25.2.2010   

NL

Publicatieblad van de Europese Unie

C 47/6

1.

De Commissie heeft op 16 december 2008 een mededeling aangenomen waarbij een actieplan voor de invoering van intelligente vervoerssystemen in Europa wordt vastgesteld („de mededeling”) (1). Bij de mededeling hoort een voorstel voor een richtlijn van het Europees Parlement en de Raad tot vaststelling van het kader voor het toepassen van intelligente vervoerssystemen op het gebied van wegvervoer en voor interfaces met andere vervoerswijzen („het voorstel”) (2). De mededeling en het bijbehorende voorstel zijn door de Commissie aan de EDPS toegezonden voor advies, overeenkomstig artikel 28, lid 2, van Verordening (EG) nr. 45/2001 (3).

2.

Het verheugt de EDPS dat hij wordt geraadpleegd en hij beveelt aan daarvan melding te maken in de overwegingen bij het voorstel, net zoals in een aantal andere wetgevingsteksten waarover de EDPS is geraadpleegd, overeenkomstig Verordening (EG) nr. 45/2001.

3.

„Intelligente vervoerssystemen” („ITS”) zijn geavanceerde toepassingen die gebruik maken van informatie- en communicatietechnologieën (ICT), welke in verschillende vervoerswijzen zijn ingebouwd voor de interacties daartussen. Op het gebied van wegvervoer zullen ITS innoverende diensten met betrekking tot vervoerswijzen en verkeersbeheer bieden aan verschillende gebruikers, zoals reizigers, gebruikers en beheerders van weginfrastructuur, beheerders van wagenparken en noodhulpdiensten.

4.

Aangezien ITS op steeds grotere schaal in verscheidene vervoerswijzen worden toegepast (4) in de Europese Unie, heeft de Commissie een actieplan aangenomen om de invoering en het gebruik van ITS-toepassingen en -diensten op het gebied van wegvervoer te versnellen. Het plan strekt er ook toe de interactie daarvan met andere vervoerswijzen te waarborgen, hetgeen de levering van multimodale diensten zal vergemakkelijken. Een coherente invoering van ITS in Europa zal verscheidene communautaire doelen dienen, waaronder efficiënter, duurzamer en veiliger vervoer, en tevens de interne markt en het concurrentievermogen van de EU bevorderen. Gezien de verscheidenheid van de doelstellingen die voor de invoering van ITS worden nagestreefd, worden in de mededeling zes prioritaire gebieden voor actie naar voren geschoven voor de periode 2009-2014. De Commissie stelt voor om ter uitvoering van het plan een wetgevingskader op EU-niveau vast te stellen door middel van een richtlijn, waarin een aantal maatregelen op geselecteerde prioritaire gebieden zal worden vastgesteld.

5.

In het voorstel wordt een kader voor de transnationale invoering van ITS-toepassingen vastgesteld waarmee wordt beoogd de levering van geharmoniseerde grensoverschrijdende diensten te vergemakkelijken, met name voor verkeers- en reisinformatie en verkeersbeheer. De lidstaten moeten verscheidene technische maatregelen nemen om de uitwisseling van gegevens tussen gebruikers, overheden, belanghebbenden en aanbieders van ITS-diensten te vergemakkelijken en ITS-systemen op veiligheidsgebied in voertuigen en weginfrastructuur te integreren. De technische specificaties voor ITS-toepassingen en -systemen op vier van de in het actieplan opgenomen prioritaire gebieden (5) zullen worden vastgesteld via een comitéprocedure (6), waarvan de essentiële elementen in bijlage II zijn gespecificeerd. De specifieke doeleinden waarvoor ITS op deze gebieden zullen worden gebruikt, zijn evenwel niet duidelijk. Voorts kan de invoering van ITS worden uitgebreid tot veel meer gebieden dan de vier die oorspronkelijk zijn geselecteerd voor de ontwikkeling van geharmoniseerde technische specificaties. Hoewel het voorstel voornamelijk betrekking heeft op de invoering van toekomstige ITS-toepassingen en -diensten, moet het, waar zulks mogelijk is, ook betrekking hebben op de bestaande of in ontwikkeling zijnde technologieën op dat gebied (zoals eCall en eToll).

6.

Het voorstel is aan het Europees Parlement toegezonden, dat zijn standpunt in eerste lezing (7) heeft vastgesteld op 23 april 2009. Naar aanleiding van een verzoek van de Raad d.d. 29 januari 2009 om raadpleging heeft het Europees Economisch en Sociaal Comité op 13 mei 2009 advies uitgebracht over het voorstel (8).

7.

De EDPS is ingenomen met de raadpleging over het door de Commissie voorgestelde plan voor de invoering van ITS. Dit is niet de eerste keer dat de EDPS de in het ITS-actieplan vervatte punten behandelt. De EDPS heeft ook al een advies uitgebracht over het Commissievoorstel ter facilitering van de grensoverschrijdende handhaving van de verkeersveiligheid (9) en een bijdrage geleverd aan de werkzaamheden van de Groep gegevensbescherming artikel 29 betreffende een werkdocument over eCall (10).

8.

Intelligente vervoerssystemen zijn gebaseerd op het verzamelen, verwerken en uitwisselen van zeer diverse gegevens, zowel uit publieke als particuliere bronnen; en zijn dan ook data-intensief. De invoering van ITS zal in ruime mate berusten op geolokalisatietechnologieën, zoals technologieën voor plaatsbepaling via satelliet, en contactloze technologieën, zoals RFID, die de levering van diverse openbare en/of commerciële locatiegebaseerde diensten (bijv. real-time verkeersinformatie, eFreight, eCall, eToll, reserveren van parkeerplaatsen) zullen vergemakkelijken. Sommige van de gegevens die door middel van ITS zullen worden verwerkt, zijn gebundeld — zoals gegevens betreffende het verkeer, ongevallen en opportuniteiten — en hebben geen betrekking op individuele personen, terwijl andere gegevens verband houden met geïdentificeerde of identificeerbare personen en derhalve worden aangemerkt als persoonsgegevens in de zin van artikel 2, onder a), van Richtlijn 95/46/EG.

9.

De EDPS acht het van essentieel belang dat de geplande acties voor de invoering van ITS sporen met het in het voorstel genoemde bestaande wetgevingskader, met name Richtlijn 95/46/EG betreffende gegevensbescherming (11) en Richtlijn 2002/58/EG betreffende e-privacy (12).

10.

Onopgeloste kwesties met betrekking tot privacy en gegevensbescherming zijn door de Commissie aangemerkt als één van de voornaamste belemmeringen voor het stimuleren van ITS. Deze kwesties zullen in dit advies als volgt worden behandeld:

11.

Het Commissievoorstel voor een richtlijn bevat twee bepalingen (overweging 9 en artikel 6) met betrekking tot privacy, beveiliging en hergebruik van informatie. In artikel 6, lid 1, wordt vereist dat de werking van ITS wordt uitgevoerd overeenkomstig de voorschriften inzake gegevensbescherming die onder meer in Richtlijn 95/46/EG en Richtlijn 2002/58/EG zijn vervat. Artikel 6, lid 2, heeft betrekking op concrete gegevensbeschermingsmaatregelen, voornamelijk vanuit het oogpunt van beveiliging: „(…) de lidstaten moeten erop toezien dat ITS-gegevens en verslaglegging worden beschermd tegen misbruik, met inbegrip van onrechtmatige toegang, wijziging of verlies”. Ten slotte is in artikel 6, lid 3, bepaald dat „Richtlijn 2003/98/EG van toepassing is”.

12.

Het Europees Parlement heeft in eerste lezing amendementen op artikel 6 voorgesteld. Met name worden na artikel 6, lid 1, drie nieuwe leden toegevoegd die betrekking hebben op het gebruik van anonieme gegevens, waar dit mogelijk is, het feit dat gevoelige gegevens alleen mogen worden verwerkt wanneer de persoon waarop zij betrekking hebben daartoe op basis van goede informatie toestemming heeft verleend, en het feit dat moet worden gewaarborgd dat persoonsgegevens alleen worden verwerkt „indien verwerking noodzakelijk is voor de ITS-toepassing en/of -dienst”. Voorts wordt artikel 6, lid 2, gewijzigd door de toevoeging dat ITS-gegevens en verslaglegging „niet mogen worden gebruikt voor andere doelen dan in deze richtlijn worden genoemd”.

13.

Het verheugt de EDPS dat gegevensbescherming in aanmerking is genomen bij het opstellen van het voorstel en naar voren wordt geschoven als algemene voorwaarde voor de correcte toepassing van ITS in Europa. De EDPS erkent dat de gegevensbeschermingsprocessen op EU-niveau op coherente wijze moeten worden geharmoniseerd om de werkbaarheid van ITS-toepassingen en -diensten in geheel Europa te waarborgen.

14.

De EDPS wijst er evenwel op dat het voorgestelde wetgevingskader te breed en te algemeen is om de problemen inzake privacy en gegevensbescherming waartoe de invoering van ITS in de lidstaten aanleiding geeft, adequaat te kunnen aanpakken. Het is niet duidelijk wanneer de levering van ITS-diensten tot het verzamelen en verwerken van persoonsgegevens zal leiden, wat de specifieke doeleinden zijn waarvoor een verwerking van gegevens plaatsvindt, noch wat de rechtsgrond ter verantwoording van die verwerking is. Voorts brengt het gebruik van locatietechnologieën voor de invoering van ITS het risico mee dat diensten worden ontwikkeld die de privacy aantasten, indien zij het verzamelen en uitwisselen van persoonsgegevens behelzen. Bovendien komt in het voorstel niet duidelijk tot uiting wat de rol en de verantwoordelijkheden zijn van de verschillende operatoren in de ITS-toepassingsketen, en het is dus moeilijk om te weten welke operatoren verantwoordelijk zullen zijn voor de verwerking en dus ook (13) voor het nakomen van de verplichtingen inzake gegevensbescherming. Indien al deze punten niet worden verduidelijkt in de wetgeving, zullen de ITS-operatoren met grote problemen te kampen krijgen, aangezien zij uiteindelijk degenen zijn die de in de voorgestelde richtlijn vervatte maatregelen moeten toepassen.

15.

Derhalve bestaat het risico dat het gebrek aan duidelijkheid van het voorgestelde wetgevingskader verschil in toepassing van ITS in Europa zal meebrengen en in plaats van de verschillen tussen de lidstaten te verkleinen, tot grote onzekerheid, versnippering en inconsistenties zal leiden vanwege de verschillende niveaus van gegevensbescherming in Europa. Dit kan er ook toe leiden dat essentiële waarborgen inzake gegevensbescherming niet worden nageleefd. De EDPS benadrukt dat er in dit verband verdere harmonisatie nodig is op EU-niveau. De EDPS zal hierbij wijzigingen aan het voorgestelde wetgevingskader voorstellen vanuit het oogpunt van gegevensbescherming. Hij beveelt sterk aan dat het Parlement en de Raad de voorgestelde wijzigingen alsook, waar dat haalbaar is, aanvullende bepalingen ter verduidelijking van nog te behandelen punten (zoals de omschrijving en de verantwoordelijkheden van ITS-actoren, de ontwikkeling van geharmoniseerde overeenkomsten voor het leveren van ITS-diensten, enz.) in het voorstel opnemen. Voorts benadrukt hij dat de lidstaten ook verantwoordelijkheid zullen dragen voor de correcte uitvoering van de richtlijn, zodat de operatoren systemen en diensten kunnen ontwikkelen die een passend niveau van gegevensbescherming in geheel Europa bieden.

16.

Het is niet duidelijk wanneer de verwerking van persoonsgegevens van start zal gaan als de ITS-apparatuur eenmaal in een voertuig is ingebouwd, en op welke rechtsgrondslag de verwerking zal plaatsvinden. De operatoren kunnen zich voor de gegevensverwerking op verschillende rechtsgrondslagen baseren, onder meer de ondubbelzinnige toestemming van de gebruikers, een overeenkomst of een juridische verplichting die de verantwoordelijke voor de verwerking moet nakomen. De rechtsgrondslag waarop de verwerking van gegevens via ITS plaatsvindt, moet worden geharmoniseerd om te waarborgen dat de systemen in geheel Europa werken en dat de gebruikers geen nadeel ondervinden van verschillen in de manier waarop de verwerking per lidstaat gebeurt.

17.

In een aantal gevallen zullen ITS-systemen standaard in voertuigen worden ingebouwd. Dat is met name het geval voor veiligheids- en beveiligingsgerelateerde ITS-systemen, die overeenkomstig het voorstel in voertuigen moeten worden ingebouwd. In het voorstel wordt echter niet gedefinieerd wat „veiligheids- en beveiligingsgerelateerde ITS-systemen” zijn, en daarom moet verder worden verduidelijkt welke specifieke ITS-toepassingen en -systemen in voertuigen moeten worden ingebouwd. Voorts moet duidelijk worden gemaakt of de gebruikers het apparaat op vrijwillige dan wel verplichte basis zullen activeren en gebruiken. De keuze voor verplichte verwerking mag alleen voor specifieke doeleinden worden gemaakt om dwingende redenen (bv. het volgen van goederen ten behoeve van vrachtbeheer) en met passende garanties voor de verwerking van gegevens betreffende personen. Indien op vrijwillige basis gebruik wordt gemaakt van ITS, moet in passende garanties worden voorzien om te voorkomen dat de gebruikers louter vanwege de aanwezigheid van het systeem in hun voertuig worden geacht impliciet te hebben ingestemd met het gebruik ervan.

18.

De EDPS steunt de keuze om ITS-diensten op vrijwillige basis aan te bieden. Dat betekent dat de gebruikers vrijelijk moeten kunnen instemmen met het gebruik van het systeem en met de specifieke doeleinden waarvoor het zal worden gebruikt. Wanneer de aangeboden dienst op locatiegegevens gebaseerd is, moet passende informatie worden verstrekt aan de gebruiker (met name overeenkomstig artikel 9 van Richtlijn 2002/58/EG), die de mogelijkheid moet hebben zijn toestemming in te trekken. Praktisch gezien moet daartoe in een gemakkelijke manier worden voorzien om het apparaat en/of de functie uit te schakelen, zonder technische beperkingen of financiële consequenties voor de gebruiker (14), wanneer deze niet langer akkoord gaat met het gebruik van het systeem en/of een bepaalde functie. Er moeten verdere garanties worden gehanteerd, zodat gebruikers niet worden gediscrimineerd wanneer zij weigeren een dienst te gebruiken.

19.

In gevallen waarin sommige verwerkingsactiviteiten verplicht zijn en andere afhankelijk zijn van de toestemming van de gebruiker, moet met betrekking tot de verschillende gegevensverwerkingsverrichtingen transparantie worden gewaarborgd, door de gebruikers passende informatie te verstrekken over het al dan niet verplichte karakter van iedere specifieke verwerking en de draagwijdte van die verwerking. Voorts zal het van cruciaal belang zijn passende beveiligingswaarborgen te hanteren, zodat geen andere gegevens worden verzameld dan wettelijk is bepaald en/of op vrijwillige basis overeengekomen.

20.

Gezien het transnationale effect van ITS-diensten beveelt de EDPS voorts aan pan-Europese standaardovereenkomsten op te stellen om te waarborgen dat via ITS verrichte diensten in geheel Europa dezelfde garanties inzake gegevensbescherming bieden, en met name dat de informatie die aan de gebruikers wordt verstrekt, voldoende duidelijk is over de specifieke functies die worden gebruikt, de gevolgen van het gebruik van specifieke technologieën voor de bescherming van hun gegevens, en de manier waarop zij hun rechten kunnen uitoefenen. Als er nieuwe functies worden toegevoegd, moeten de dienstenaanbieders verdere stappen ondernemen om de gebruikers duidelijke en specifieke informatie te verstrekken over deze extra functies en om hun toestemming te verkrijgen voor het gebruik daarvan.

21.

De EDPS neemt er nota van dat de specifieke diensten en doeleinden waarvoor ITS-toepassingen kunnen worden gebruikt, in het voorstel niet exact worden omschreven en dus open worden gelaten. Dat laat in de praktijk flexibiliteit toe, maar het betekent ook dat onopgeloste kwesties met betrekking tot privacy en gegevensbescherming — die door de Commissie als één van de voornaamste belemmeringen voor het stimuleren van ITS zijn aangemerkt (zie punt 10) — onopgelost kunnen blijven en een evenwichtige uitvoering van de voorgestelde maatregelen in de weg kunnen staan.

22.

De EDPS benadrukt dat het bijzonder belangrijk is dat de verwerkingsverrichtingen voor het leveren van specifieke ITS-diensten niet alleen op een passende rechtsgrondslag, maar ook voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden plaatsvinden, en dat de beoogde verwerking in verhouding staat tot en noodzakelijk is voor die doeleinden (artikel 6 van Richtlijn 95/46/EG). Daarom moet rekening worden gehouden met de eventuele noodzaak van verdere wetgeving op EU-niveau met betrekking tot specifieke gebruikswijzen van ITS teneinde in een geharmoniseerde en passende rechtsgrondslag voor de te ondernemen verwerkingsactiviteiten te voorzien en verschillen tussen de lidstaten bij de toepassing van ITS-diensten te vermijden.

23.

In het voorgestelde kader zijn de voorwaarden voor de verwerking en uitwisseling van gegevens met het oog op het gebruik van ITS nog niet vastgelegd. Vele technische parameters, waarvan de keuze verschillende gevolgen zal hebben wat de privacy en de gegevensbescherming betreft, zullen pas in een later stadium worden bepaald door middel van een comitologie-procedure. Rekening houdend met de bijzondere bescherming die privacy en gegevensbescherming krijgen als fundamentele rechten die in artikel 8 van het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden en in de artikelen 7 en 8 van het Handvest van de grondrechten van de Europese Unie worden beschermd, kan de vraag worden gesteld of en in hoeverre over de omschrijving van de gegevensverwerkingsverrichtingen moet worden beslist via een comitologie-procedure.

24.

In een democratische samenleving moeten besluiten over essentiële beginselen en voorwaarden die gevolgen hebben voor de grondrechten, worden genomen in het kader van een volwaardige wetgevingsprocedure, met passende checks and balances. In dit geval betekent dit dat besluiten die grote gevolgen hebben voor de privacy en de bescherming van persoonsgegevens, zoals doeleinden en voorwaarden met betrekking tot verplichte gegevensverwerkingsactiviteiten en de voorwaarden voor de invoering van ITS op nieuwe gebieden, door het Europees Parlement en de Raad moeten worden genomen en niet door een comité.

25.

Vanuit dit oogpunt beveelt de EDPS sterk aan dat de Groep gegevensbescherming artikel 29 en de EDPS, waar van toepassing, worden betrokken bij de werkzaamheden van het comité dat op grond van artikel 8 van het voorstel wordt opgericht en bij toekomstige acties met betrekking tot de invoering van ITS, en wel door raadpleging in een voldoende vroeg stadium vóór de ontwikkeling van de desbetreffende maatregelen.

26.

Voorts neemt de EDPS nota van de amendementen die het Europees Parlement met betrekking tot artikel 6 van het voorstel heeft aangenomen. De EDPS merkt ten eerste op dat het amendement betreffende het aanmoedigen van het gebruik van anonieme gegevens, waar dit mogelijk is, in principe zeer welkom is, maar dat het niet aan alle bedenkingen qua gegevensbescherming tegemoet komt, aangezien vele gegevens die via ITS worden verzameld en uitgewisseld als persoonsgegevens kunnen worden aangemerkt. Om persoonsgegevens op anonieme basis te kunnen verwerken, mag niemand in welk stadium van de verwerking dan ook — rekening houdend met alle middelen die redelijkerwijs kunnen worden gebruikt door de verantwoordelijke voor de verwerking of door eender welke andere persoon — de mogelijkheid hebben om de gegevens te verbinden met gegevens betreffende een geïdentificeerde persoon, anders vormen die gegevens persoonsgegevens in de zin van artikel 2, onder a), van Richtlijn 95/46/EG (15). Voorts beveelt de EDPS op basis van de door het Europees Parlement voorgestelde amendementen aan dat artikel 6 van het voorstel wordt gewijzigd als volgt:

27.

Het is bijzonder essentieel dat de rol van de verschillende bij ITS betrokken actoren wordt verduidelijkt teneinde vast te stellen wie verantwoordelijk zal zijn voor de goede werking van de systemen vanuit het oogpunt van gegevensbescherming. Daarom moet verder worden verduidelijkt wie verantwoordelijk moet zijn voor de implementatie van de toepassingen en systemen waarvan het ontwerp via een comitologie-procedure zal worden gespecificeerd, en wie in de keten van actoren verantwoordelijk zal zijn voor de overeenstemming van de gegevensverwerking met de wetgeving inzake gegevensbescherming (d.w.z. de verantwoordelijken voor de verwerking). De EDPS zal hieronder enkele van de bedenkingen inzake privacy en gegevensbescherming onderstrepen die in een comitologie-procedure en door de verantwoordelijken voor de verwerking moeten worden aangepakt bij het ontwerpen van de toepassingen en de systeemarchitectuur. Voorts zal hij een aantal kwesties inzake gegevensbescherming schetsen die door de wetgever en de verantwoordelijken voor de verwerking moeten worden aangepakt met betrekking tot de levering van ITS-diensten.

28.

De correcte toepassing van de beginselen inzake gegevensbescherming die in Richtlijn 95/46/EG zijn vervat, is een absolute voorwaarde voor het welslagen van de invoering van ITS in de Gemeenschap. Deze beginselen hebben gevolgen voor het ontwerp van de systeemarchitectuur en de toepassingen. De EDPS beveelt aan om in een vroeg stadium van het ontwerp van ITS een „ingebouwde privacy”-aanpak te hanteren, teneinde de architectuur, de werking en het beheer van de toepassingen en systemen vast te stellen. Deze aanpak wordt met name benadrukt in Richtlijn 1999/5/EG (18) met betrekking tot het ontwerp van radioapparatuur en telecommunicatie-eindapparatuur.

29.

De ITS-toepassingen en -systemen zullen in verscheidene stadia en door verschillende actoren worden ontworpen, die allemaal rekening moeten houden met privacy en gegevensbescherming. De Commissie en het ITS-comité zullen een specifieke eerste verantwoordelijkheid dragen bij de vaststelling, via de comitologie-procedure, van maatregelen, standaardiseringsinitiatieven, procedures en beste praktijken die „ingebouwde privacy” moeten bevorderen.

30.

„Ingebouwde privacy” moet in alle stadia en vormen van de processen worden aangemoedigd:

31.

De EDPS zet hieronder een aantal kwesties uiteen die specifiek moeten worden aangepakt bij het ontwerp van de toepassingen en de architectuur van de systemen. Deze hebben betrekking op de verzamelde gegevens, de interoperabiliteit van systemen, en de beveiliging van de gegevens.

32.

Overeenkomstig artikel 6, lid 1, onder c), van Richtlijn 95/46/EG mogen alleen persoonsgegevens worden verzameld en verwerkt die nodig en relevant zijn voor specifieke doeleinden.

33.

De EDPS benadrukt dat een goede indeling van de via ITS te verwerken informatie en gegevens moet worden gemaakt voordat de toepassingen en systemen worden ontworpen, zodat het massaal en inadequaat verzamelen van persoonsgegevens wordt vermeden. In dat opzicht moet rekening worden gehouden met:

34.

De afzonderlijke functies moeten zorgvuldig aan de beoogde doelen worden getoetst teneinde de noodzaak van het verzamelen van persoonsgegevens te beoordelen. De EDPS benadrukt het belang van een goed evenwicht tussen de grondrechten van degenen op wie de gegevens betrekking hebben en de belangen van de verschillende betrokken actoren, hetgeen veronderstelt dat zo weinig mogelijk persoonsgegevens worden verwerkt. De architectuur van de toepassingen en de systemen moet zoveel mogelijk zodanig worden ontworpen dat alleen de persoonsgegevens die strikt noodzakelijk zijn voor het verwezenlijken van de vooropgestelde doelen worden verzameld.

35.

Indien persoonsgegevens niet of alleen in een beginstadium van de verwerking noodzakelijk zijn, mogen zij niet worden verzameld of moeten zij zo spoedig mogelijk anoniem worden gemaakt. Het is aldus bijzonder belangrijk niet alleen de noodzaak van het verzamelen van gegevens te beoordelen, maar tevens van het bewaren van die gegevens in de verschillende systemen. Er moeten voor alle verschillende actoren in de dienstenketen specifieke termijnen voor de bewaring van persoonsgegevens worden vastgesteld, die moeten worden gedifferentieerd naar gelang van de soort gegevens en het doel waarvoor deze zijn verzameld (20). Bijgevolg moeten persoonsgegevens die niet langer behoeven te worden bewaard voor de doeleinden waarvoor zij zijn verzameld of verder verwerkt, anoniem worden gemaakt, d.w.z. dat zij niet langer betrekking mogen hebben op een geïdentificeerde of identificeerbare persoon.

36.

De systeemarchitectuur en de procedures voor gegevensuitwisseling moeten zodanig worden ontworpen dat zij de verwerking van zo weinig mogelijk persoonsgegevens ondersteunen. In dat opzicht moet rekening worden gehouden met alle stadia van de verwerking en alle actoren in de keten van de levering van ITS-diensten. Terwijl sommige gegevens op anonieme basis kunnen worden uitgewisseld en verwerkt, kunnen andere gegevens, zelfs indien deze op niet-geïdentificeerde basis worden uitgewisseld, aan gegevens betreffende geïdentificeerde personen worden gekoppeld en zullen zij derhalve persoonsgegevens vormen in de zin van artikel 2, onder a), van Richtlijn 95/46/EG (21). Gezien de doeleinden waarvoor ITS zullen worden gebruikt, lijkt het moeilijk te waarborgen dat een grote hoeveelheid van de via ITS vergaarde gegevens op anonieme basis zal worden verwerkt, aangezien de identiteit van de persoon op een bepaald punt vereist zal zijn voor specifieke doeleinden, zoals facturatie. Bijgevolg zouden er ten minste bijzondere — technische, organisatorische en juridische — maatregelen moeten worden genomen om op bepaalde gebieden anonimiteit te garanderen.

37.

Interoperabiliteit van toepassingen en systemen is cruciaal voor een geslaagde invoering van ITS. Er zal werk worden gemaakt van harmonisering om de technische specificaties vast te stellen van de interfaces die in de toepassingen en systemen moeten worden geïntegreerd, teneinde voor interoperabiliteit te zorgen met andere toepassingen die in andere vervoerswijzen en/of -systemen zijn ingebouwd. De interoperabiliteit van systemen zal bijdragen tot het vergemakkelijken van de levering van diverse diensten en tot het garanderen van de continuïteit daarvan in geheel Europa, maar houdt ook een aantal risico's in vanuit het oogpunt van gegevensbescherming, zoals het risico van verkeerd gebruik of misbruik van de gegevens. Iedere interconnectie van gegevensbanken moet tot stand komen met inachtneming van de beginselen inzake gegevensbescherming (22) en praktische waarborgen betreffende beveiliging (zie ook punt III.1.c).

38.

Het in artikel 6, onder d), van Richtlijn 95/46/EG vervatte beginsel inzake kwaliteit van gegevens is bijzonder essentieel in de context van de interoperabiliteit van toepassingen en systemen. De voor het ontwerp van de interfaces vast te stellen technische specificaties moeten de nauwkeurigheid waarborgen van de gegevens die als resultaat van de interconnectie van toepassingen en systemen zullen worden verkregen.

39.

Aangezien de interoperabiliteit van systemen de interconnectie van gegevensbanken en de vergelijking van gegevens voor verdere doeleinden zal vergemakkelijken, benadrukt de EDPS dat bij het tot stand brengen van interconnecties terdege rekening moet worden gehouden met het doelbindingsbeginsel dat is vervat in artikel 6, lid 1, onder b), van Richtlijn 95/46/EG. Het is bijzonder belangrijk dat de architectuur van ITS-systemen zodanig wordt ontworpen dat ieder verder gebruik van de gegevens voor andere doeleinden dan die waarvoor zij zijn verzameld, wordt voorkomen. Er moeten passende beveiligingen in het systeem worden ingebouwd om verkeerd gebruik, openbaarmaking of toegang zonder machtiging, alsook neveneffecten van de apparaten te voorkomen. Er moet bijvoorbeeld in voldoende beveiligingen worden voorzien om te verhinderen dat niet-gemachtigde derden toegang krijgen tot nomadische apparaten en dat deze apparaten worden gebruikt om mensen te identificeren en te volgen voor andere doeleinden dan die van het systeem.

40.

De rechtmatigheid van de interconnectie zelf moet per geval worden beoordeeld, rekening houdend met de aard van de gegevens die via de systemen beschikbaar worden gesteld en uitgewisseld en de doeleinden waarvoor zij oorspronkelijk zouden worden gebruikt.

41.

De beveiliging van persoonsgegevens is een essentieel element van de invoering van ITS. Het verheugt de EDPS dat beveiliging uitdrukkelijk wordt vermeld in het actieplan en het richtlijnvoorstel. Er moet niet alleen worden nagedacht over beveiliging tijdens de werking van het ITS-apparaat (in het in het voertuig ingebouwde systeem en in het communicatieprotocol) maar ook daarbuiten — in de gegevensbanken waar de gegevens worden verwerkt en/of opgeslagen. Er moeten voor alle stadia van de verwerking passende technische, administratieve en organisatorische voorschriften worden vastgesteld die een adquaat niveau van beveiliging waarborgen overeenkomstig de artikelen 16 en 17 van Richtlijn 95/46/EG (alsook de artikelen 4 en 5 van Richtlijn 2002/58/EG, waar van toepassing).

42.

De passende beveiligingsmaatregelen mogen pas worden vastgesteld na een zorgvuldige beoordeling van de specifieke doeleinden waarvoor ITS zullen worden gebruikt en van de voorwaarden voor de verwerking. In dit verband beveelt de EDPS aan dat de effecten op privacy en gegevensbescherming worden beoordeeld met betrekking tot specifieke sectoren en/of gebruiksdoeleinden (bv. voor beveiligingsgerelateerde ITS-systemen, voor vrachtbeheersystemen). Deze effectbeoordeling en het gebruik van BAT voor privacy en gegevensbescherming zullen ertoe bijdragen dat de meest geschikte beveiligingsmaatregelen worden vastgesteld voor de specifieke verwerking die wordt verricht.

43.

De voorwaarden voor de invoering van ITS-diensten moeten op EU-niveau verder worden geharmoniseerd teneinde verschillen bij de invoering van ITS-diensten te voorkomen. In dat opzicht wenst de EDPS te wijzen op twee punten die met name verdere aandacht zullen vergen vanuit het oogpunt van privacy en gegevensbescherming:

44.

ITS zal de ontwikkeling van toepassingen voor het volgen en traceren van goederen ondersteunen en de invoering van locatiegebaseerde commerciële en openbare diensten mogelijk maken. Die diensten zullen gebaseerd zijn op het gebruik van technologieën zoals plaatsbepaling via satelliet en RFID-tags (23). Navigatie-, volg- en traceersystemen zijn bedoeld om voor diverse doeleinden te worden gebruikt, zoals het op afstand volgen van voertuigen en goederen (bv. voor het vervoer van gevaarlijke goederen of levende dieren), het factureren van voertuigen op basis van verschillende parameters, waaronder afgelegde afstand en tijdstip (bv. rekeningrijden, elektronische tolheffingssystemen), en het volgen van bestuurders voor wetshandhavingsdoeleinden zoals het controleren van rijtijden (door middel van digitale tachografen) en het opleggen van sancties (door middel van elektronische voertuigidentificatie).

45.

Het gebruik van locatietechnologieën is bijzonder bedreigend voor de privacy, aangezien het mogelijk maakt bestuurders te volgen en een grote verscheidenheid aan gegevens betreffende hun rijgewoonten te verzamelen. Zoals is benadrukt door de Groep gegevensbescherming artikel 29 (24) is de verwerking van locatiegegevens een bijzonder delicate aangelegenheid waarbij de vrijheid om zich anoniem te verplaatsen in het geding is, en waarvoor specifieke waarborgen moeten worden gehanteerd teneinde toezicht op personen en misbruik van de gegevens te voorkomen.

46.

De EDPS benadrukt dat het gebruik van zoekinstrumenten legitiem moet zijn, d.w.z dat het op een degelijke rechtsgrond moet berusten, uitdrukkelijk aangegeven en gewettigde doeleinden moet dienen, en in verhouding moet staan tot de beoogde doeleinden. De legitimiteit van de verrichte gegevensverwerking zal sterk afhangen van de manier waarop en het doel waarvoor zoekinstrumenten worden gebruikt. Zoals de Groep artikel 29 in zijn advies over eCall heeft onderstreept, „zou het vanuit het oogpunt van gegevensbescherming onaanvaardbaar zijn dat de apparatuur continu in verbinding staat en dat voertuigen dus permanent zouden kunnen worden gevolgd voor het geval dat het eCall-systeem eventueel wordt geactiveerd” (25). Het is derhalve belangrijk de specifieke omstandigheden waarin een voertuig zal worden gevolgd en het effect daarvan op de gebruiker verder te verduidelijken. In ieder geval moet het gebruik van locatieapparatuur worden verantwoord door een gewettigde noodzaak (bv. toezicht op het vervoer van goederen) en strikt beperkt zijn tot hetgeen noodzakelijk is voor dat doel. Derhalve moet precies worden bepaald welke locatiegegevens worden verzameld, waar zij worden opgeslagen en hoe lang zij worden bewaard, met wie en voor welke doeleinden zij worden uitgewisseld, en moet al het nodige worden gedaan om ieder verkeerd gebruik of misbruik van de gegevens te vermijden.

47.

Voorts wordt de verwerking van locatiegegevens betreffende gebruikers van openbare communicatienetwerken of algemeen beschikbare elektronische communicatie-diensten strikt geregeld in artikel 9 van Richtlijn 2002/58/EG. Daarin wordt met name vereist dat de verwerking van locatiegegevens op anonieme basis gebeurt, of anders na toestemming van de betrokkene op basis van goede informatie. Dit betekent dat de gebruikers, voordat zij hun toestemming geven voor het gebruik van een zoekinstrument, terdege in kennis moeten worden gesteld van met name de soort locatiegegevens die worden verwerkt en de doeleinden en de duur van die verwerking, en dat hun moet worden meegedeeld of deze gegevens al dan niet aan een derde zullen worden doorgegeven ten behoeve van de levering van de dienst met toegevoegde waarde. De gebruikers moeten op eenvoudige en kosteloze wijze tijdelijk de verwerking van locatiegegevens kunnen weigeren voor elke verbinding met het netwerk of voor elke transmissie van communicatie. De verwerking van locatiegegevens moet strikt beperkt zijn tot personen die werkzaam zijn onder het gezag van de aanbieder van het openbare communicatienetwerk of de algemeen beschikbare communicatiedienst of van de derde partij die de dienst met toegevoegde waarde levert.

48.

Er moeten aanvullende garanties worden vastgesteld wanneer locatiegegevens worden verzameld vanuit voertuigen die bij de uitoefening van een beroepsactiviteit worden gebruikt, om te voorkomen dat de locatietechnologie dient om werknemers op onrechtmatige wijze te controleren. In ieder geval moet de verwerking beperkt zijn tot locatiegegevens die gedurende de werktijd worden verzameld — aldus moeten de werknemers de mogelijkheid hebben om de zoekfunctie uit te schakelen buiten de werktijden en/of wanneer zij het voertuig voor privé-doeleinden gebruiken.

49.

Er bestaat een risico dat derden (zoals verzekeringsmaatschappijen, werkgevers en wetshandhavingsinstanties) toegang eisen tot gegevens die via navigatie- en volgsystemen zijn verzameld voor gewettigde en gespecificeerde doeleinden (zoals het volgen van goederen en elektronische tolheffing) om deze te gebruiken voor secundaire doeleinden, zoals het controleren van rij- en rusttijden of het verifiëren van de naleving van de verkeersregels en het opleggen van sancties. In principe is toegang tot de gegevens voor secundaire doeleinden niet toegestaan, indien deze toegang doelen dient welke onverenigbaar zijn met degene waarvoor zij zijn verzameld. Toegang kan alleen in afwijking van dit beginsel worden verleend, indien de voorwaarden voor die toegang in overeenstemming zijn met de strikte voorschriften van artikel 13 van Richtlijn 95/46/EG. Bijgevolg mogen derden alleen conform de wetgeving en op transparante wijze toegang krijgen tot locatiegegevens op basis van een rechtsbepaling waarbij passende procedures en voorwaarden voor toegang tot de gegevens voor specifieke doeleinden worden vastgesteld, en waarbij in passende waarborgen voor personen wordt voorzien overeenkomstig de verdere doeleinden waarvoor hun gegevens zouden kunnen worden gebruikt.

50.

Het is nog niet duidelijk wie per stadium van de verwerking de verantwoordelijke voor de verwerking zal zijn. In vele gevallen zullen dit wellicht de aanbieders van ITS-diensten zijn, hetzij individueel voor de persoonsgegevens die worden verwerkt met het oog op de levering van hun eigen ITS-diensten, hetzij collectief wanneer de verwerking gezamenlijk met andere verantwoordelijken plaatsvindt. De rol en verantwoordelijkheden van operatoren die in verschillende hoedanigheden bij ITS betrokken zijn, als verantwoordelijke voor de verwerking en als verwerker van gegevens, moeten duidelijk worden gespecificeerd voor ieder stadium van de verwerking (bv. telecommunicatieoperatoren die communicatiediensten alsook ITS-diensten leveren).

51.

Personen die als verantwoordelijke voor de verwerking fungeren, zullen ervoor moeten zorgen (26) dat de systemen en diensten aan alle verplichtingen inzake gegevensbescherming voldoen, en met name dat systemen met „ingebouwde privacy” worden geïmplementeerd waarbij de beginselenkwaliteit van de gegevens en doelbinding in acht worden genomen en een passend niveau van beveiliging van de gegevens wordt gewaarborgd, zoals beschreven in punt III.1).

52.

De verantwoordelijken voor de verwerking zullen ervoor moeten zorgen dat in passende garanties wordt voorzien op alle niveaus van de keten van actoren die bij de toepassing van ITS betrokken zijn. Daartoe zullen zij passende contractuele regelingen moeten aangaan met al degenen die betrokken zijn bij de uitwisseling en verwerking van gegevens, die adequate garanties inzake gegevensbescherming moeten bieden (met name met betrekking tot de artikelen 16 en 17 van Richtlijn 95/46/EG, en de artikelen 4 en 5 van Richtlijn 2002/58/EG). Er zij op gewezen dat de verantwoordelijken voor de verwerking, terwijl zij er vanuit het oogpunt van gegevensbescherming voor moeten zorgen dat de gegevensbescherming in elk stadium van de verwerking wordt gewaarborgd, verantwoordelijk blijven voor de verwerking en hun verantwoordelijkheid niet bij overeenkomst kunnen uitsluiten.

53.

De EDPS is ingenomen met het door de Commissie voorgestelde plan voor het toepassen van ITS dat gericht is op het harmoniseren van de gegevensverwerkingsprocessen in geheel Europa teneinde de levering van ITS-diensten te vergemakkelijken, en waarin gegevensbescherming naar voren wordt geschoven als essentiële voorwaarde voor de correcte invoering van ITS in Europa.

54.

De EDPS neemt er nota van dat de voorgestelde richtlijn een algemeen kader biedt waarbinnen een aantal vraagstukken met betrekking tot privacy en gegevensbescherming aan de orde worden gesteld die verder moeten worden aangepakt op EU- en nationaal niveau:

55.

De EDPS beveelt aan artikel 6 van het voorstel overeenkomstig Richtlijn 95/46/EG in de volgende zin te wijzigen:

56.

De EDPS beveelt voorts aan van deze raadpleging melding te maken in de overwegingen bij het voorstel.

57.

Gezien het bovenstaande beveelt de EDPS aan dat de gegevens-beschermingsautoriteiten, met name via de Groep artikel 29, en de EDPS nauw worden betrokken bij initiatieven in verband met het toepassen van ITS, door raadpleging in een voldoende vroeg stadium vóór de ontwikkeling van de desbetreffende maatregelen.