Voor goed netwerkmanagement is het belangrijk de actuele situatie in een verkeersnetwerk zo scherp mogelijk in kaart te brengen. Dat lukt steeds beter: we have the technology. Maar bij alle nieuwe en verbeterde mogelijkheden horen ook meer en andere verantwoordelijkheden. Denk aan de beveiliging van technologie, maar zeker ook aan de waarborging van de privacy van weggebruikers. Hoe pak je dat als wegbeheerder aan?
Privacy is misschien niet het eerste waar je aan denkt als het om netwerkmanagent of smart mobility gaat. Maar er komen steeds meer en steeds gedetailleerdere data beschikbaar over de voertuigen en dus over de reizigers op ons netwerk. Verkeersmanagement- en smart mobility-toepassingen putten uit die datapool – en daarmee is privacy wel degelijk een punt van aandacht.
Leidend in dezen is de privacywetgeving, de Algemene Verordening Gegevensbescherming (AVG). Deze wetgeving heeft als doel persoonsgegevens te beschermen, oftewel: data die in theorie te herleiden zijn tot een individu. Let op dat ‘in theorie’. Het maakt de AVG niet uit of je de bedoeling hebt je in het leven van anderen te verdiepen en of dat herleiden tot een persoon wel echt gebeurt. Als het alleen al zou kunnen, is de verordening van kracht. Het verwerken van gegevens is dan vaak nog wel mogelijk, maar er gelden spelregels. De AVG vereist bijvoorbeeld dat (in onze context) de wegbeheerder goed nadenkt over de noodzaak van de gegevensverwerking en dat hij de belangen van de verschillende actoren goed tegen elkaar afweegt.
Welke data zijn privacygevoelig?
Maar wanneer zijn data persoonsgegevens? Een naam of adres zijn voor de hand liggende voorbeelden van privacygevoelige informatie. In de context van verkeersmanagement zal het er minder dik bovenop liggen, maar herleidbaarheid ligt wel degelijk op de loer. De lusdata van een enkel kruispunt bijvoorbeeld zijn nog safe, want die data zijn op zichzelf niet te herleiden tot een specifieke auto en bestuurder. Maar met een camera op hetzelfde kruispunt ligt dat anders: de kentekengegevens zijn in beeld – en of er nu wel of geen gebruik wordt gemaakt van automatische nummerplaatherkenning, dat zijn ‘tot individuen te herleiden data’.
Bij connected toepassingen, waarbij een auto communiceert met bijvoorbeeld een verkeersregelautomaat, is privacy net zo goed een issue. Neem de intelligente verkeersregelinstallatie of iVRI, ontwikkeld binnen het programma Talking Traffic. In het iVRI-ecosysteem worden voortdurend data uitgewisseld tussen de verkeersregeling en de voertuigen. De data die de iVRI zelf uitzendt zijn niet privacygevoelig, maar de gegevens die de voertuigen uitzenden wél. Het gaat om twee typen berichten:
- SRM-berichten. Met deze Signal Request Messages vragen weggebruikers prioriteit aan op het kruispunt. Afhankelijk van de instellingen kunnen vervoersdiensten, nood- en hulpdiensten, de Koninklijke Marechaussee, weginspecteurs en vrachtverkeer prioriteit krijgen.
- CAM-berichten. CAM staat voor Cooperative Awareness Message – en de berichten bevatten dan ook onder meer de locatie, snelheid en rijrichting van de betreffende weggebruiker.
Beide typen bevatten data die tot een natuurlijk persoon te herleiden zijn. Zo stuurt het SRM-bericht informatie mee over het type voertuig, inclusief een uniek ID dat bij het voertuig hoort. Aan de hand van de ID kan de iVRI bepalen of het voertuig recht heeft op prioriteit. Maar deze gegevens kunnen ook – in theorie, maar dat maakt niet uit – gecombineerd worden met roosters van chauffeurs, waarmee je uit zou komen op een individu.
Het CAM-bericht stuurt de locatie en de rijrichting van een voertuig mee. Dit bericht wordt normaliter verstuurd vanaf een app op een telefoon. De telefoon stuurt automatisch een uniek IP-adres mee, waarmee je nog makkelijker dan bij SRM een natuurlijk persoon kan achterhalen.
Een solide basis leggen
Zoals gezegd betekent het feit dat gegevens privacygevoelig zijn, niet dat je er niets mee kan of mag. Zorgvuldig handelen is wel vereist. In algemene zin is het aan te raden om bij alle implementaties van iVRI’s (en andere smart mobility-oplossingen) de besluitvorming goed te documenteren. Zo is altijd aantoonbaar welke belangenafweging er is gemaakt.
