Logo CROW Smart Mobility
ladder smart mobility

Home > Data > Privacy maatregelen bij smart Mobility toepassingen

Privacy maatregelen bij
Smart Mobility toepassingen

Om de privacyrechten van personen te beschermen moet een Smart Mobility-oplossing voldoen aan de beginselen van de Algemene Verordening Gegevensbescherming (AVG). In deze Checklist Privacy & Security is een praktische uitwerking van de beginselen te vinden om een eerste check te kunnen uitvoeren of aan de AVG kan worden voldaan. De checklist is slechts een eerste hulpmiddel, er kunnen geen rechten worden ontleend aan het gebruik ervan.

Aangezien bij Smart Mobility vaak data worden gebruikt, is bijzondere aandacht nodig voor het veilig en verantwoord werken met data. Onder de AVG zijn persoonsgegevens alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, waaronder zowel direct herleidbare persoonsgegevens (zoals naam of adres) als indirect herleidbare persoonsgegevens (zoals locatie- status online/offline – rijgedrag) die iemand alleen of in combinatie identificeerbaar maken. Dit omvat ook bijzondere categorieën persoonsgegevens, zoals gezondheids-, biometrische of religieuze gegevens, waarvoor extra strikte regels gelden. Bij Smart Mobility-toepassingen kunnen in de praktijk ook vooral indirect herleidbare persoonsgegevens worden verwerkt. Denk hierbij aan het gebruik van de pseudo-ID bij iVRI’s. Een persoonsgegeven dat voor de eigen organisatie niet direct herleidbaar is, kan voor een andere partij, zoals de politie, door data te combineren uiteindelijk wel herleidbaar worden. In dat geval is sprake van een persoonsgegeven dat je als organisatie als data moet behandelen.

Worden er persoonsgegevens gebruikt of verwerkt?

Kan het doel ook bereikt worden zonder persoonsgegevens? Zo niet, leg goed vast waarom.

Is het noodzakelijk om alle persoonsgegevens voor de doeleinden te gebruiken? Verwerk  alleen persoonsgegevens die nodig zijn om het doel te bereiken. Voer geen onnodige handelingen uit met persoonsgegevens, zoals het onnodig combineren van data.

Is er een wettelijke grondslag aanwezig?

Maak een keuze uit de wettelijke grondslagen die zijn opgenomen in artikel 6 AVG.

Zorg ervoor dat de persoonsgegevens rechtmatig, binnen de (wettelijke) bevoegdheden, mogen worden gebruikt.

Worden de persoonsgegevens juist bewaard?

Is er een duidelijke bewaartermijn vastgesteld? Zo niet, leg deze duidelijk vast.

Handhaaf de bewaartermijnen in de praktijk en zorg ervoor dat persoonsgegevens op tijd worden verwijderd (incl. back-ups) of geanonimiseerd.

Zijn de persoonsgegevens juist en actueel?

Zorg ervoor dat onjuiste of verouderde persoonsgegevens worden voorkomen.

Corrigeer onjuistheden in de persoonsgegevens of verouderde data zo snel mogelijk.

Worden persoonsgegevens gedeeld met derde partijen?

Bepaal de rolverdeling: worden de persoonsgegevens verwerkt als verwerkings-verantwoordelijke, verwerker of is er sprake van een gezamenlijke verwerkingsverantwoordelijkheid? Bepaal ook of de ontvanger van data deze rechtmatig mag ontvangen (bijv. politie, verzekeraar of t.b.v. wetenschappelijk onderzoek)?

Maak afspraken met derde partijen. Een verwerkingsverantwoordelijke en verwerker dienen een verwerkersovereenkomst te sluiten. Gezamenlijk verwerkingsverant-woordelijken dienen een onderlinge regeling (art. 26 AVG) te sluiten. Maak afspraken over de gegevensverstrekking of -uitwisseling met andere partijen (ontvangers).

Worden er persoonsgegevens gedeeld met derde partijen buiten de Europese Economische Ruimte (EER)

Voer een assessment uit of persoonsgegevens worden gedeeld buiten de EER. Eis indien vereist een Data Transfer Impact Assessment op bij de leverancier (art. 14 SCC). Uit deze DTIA blijkt of het mogelijk is om deze derde partij in te schakelen en onder welke voorwaarden dit dient te gebeuren.

Tref passende waarborgen zoals beschreven in Hoofdstuk V AVG ten behoeve van een veilige uitwisseling van persoonsgegevens.

Worden betrokkenen geïnformeerd over de verwerking van persoonsgegevens?

Zorg ervoor dat de informatie voldoet aan de eisen van de artikelen 12, 13 en 14 AVG. Het is belangrijk dat de informatie, waaronder de privacyverklaring of in apps, toegankelijk en begrijpelijk is voor iedereen.

Om te voldoen aan de artikelen 12, 13 en 14 AVG dient informatie te worden verschaft aan de gebruikers. Denk aan een privacyverklaring waarin meer informatie te vinden is over de gegevensverwerkingen. Er kan voor een ‘gelaagde’ aanpak worden gekozen en met borden of stickers worden gewerkt.

Worden er passende beveiligingsmaatregelen getroffen?

Stel passende beveiligingsmaatregelen vast en leg dit vast. Zorg dat alleen personen toegang tot persoonsgegevens hebben als dat noodzakelijk is, en zorg voor logging.

Controleer periodiek of de beveiligingsmaatregelen (nog steeds) passend zijn.

Wat als er sprake is van een datalek?

Datalekken moeten altijd worden geregistreerd in een intern datalekregister. De verwerkings-verantwoordelijke dient het datalek ook te melden aan de AP bij een nadelig risico voor de betrokkene. Als er sprake is van een hoog risico dienen de betrokken te worden geïnformeerd.

