De Europese algemene verordening gegevens­be­scherming en Webfleet

Vanaf 25 mei 2018 is de algemene verordening gegevens­be­scherming van de EU (AVG) van kracht. De AVG vervangt bestaande nationale priva­cy­wetten in de 28 lidstaten van de Europese Unie. De AVG kan worden gezien als een vervangende upgrade van deze wetten en bevat de nieuwste opvattingen en beoor­de­lingen van de diverse wetgevers in de EU en essentiële aspecten van onze online wereld. Dit betekent dat de meeste vereisten al zijn opgenomen in bestaande wetten, dus wat ons betreft blijft alles in grote lijnen zoals het was met de AVG.*

Belangrijke elementen in de algemene verordening gegevens­be­scherming

Net als voorgaande privacywet- en regelgeving is de AVG gericht op het beschermen van de belangen en rechten van personen. Hun gegevens worden voor verschil­lende doeleinden gebruikt om hen en anderen te helpen ten behoeve van de economie of het algemeen belang. Daarom is de AVG zeer relevant voor de werkplek.

Hier noemen we een paar belangrijke nieuwe elementen van de AVG die volgens ons speciale aandacht vereisen van klanten van Webfleet:

De belang­rijkste wijzigingen in de nieuwe regelgeving die van kracht wordt:

  1. De persoon staat centraal, ook als werknemer.

    Mensen inzicht geven in hun gegevens staat vooraan in de AVG. Gegevens van en over personen weerspie­gelen hun identiteit, gedrag en voorkeuren: ze zeggen iets over wie we zijn. De AVG bepaalt dat personen van tevoren moeten worden geïnfor­meerd over wat er met hun gegevens gebeurt: wat wordt gebruikt, waarom, hoe lang en door wie? Bovendien moeten ze daar zeggenschap over hebben, bijvoor­beeld door toestemming te geven, een overeen­komst te sluiten of, in beperkte mate, het gebruik van hun gegevens stop te kunnen zetten.

  2. Verant­woording en risico­be­heersing

    Als u als bedrijf bepaalt wat er gebeurt met gegevens van personen, moet u daar verant­woording voor afleggen en kunnen aantonen dat u correct handelt, met respect voor de rechten van de persoon en voor de AVG. Bij alles wat u met gegevens doet, moet u de risico's voor de desbe­tref­fende persoon in acht nemen. Volgens ons moet u hiervoor documen­tatie kunnen overleggen met betrekking tot uw activi­teiten inzake gegevens en waarom u vindt dat deze moeten worden verwerkt. De AVG schrijft de aanstelling van een (parttime) functi­o­naris voor gegevens­be­scherming voor om daarin te voorzien wanneer u hier volgens de AVG aan moet voldoen (bijvoor­beeld wanneer uw kernac­ti­viteit het op grote schaal monitoren van personen is).

  3. Complete regel­ge­vings­op­lossing

    Wij denken dat de AVG is opgesteld om de voorgaande en uiteen­lo­pende priva­cy­wetten binnen de EU samen te brengen. Voor multi­na­ti­onals die van onze diensten gebruik­maken kan dat worden gezien als een plus, vooral als hun voertuigen inter­na­ti­onaal opereren. Het kan ook betekenen dat als u een inter­na­ti­onaal bedrijf hebt dat binnen de EU werkzaam is, u maar met één regelgever te maken hebt, namelijk in het land waar uw hoofd­kantoor is gevestigd. Personen kunnen ook contact opnemen met de regel­ge­vende instantie in hun eigen land.

  1. Strengere bevei­li­gings­ver­eisten

    De AVG voorziet in de bescherming van gegevens tegen allerlei vormen van ongeoor­loofd gebruik op basis van een beoordeling van de gevoe­ligheid van de gegevens. Locatie­ge­gevens worden gezien als gevoelige informatie, omdat ze vrij veel kunnen vertellen over een persoon. Om de risico's te verkleinen moet u hiervoor technische en organi­sa­to­rische bevei­li­gings­maat­re­gelen nemen. Als deze maatregelen niet voldoende zijn en er een bevei­li­gings­in­cident plaatsvindt, moeten krachtens de AVG de autori­teiten binnen 72 uur op de hoogte worden gesteld, afhankelijk van de ernst van de situatie. Indien het incident aanzien­lijke gevolgen kan hebben voor eventuele betrokkenen, moeten deze ook worden geïnfor­meerd.

  2. Boetes

    De AVG kent priva­cy­re­gel­gevers diverse handha­vings­be­voegd­heden toe. Een daarvan is het recht om boetes op te leggen indien regelgeving niet wordt nageleefd. De AVG vermeldt dat dergelijke sancties kunnen oplopen tot 4% van de totale jaarlijkse omzet per incident, afhankelijk van de ernst van de feitelijke inbreuk op de AVG.

Algemenere elementen van de algemene verordening gegevens­be­scherming, overge­bleven van voorgaande wetgeving.

De algemene verordening gegevens­be­scherming (AVG) definieert gegevens als persoon­lijke gegevens van personen in de EU en is van invloed op het gebruik ervan in de zin van 'verwerking', met inbegrip van de verzameling, opslag, overdracht en gebruik.

We bespreken een aantal van de belang­rijkste beginselen van de AVG die stammen uit de voorgaande wetgeving:

  1. Persoons­ge­gevens

    Persoons­ge­gevens spelen een hoofdrol in de AVG. Ze staan voor alle gegevens die (kunnen) verwijzen naar een identi­fi­ceerbaar persoon, waaronder gegevens die kunnen worden afgeleid uit unieke identi­fi­ca­tie­mid­delen zoals kente­ken­platen, chassis­nummers en/of andere apparaat­i­den­ti­fi­ca­toren. We vinden het belangrijk om te beseffen dat het onder de AVG niet uitmaakt wie daadwer­kelijk in staat is om te identi­fi­ceren. Als iemand een persoon kan identi­fi­ceren door middel van gegevens, zijn die gegevens persoonlijk, zelfs als er geen daadwer­ke­lijke identi­fi­catie plaatsvindt. Volgens ons zijn iemands gegevens ook persoonlijk als zijn naam niet bekend is. Wanneer u persoons­ge­gevens in bezit hebt, betekent dat niet dat u die mag gebruiken. Het betekent dat de AVG van toepassing is en u moet voldoen aan bepaalde voorwaarden.

  2. Alleen vooraf gedefi­ni­eerde, specifieke doeleinden

    De AVG schrijft voor dat persoons­ge­gevens dienen te worden gebruikt voor een of meer vooraf gedefi­ni­eerde doeleinden. Deze moeten specifiek en duidelijk omschreven zijn. De persoon moet kunnen begrijpen welke doeleinden u hebt. Een persoon moet de volgende vraag kunnen beant­woorden: Komt deze gebruiks­si­tuatie overeen met de beoogde doeleinden?

  3. Op maat voor doeleinden, type, volume en periode

    De AVG bepaalt dat persoons­ge­gevens op maat moeten zijn met betrekking tot type, volume en hoe lang ze worden bewaard op basis van de vooraf gedefi­ni­eerde doeleinden. Met 'op maat' wordt bedoeld dat alleen het strikt noodza­ke­lijke wordt verwerkt, niet meer en niet langer.

  4. Begrij­pe­lijke verklaring vooraf

    We vinden dat bij het verwerken van persoons­ge­gevens een duidelijke verklaring voor gebruikers hoort. Zoals een handleiding, niet een contract. Personen moeten toegang hebben tot de verklaring voordat u hun gegevens gaat gebruiken, en moet beschikbaar blijven.

  1. Er moet worden voldaan aan voorwaarden voor rechtmatige verwerking

    Om persoons­ge­gevens legaal te verwerken, heeft de AVG een geldige wettelijke basis nodig. Er zijn zes beschikbare wettelijke bases voor verwerking.

    1. Toestemming, wanneer voor een bepaald onderwerp uitdruk­kelijk toestemming is verleend
    2. Uitvoering van een overeen­komst
    3. Naleving van wettelijke verplich­tingen
    4. Bescherming van de wezenlijke belangen van de persoon of iemand anders
    5. Noodzaak dat een taak wordt uitgevoerd in het algemeen belang of in het belang van een officiële instantie
    6. Verwerking is noodza­kelijk voor de rechtmatige belangen van de beheerder.
    Naar content gaan

    Volgens ons zijn vier van de zes van deze wettelijke bases relevant voor bedrijven. Een wettelijke basis voor het verwerken van gegevens voor Webfleet kan bijvoor­beeld expliciete toestemming zijn. De AVG vereist niet in alle gevallen toestemming. Dat is zelfs niet altijd wenselijk, met name in arbeids­ver­hou­dingen. De AVG dicteert dat persoons­ge­gevens zonder toestemming mogen worden gebruikt voor zover dit nodig is om een overeen­komst na te komen met de tegenpartij. Er kan ook een wet van kracht zijn die het gebruik van persoons­ge­gevens vereist. In dergelijke gevallen hoeft er niet om toestemming te worden gevraagd.

    Zoals hiervoor is aangegeven in punt 6 bepaalt de AVG ook dat persoons­ge­gevens mogen worden verwerkt zonder toestemming wanneer u daar een rechtmatig belang bij hebt. Doorgaans heeft dit betrekking op het opsporen van fraude, bevei­li­gings­zaken en bedrijfs­ana­lyses. Dit kan ook van toepassing zijn op de werkom­geving en betrekking hebben op situaties die niet onder de arbeids­over­een­komst vallen, zoals de verschil­lende doeleinden waarvoor voertuig­tele­matica wordt gebruikt. Wij vinden dat u in zulke gevallen alleen de minimaal benodigde gegevens moet verzamelen voor de doeleinden (om de impact op het priva­cy­recht van de persoon te minima­li­seren) en u ervoor dient te zorgen dat het verzamelen van deze gegevens in overeen­stemming is met de AVG.

  2. Rechten van personen om in te zien, te corrigeren, in beroep te gaan, te wissen en te downloaden of over te dragen

    De AVG verleent personen rechten wanneer hun gegevens worden verwerkt. Zij hebben recht op toegang tot, inzage in en een kopie van de gegevens. Indien de gegevens onjuist­heden bevatten, kunnen personen een correc­tie­verzoek indienen. Zij hebben ook recht op een exemplaar van de gegevens dat leesbaar is door een machine. Personen kunnen verzoeken om hun gegevens te laten verwijderen indien deze zijn verkregen en gebruikt op basis van goedkeuring of in verband met de uitvoering van een overeen­komst.

  3. Geheim­houding, integriteit en beschik­baarheid beschermen met goede bevei­li­gings­maat­re­gelen

    In de AVG staat dat persoons­ge­gevens veilig moeten worden bewaard. Met andere woorden, goed beschermd tegen onbevoegde en onrecht­matig(e) toegang, gebruik en verlies. Volgens de AVG moet dit gebeuren op basis van een risico­be­oor­deling die leidt tot doorlopende, passende technische en organi­sa­to­rische maatregelen. Hier volgen de technische en organi­sa­to­rische maatregelen die daartoe moeten worden geïmple­men­teerd.

Rollen van de gegevens­ver­werker en -beheerder onder de algemene verordening gegevens­be­scherming.

Bij Webfleet, helpen wij onze klanten dichter bij hun bestuurders te komen.

Als gegevens­ver­werker handelen we volgens de instructies van onze klanten om voertuig- en bestuur­ders­in­for­matie te verzamelen wanneer we onze diensten met betrekking tot fleet management leveren via onze hardware. We verwerken deze gegevens en imple­men­teren ze in onze apps, op webge­ba­seerde gebrui­kers­in­ter­faces en API's.

De doeleinden voor het verwerken van gegevens, verplicht door de algemene verordening gegevens­be­scherming.

  1. Onze klanten gebruiken onze producten voor wagen­par­kop­ti­ma­li­satie. Hier volgen enkele voorbeelden van gebruik/doeleinden:
    • Voertuig volgen
    • Rijstijl en brand­stof­be­sparing
    • Commu­ni­catie met bestuurder
    • Informatie over tachograaf en resterende rijtijd
    • Uitgebreide manage­men­trap­por­tages voor bedrijfsop­ti­ma­li­satie
    • Integratie met oplossingen van derden
  1. Welke gegevens verzamelen en verwerken we via onze klanten?
    • Trans­ac­tie­ge­gevens: gegevens die voortkomen uit het gebruik van onze producten, met name apparaten.
    • Door gebruikers beheerde gegevens en nieuwe content: gegevens die zijn ingevoerd door gebruikers van producten van Webfleet.
    • Samen­ge­voegde gegevens: gegevens uit transacties door statis­tische analyse toe te passen.

Voor commu­ni­catie met onze klanten verzamelen we bijvoor­beeld persoons­ge­gevens op onze website. Webfleet is hiervan de gegevens­be­heerder.

Webfleet, gegevens­be­scherming en de AVG.

Bij Webfleet hebben we de impact van de AVG al vanaf 2012 bestudeerd, ten tijde van de eerste gepubli­ceerde voorstellen. Het is de afgelopen jaren een onlos­ma­kelijk onderdeel geworden bij het ontwikkelen en evolueren van ons telema­ti­ca-aanbod voor onze klanten. Voor ons is de AVG een evolutie, geen revolutie. Om zaken op orde te krijgen, hebben we vijf ontwerp­prin­cipes opgesteld:

Ontwerp­prin­cipes voor gegevens­ver­werking door Webfleet:

  1. De klant van Webfleet achter het stuur

    Webfleet handelt altijd volgens de instructies van de Webfleet-klant. De gegevens hebben alleen betrekking op de klant, die de controle heeft. Met andere woorden, we bieden de klant een hoogst aanpasbare oplossing. Hoewel we verschil­lende doeleinden voorstellen waarvoor de gegevens kunnen worden gebruikt, beslist de klant van Webfleet uitein­delijk waarvoor zijn gegevens beschikbaar zijn. U confi­gu­reert en bedient het systeem in detail.