Daarnaast is het nuttig om als wegbeheerder tijdig je functionaris gegevensbescherming bij het proces te betrekken. In overleg met de functionaris kan eventueel besloten worden een Privacy Impact Assessment uit te voeren, ook wel Data Protection Impact Assessment genoemd, op de gewenste smart mobility-implementatie. Een PIA is een instrument om van voorgenomen regelgeving of projecten waarbij persoonsgegevens worden verwerkt, de effecten voor betrokkenen in kaart te brengen en te beoordelen. Op basis van het assessment kan je vervolgens maatregelen treffen om deze effecten voor betrokkenen te voorkomen of verkleinen.
Een voltooide PIA bestaat normaliter uit de volgende onderdelen:
- Een beschrijving van de voorgenomen verwerkingen en de verwerkingsdoeleinden.
- Een beoordeling van de rechtsgrond (de zogenaamde grondslag), de noodzaak, evenredigheid en verenigbaarheid van de voorgenomen verwerkingen in relatie tot de verwerkingsdoeleinden.
- Een beoordeling van de gevolgen en risico’s van de voorgenomen verwerkingen voor de rechten en vrijheden van de betrokkenen.
- De voorgenomen maatregelen om deze gevolgen en risico’s aan te pakken.
Merk op dat de PIA niet bedoeld is om te bepalen of een voorgenomen gegevensverwerking in lijn is met de privacyregelgeving. Hiervoor moet je de juiste rechtsgrond of grondslag kiezen.
Grondslagen voor gegevensverwerking
De wetgeving kent zes zogenoemde grondslagen voor het verwerken van persoonsgegevens. Anders gezegd, als een of meer van de volgende zes punten opgaan, dan mag je de betreffende persoonsgegevens verwerken:
- Je hebt toestemming van de persoon om wie het gaat om (bepaalde) persoonsgegevens te verwerken.
- Het is noodzakelijk om gegevens te verwerken om een overeenkomst uit te voeren.
- Het is noodzakelijk om bepaalde gegevens te verwerken omdat dit wettelijk verplicht is.
- Het is noodzakelijk om gegevens te verwerken om je gerechtvaardigde belang te behartigen.
- Het is noodzakelijk om gegevens te verwerken om vitale belangen te beschermen.
- Het is noodzakelijk om gegevens te verwerken om een taak van algemeen belang of openbaar gezag uit te oefenen.
De grondslag ‘toestemming’ (1) is voor overheden zelden of nooit toepasbaar. Er is namelijk sprake van een ongelijke machtsverhouding tussen overheden en een burger. In het geval van smart mobility zal de wegbeheerder eerder een beroep doen op de grondslag ‘algemeen belang’ (6), omdat een wegbeheerder met smart mobility publieke doelen nastreeft als bereikbaarheid, leefbaarheid en verkeersveiligheid. Soms is zelfs ‘wettelijke verplichting’ (3) een grondslag, bijvoorbeeld in de situatie dat de politie bepaalde gegevens vordert voor een strafzaak.
Anders is het voor een marktpartij die smart mobility-diensten levert. Neem een leverancier van een app voor de iVRI-use case Informeren. Die leverancier kan zich hiervoor alleen op de grondslag ‘toestemming’ (1) verlaten. Hij moet er dan ook voor zorgen dat de eindgebruiker deze toestemming vrijelijk geeft en goed geïnformeerd wordt. Het is dus niet toegestaan om de doeleinden van gegevensverwerking te verstoppen in tientallen pagina’s juridisch geformuleerde voorwaarden.
Een belangrijke voorwaarde die voor zowel overheden als marktpartijen geldt, is dat data die je verzamelt voor een bepaald doel, niet voor een ander doel gebruikt mogen worden. Bijvoorbeeld: beelden uit verkeerscamera’s die je voor een verkeersonderzoek plaatst, mag je daarna niet gebruiken om bekeuringen uit te schrijven. Ook geldt dat als een bepaald doel niet meer van toepassing is, de voor dat doel verzamelde data verwijderd moeten worden. Het doel van de gegevensverwerking moet dus vooraf goed beschreven en afgebakend worden.
Welke rollen zijn er?
Dan het verwerken van persoonsgegevens zelf. De AVG onderscheidt twee rollen: een verwerkingsverantwoordelijke en een verwerker. De verwerkingsverantwoordelijke is de partij die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. De verwerker is de partij die daadwerkelijk met de persoonsgegevens aan de slag gaat, in opdracht van de verwerkingsverantwoordelijke partij.
Zowel wegbeheerders als leveranciers van diensten of apps voor weggebruikers – in Talking Traffic zijn dat de cluster 3-partijen – zijn verwerkingsverantwoordelijk. De wegbeheerder kiest ervoor om het verkeer op haar netwerk veiliger en efficiënter te regelen met smart mobility-oplossingen, zoals iVRI’s. Het is daarom logisch dat de wegbeheerder verwerkingsverantwoordelijk is, omdat hij doel (verkeer veilig en efficiënt regelen) en middelen (iVRI) vaststelt.
De applicatieleverancier wil z’n klanten voorzien van uitgebreide verkeersinformatie. Dit doet hij door data te verzamelen van klanten via een applicatie op een telefoon en door bepaalde data vanuit de iVRI en dataserviceproviders – binnen Talking Traffic: de cluster 2-partijen – terug te sturen naar de klanten. Hiermee kan de leverancier dus ook gekwalificeerd worden als verwerkingsverantwoordelijke.
Leveranciers van de apparatuur, zoals iVRI’s, verwerken alleen persoonsgegevens om te voldoen aan de doelen die de opdrachtgever heeft vastgesteld. Zij hebben zelf geen doel en middelen bepaald en voeren alleen verwerkingen uit zoals vastgelegd in contracten met de wegbeheerder.
Waarom is dit onderscheid belangrijk? Heel praktisch: de AVG schrijft voor dat een verwerkingsverantwoordelijke een overeenkomst moet sluiten met al z’n verwerkers. In deze verplichte verwerkersovereenkomst legt de verantwoordelijke duidelijk en ondubbelzinnig vast hoe de verwerker geacht wordt om te gaan met de persoonsgegevens.
Wegbeheerders zullen zo’n overeenkomst sluiten met bijvoorbeeld de leverancier van de iVRI. En applicatieleveranciers zullen er een afsluiten met dataserviceproviders. Die laatsten verwerken immers persoonsgegevens, in het geval van iVRI’s de CAM-berichten, voor de doeleinden en middelen die applicatieleveranciers hebben vastgesteld.
Privacy-afspraken binnen Talking Traffic
De iVRI is ontwikkeld in het programma Talking Traffic. Om deze iVRI’s ‘AVG-proof’ te kunnen uitrollen, hebben de Talking Traffic-partners een aantal afspraken gemaakt.
Een wegbeheerder sluit een verwerkersovereenkomst af met de leverancier van de TLC (Traffic Light Controller, procesbesturing), de RIS (Roadside ITS System, voor de communicatie met voertuigen) en de ITS-applicatie (de connected toepassing in het voertuig). Als een leverancier meerdere onderdelen levert, volstaat één verwerkersovereenkomst.
De wegbeheerder hoeft geen verwerkersovereenkomst te sluiten met TLEX (het centrale uitwisselpunt tussen iVRI’s en weggebruikers) – dit heeft het Ministerie van Infrastructuur en Waterstaat namens alle wegbeheerders geregeld. De iVRI-leverancier en de leverancier van de (i)VRI-beheercentrale sluit wel een verwerkersovereenkomst met TLEX.Op de portal van CROW is een voorbeeld-verwerkersovereenkomst beschikbaar die elke wegbeheerder kan gebruiken. Wegbeheerders kunnen ook gebruikmaken van de ‘Handreiking AVG voor Wegbeheerders’. Hierin staat in een aantal stappen uitgelegd wat een wegbeheerder moet regelen om te voldoen aan de wettelijke eisen ten aanzien van privacy. Ook de handreiking is te vinden op de CROW-portal.
Extra filter
Op 15 juli 2019 is een filter geïmplementeerd in TLEX die CAM- en SRM-berichten filtert van iVRI’s van wegbeheerders die nog geen ondertekende verwerkersovereenkomst hebben. Zonder verwerkersovereenkomst dus geen volledig werkende iVRI!
Andere verantwoordelijkheden
Met bovenstaande aanpak – privacyrisico’s in kaart brengen, de juiste grondslag bepalen, doelen afbakenen en verwerkersovereenkomsten afsluiten – zullen wegbeheerders zonder al te veel problemen hun iVRI’s en andere smart mobility-oplossingen AVG-proof kunnen implementeren.
Maar het is goed te bedenken dat je als wegbeheerder ook buiten het domein van Talking Traffic en smart mobility verantwoordelijkheden hebt op het gebied van privacy. Zodra het mogelijk is om data te combineren en te herleiden tot personen, is het noodzakelijk maatregelen te nemen om de data en datastromen te beveiligen. Dit moet zowel op technisch als organisatorisch vlak geregeld zijn. Het gaat om vragen als: Wie mag bij bepaalde data en waarom? Hoe lang bewaren we de data (dataretentie)? Hoe houden we bij wie er wanneer toegang heeft gehad?
Vooral voor gemeenten is het belangrijk om de zaken goed op orde te hebben. Een gemeente zal bepaalde verkeersgerelateerde data inwinnen en gebruiken, maar beschikt daarnaast over veel andere (bijzonder) gevoelige informatie over haar burgers. Het is dan extra belangrijk om de verschillende soorten data goed te scheiden en te beschermen.
____
De auteurs
Harmen Krusemeijer is adviseur bij DTV Consultants.
Anouska Weel is privacyjurist.