Zorg voor een Proces melding datalekken, stel een RASCI vast en zorg voor training van medewerkers .

Stel een verwerkingsregister op conform artikel 30 AVG. Leg de gegevensverwerking daarin vast.

Neem aanvullende maatregelen

Privacy

  • Zorg ervoor dat t.a.v. de Smart Mobility toepassing er een AVG-beleid is en/of een procesbeschrijving of werkinstructie is opgesteld dat getoetst is aan de AVG.

  • Zorg voor AVG-awareness t.a.v. de medewerkers die de Smart Mobility toepassing gebruiken.

  • Voer indien vereist voorafgaand aan de ingebruikname een Data Protection Impact Assessment (DPIA) uit.

Informatiebeveiliging

  • Beoordeel aan welke normen (BIO2 of ISO:27001) de Smart Mobility toepassing voldoet en tref beveiligingsmaatregelen zodat de applicatie hieraan voldoet.

  • Zorg ervoor dat t.a.v. de Smart Mobility toepassing de relevante beleidsstukken op het gebied van informatiebeveiliging zijn opgesteld en geïmplementeerd.

  • Controleer periodiek of de Smart Mobility toepassing voldoet aan het normen­kader (BIO2 of ISO:27001).

Toepassen van landelijke en internationale standaarden

  • Maak gebruik van landelijke standaarden die aantoonbaar voldoen aan de AVG en UAVG.
  • Controleer of combinaties van datasoorten binnen de organisatie of keten risico’s kunnen opleveren, ondanks correcte standaardisatie.
  • Leg vast welke data bewaard mogen worden en voor welke termijn.
  • Leg vast wie toegang heeft tot data en onder welke voorwaarden.
  • Controleer of data gedeeld mogen worden, met wie en onder welke condities.
  • Controleer of ketenpartners extra functionaliteiten toevoegen die invloed hebben op dataverwerking.
  • Beoordeel risico’s op het gebied van informatiebeveiliging bij partners in de keten.
  • Maak afspraken over gegevensuitwisseling tussen partijen in de keten.
  • Zorg voor een geldige en actuele verwerkersovereenkomst. 

Regionaal samenwerken

  • Werk samen in regionale datateams.
  • Richt een CAB (Change Advisory Board) in voor wijzigingsbeheer.
  • Schaf regionaal expertise aan met kennis van zowel het vakgebied als AVG-specialismen.
  • Laat bij wijzigingen met een (mogelijk) AVG-risico altijd advies uitbrengen.
  • Voer frequent en periodiek een DPIA uit (desgewenst alleen binnen de eigen organisatie).

Eigen organisatie op orde

  • Raadpleeg de AVG-expert voor toetsing van interne processen.
  • Zorg voor een strikt toegangsbeleid tot data door eigen medewerkers.
  • Stel een bewaarbeleid voor data op dat voldoet aan alle wettelijke eisen.
  • Richt een correct proces in voor het delen en verstrekken van data.
  • Voer regelmatig een BIO-toets uit (bijvoorbeeld jaarlijks).
  • Stel duidelijke werk- en gebruiksinstructies op voor Smart Mobility-data, zowel intern als in de keten.

Gebruik van diensten en derden

  • Zorg voor actuele en geldige verwerkersovereenkomsten bij uitbesteding van diensten.
  • Wees alert op leveranciers (als verwerker) die data gebruiken voor eigen doeleinden (bijvoorbeeld software-ontwikkeling of kwaliteit). Sta dit niet toe of maak passende afspraken.
  • Wees alert op de inzet van AI in Smart Mobility-toepassing(en). Controleer, voer de juiste risico-analyses uit, en maak juiste afspraken, zeker als er persoonsgegevens worden verwerkt. Indien vereist, registreer de AI toepassing in het Algoritmeregister.
  • Toets bij verzoeken van derden (van bijvoorbeeld politie, justitie, Woo-verzoek) of data verstrekt mogen worden en onder welke voorwaarden.

Proactieve risicopreventie

  • Laat periodiek een interne of netwerkbrede DPIA uitvoeren en actualiseren.
  • Controleer of de maatregelen uit de DPIA correct en effectief zijn.
  • Controleer de verwerker (leverancier) op naleving van de AVG, het gebruik van AI en de verwerkersovereenkomst.
  • Houd elkaar actief scherp op risico’s binnen de keten.
  • Richt een netwerk in voor incidentmanagement met Smart Mobility-partners; gebruik hiervoor de richtlijnen van het NCSC voor het opzetten van een ISAC.

Reactieve risicobeheersing

  • Elk meldingsplichtig datalek moet worden gemeld bij de AP.
  • Een cyberincident moet door gemeenten gemeld worden bij de IBD.
  • Laat periodiek – bijvoorbeeld één keer per twee jaar – de Functionaris Gegevensbescherming een onafhankelijke controle uitvoeren op de Smart Mobilitytoepassing(en).

Inschakelen van expertise

  • Vraag bij twijfels direct advies aan de regionale of interne AVG-specialist.
  • Schakel bij onzekerheden een externe specialist in.

Referenties, handige links en documenten

  1. Kernwetgeving & officiële AVG-kaders
  1. Modellen & templates (juridisch/contractueel)

Verwerkersovereenkomsten

DPIA / PIA

  1. Informatiebeveiliging (BIO, cybersecurity, controls)
  1. Smart Mobility, iVRI’s en verkeerstoepassingen met privacy

Algemeen

iVRI / LVMB / verkeersmanagement

  1. Overheidsalgoritmen & transparantie
  1. Overige organisaties & hulpmiddelen