  2. Belangen van andere betrokkenen respecteren

    Ons systeem kan worden gecon­fi­gu­reerd zodat het veel verschil­lende belang­heb­benden kan herkennen met diverse rollen, verant­woor­de­lijk­heden en capaci­teiten in variërende situaties. Klanten van Webfleet kunnen bijvoor­beeld bestuurders toestaan onderscheid te maken tussen zakelijke ritten en privéritten, en leiding­ge­venden van bestuurders kunnen worden beperkt in wat ze kunnen zien en doen. Ook onder­steunen we de Webfleet-klant in zijn rechten als persoon, bijvoor­beeld inzake de toegang tot en verwij­dering van zijn gegevens.

  3. Gegevens, op maat voor doeleinden – niet meer en niet minder

    Klanten van Webfleet kunnen op diverse manieren confi­gu­reren welke gegevens worden verzameld en hoe ze worden bewaard. Om het Webfleet-klanten gemak­ke­lijker te maken, hanteren we redelijke standaard­in­stel­lingen met betrekking tot diverse gebruiks­si­tu­aties waarin onze wagen­park­klanten zich doorgaans bevinden. Klanten van Webfleet hebben echter de keuze om af te zien van deze standaard­in­stel­lingen.

  1. Doe het niet als u het niet kunt verklaren

    Wij zijn er voorstander van om ervoor te zorgen dat iedereen akkoord is met de manier waarop hun gegevens worden gebruikt door toelichtend materiaal te verstrekken, met inbegrip van online handlei­dingen en trainings­ma­te­riaal in begrij­pe­lijke taal.

  2. Misbruik detecteren en voorkomen

    Gegevens veilig­stellen is zeer belangrijk bij Webfleet, wat extern wordt geveri­fieerd en jaarlijks gecer­ti­fi­ceerd. De beste manier om om te gaan met een gegevenslek is vanzelf­sprekend om er geen te hebben. Er kan echter altijd een incident plaats­vinden en daarom streeft Webfleet naar een efficiënte inciden­trespons, waarbij u direct wordt gewaar­schuwd en hulp krijgt bij het vinden van een oplossing.

wf gdpr whitepaper

Download AVG-gids met best practices voor telematica

wf gdpr whitepaper

Uw uitgebreide gids met best practices omtrent de Algemene Verordening Gegevens­be­scherming en telematica. Met een handig actieplan om u te helpen de stappen te nemen om te voldoen aan de vereisten.

Download gids

Meer informatie over de algemene verordening gegevens­be­scherming.

Neem hier contact met ons op als u nog vragen hebt over de algemene verordening gegevens­be­scherming.

Kom meer te weten over de algemene verordening gegevens­be­scherming van de Europese Commissie en de Information Commis­si­oners Office (ICO) via onder­staande links:

Meer informatie over Webfleet, gegevens­be­scherming, beveiliging en privacy.

Bij Webfleet, streven we ernaar om de bescherming van informatie en gegevens te waarborgen. We investeren voortdurend in onze engineering, bewezen techno­lo­gieën, processen en mensen om ervoor te zorgen dat we u altijd kunnen voorzien van de meest betrouwbare telema­ti­ca­service op de markt.

Als een van 's werelds grootste leveran­ciers van telema­ti­ca­ser­vices, is deze voort­du­rende investering in onze dienst­ver­lening belangrijk. Wij streven voortdurend naar verbetering om zo de best mogelijke partner voor uw bedrijf te zijn - nu en in de toekomst. Hier vindt u meer informatie over gegevens­be­vei­liging en -privacy van het Webfleet-servi­ce­platform.

DISCLAIMER: De informatie op de Webfleet-website is uitsluitend bedoeld voor infor­ma­tieve doeleinden en weerspiegelt ons standpunt over het onderwerp. Het moet niet worden beschouwd als juridisch advies over het onderwerp. Bovendien geeft de informatie op onze website mogelijk niet de meest recente juridische ontwik­ke­lingen weer. Onderneem geen actie naar aanleiding van deze informatie zonder juridisch advies in te winnen.