwoordelijke en verwerker

- zeggenschap over de informatie die wordt verstrekt aan de betrokkene; - zeggenschap over het verstrekken van gegevens aan derden en/of naar partijen in landen buiten de EU; - de contractuele afspraken over gegevensverwerking tussen partijen. 2 Contractuele afspraken zijn dus niet doorslaggevend. Uiteraard is uit (contractuele) afspraken tussen partijen af te leiden hoe de verantwoordelijkheden voor gegevensverwerking zijn verdeeld over de partijen. Echter van de juridische verdeling van verantwoordelijkheden die partijen zelf voor ogen hadden mag de betrokkene niet de dupe worden. De Memorie van Toelichting van de WBP geeft aan dat er bij de beantwoording van de vraag wie de verantwoordelijke is, enerzijds dient te worden uitgegaan van de formeel-juridische bevoegdheid om doel en middelen van de gegevensverwerking vast te stellen, anderzijds in aanvulling daarop van de functionele inhoud van het begrip. Overeenkomsten zijn wel een goed aanknopingspunt om te beginnen wanneer de verantwoordelijkheid voor gegevensverwerking moet worden vastgesteld. De Bij onderneming dienstverlening of zoals instantie C-ITS is uiteindelijk zal verantwoordelijkheid voor van de verwerking van gegevens verantwoordelijke en verplichtingen mede blijken die uit voortvloeien feiten en omstandigheden uit de wetgeving zoals voor contracten, gegevensbescherming. feitelijke zeggenschap en feitelijke zichtbaarheid als verantwoordelijke. Deze grondslag voor de verantwoordelijkheid kan dus een breed scala van partijen opleveren die de rol van voor de verwerking verantwoordelijke kunnen vervullen. Daarbij is een onderneming of instantie zelf als verantwoordelijke voor de verwerking te beschouwen, en niet een specifieke persoon binnen de onderneming of de instantie. Gezamenlijke verantwoordelijkheid De Wbp en de richtlijn gaan ervan uit dat de zeggenschap en bevoegdheden ten aanzien van de belangrijkste aspecten van dataverwerking meestal bij dezelfde natuurlijke of rechtspersoon of anderszins liggen. Is dit niet het geval, dan kan er sprake zijn van gezamenlijke verantwoordelijkheid. In toenemende mate echter wordt echter rekening gehouden met situaties waarin verschillende partijen als voor de verwerking verantwoordelijke optreden. Deze gezamenlijke verantwoordelijkheid dient op dezelfde wijze te worden beoordeeld als de individuele verantwoordelijkheid. Daarbij dient een inhoudelijke en functionele benadering te worden gevolgd, en met name te worden bezien of de wezenlijke aspecten van de middelen door meer dan een partij worden vastgesteld. Het kan voorkomen dat, in gevallen dat van gezamenlijke verantwoordelijkheid sprake is, partijen niet altijd een even grote rol en inbreng hebben. In die gevallen kan sprake zijn van verschillende vormen van gezamenlijke verantwoordelijkheid: 2 Verwijzing rapport Cbp over Wifi-tracking

- 'gemeenschappelijke verantwoordelijkheid', - 'afzonderlijke verantwoordelijkheid' - 'gezamenlijke verantwoordelijkheid'. Dit onderscheid, gemaakt in de Memorie van Toelichting bij de WBP, kan helpen bij het bepalen van de verantwoordelijkheidsverdeling in een consortium. Bij een gemeenschappelijke verantwoordelijkheid is er sprake van een verantwoordelijke voor de verwerking van persoonsgegevens in het gehele proces. Deze kan door de betrokkene worden aangesproken. De andere deelnemers kunnen in dat geval als verwerkers worden aangemerkt. Deze vorm met een verantwoordelijke schept voor de betrokkene het meest duidelijkheid. In het tweede geval zijn er afzonderlijke verantwoordelijkheden voor deelverwerkingen. De betrokkene kan dan slechts de deelverantwoordelijke aanspreken in wiens deel van het proces is de verwerking heeft plaatsgevonden. Omdat onduidelijkheid over de verdeling niet kan worden tegengeworpen aan de betrokkene stelt deze vorm binnen een consortium heel hoge eisen aan de transparantie van de verwerkingen. In het derde geval zijn de verwerkingen zodanig geïntegreerd dat er sprake is van een gezamenlijke verantwoordelijkheid. Daarbij is ieder van de verwerkers hoofdelijk aansprakelijk voor de goede verwerking van de gegevens ten aanzien van de betrokkene. Deze kan ieder van de consortiumleden aanspreken voor de gehele verwerking van persoonsgegevens in het proces. Als partijen de verantwoordelijkheidsverdeling niet vooraf hebben vastgesteld, dan zal uit feiten en omstandigheden moeten worden afgeleid in welke mate welke deelnemer verantwoordelijk is voor de verwerking van persoonsgegevens. Wanneer niet elke partij evenveel zeggenschap heeft, is ook niet elke partij in een zelfde mate verantwoordelijk. Dat geldt ook voor de aansprakelijkheid, zeker niet in alle gevallen kan worden aangenomen dat er sprake is van een gezamenlijke en hoofdelijke aansprakelijkheid. Het is zeer wel mogelijk dat in complexe systemen de toegang tot persoonsgegevens en de uitoefening van andere rechten van betrokkenen op verschillende niveaus door verschillende partijen, als afzonderlijke verantwoordelijken, wordt gewaarborgd. Interne onduidelijkheid over wie als verantwoordelijke optreedt kan niet worden tegengeworpen aan de klant. Verantwoordelijke bij geolocatiediensten Dit noopt dienstaanbieders binnen C-ITS om de verantwoordelijkheid voor de klant helder vast te stellen. In 'advies 13/2011' 3 over geolocatiediensten op slimme mobiele apparaten erkent WP29 de complexiteit bij het vaststellen van de verantwoordelijke bij diensten die geo-locatiegegevens verwerken. Hier kunnen verschillende service providers betrokken zijn die een heel verschillende rol kunnen hebben. 1. Om te beginnen de telecomprovider die de verbinding met het slimme apparaat 3 Artikel 29 Werkgroep, 'advies 13/2011 over geolocatiediensten op slimme mobiele apparaten'

verzorgt. Zijn rol als verantwoordelijke wordt geregeld in de specifieke regelgeving voor telecomproviders (e-richtlijn). 2. Vervolgens de serviceprovider die de dienst levert aan de betrokkene. Dit zal in het algemeen ook degene zijn die alleen of tezamen met anderen doel en middelen van de verwerking vaststelt. Als hij dit samen met een andere serviceprovider doet valt die ook onder deze categorie. 3. Dan zijn er de dienstverleners die wel in het kader van de te leveren dienst persoonsgegevens verwerken, maar die niet doel en middelen bepalen. Zij zijn 'verwerker' in de zin van de WBP. Te denken valt aan een partij die het ketensignaal dat persoonsgegevens bevat veredeld. 4. Tenslotte zijn er de dienstverleners die wel een belangrijke rol spelen bij het tot stand komen van de dienst, maar die zelf geen gegevens verwerken. Te denken valt aan een dataleverancier. De verantwoordelijke zit gelet op de wettekst in beginsel onder 2, de service provider die de dienst levert. Hoewel ook andere dienstverleners functioneel een verantwoordelijkheid kunnen hebben is de aanbieder van de dienst de eerst aangewezene om hierover naar de betrokkene duidelijkheid te scheppen. Het is aan de aanbieder van de dienst om naar de gebruiker helderheid te scheppen over hoe de verantwoordelijkheid is geregeld, en wie daarop aanspreekbaar is.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback