Hoeveel kan jij besparen met ABAX? Probeer onze nieuwe calculator!

Aan de slag
ABAX
Prijzen
Smart MobilitySaaSMobility Data

Data Privacy Day 2024

28 januari is het Data Privacy Day, dus het lijkt goed om overwegingen met betrekking tot privacy van gegevens te bespreken als het gaat om het beheren en volgen van bedrijfsmiddelen - of dat nu bedrijfsauto's, wagenparken of gehuurde machines en gereedschappen zijn.

Anna Edwards
Data privacy

Contents

GDPR en trackingVoertuigvolgsysteem - verantwoordelijkheid van de werkgeverEen effectief en uitgebreid beleid omtrent voertuigvolgsystemen moet het volgende bevatten

GDPR en tracking

Software voor het volgen van voertuigen en bedrijfsmiddelen helpt bedrijven om efficiënter en productiever te werken. Bij het gebruik van trackingapparatuur is het echter belangrijk om te weten en te begrijpen dat de locatiegegevens van een werknemer onder de GDPR (General Data Protection Regulation) als persoonlijke gegevens worden beschouwd, telkens wanneer ze betrekking hebben op een identificeerbaar individu.

Wanneer een werkgever bijvoorbeeld apparatuur voor het volgen van voertuigen gebruikt, verzamelt hij niet alleen informatie over het voertuig, maar ook over de werknemer, zoals zijn rijgedrag en locatiegegevens.

Om deze reden moet de werkgever aan strenge eisen voldoen om voertuigvolgsystemen rechtmatig te laten zijn onder GDPR, zoals het kunnen aantonen van een rechtsgrondslag voor de implementatie van het apparaat, zoals toestemming; wettelijke verplichting; vitale belangen; publieke taak; of legitieme belangen.

Voertuigvolgsysteem - verantwoordelijkheid van de werkgever

Werkgevers hebben echter ook de verantwoordelijkheid om geen misbruik te maken van de verzamelde gegevens. Om misverstanden en misbruik van informatie te voorkomen, raden we aan een schriftelijk beleid te hebben voor het gebruik van gegevens uit trackingsystemen, zodat u uw werknemers kunt informeren dat trackers worden gebruikt, kunt uitleggen waarom trackers nodig zijn en de procedure kunt uiteenzetten voor het gebruik van deze gegevens in een disciplinaire context, mocht dat nodig zijn.

Een effectief en uitgebreid beleid omtrent voertuigvolgsystemen moet het volgende bevatten

  • Een gedetailleerde uitleg van wat een volgsysteem is en hoe het werkt

  • De redenen waarom het bedrijf heeft gekozen voor tracking

  • De voordelen van voertuigvolgsystemen voor zowel het bedrijf als het personeel

  • De precieze aard van de gegevens die u zult verzamelen

  • De doeleinden waarvoor de verzamelde gegevens worden gebruikt

  • Details over hoe die gegevens worden beschermd en wie er toegang toe heeft

  • De aard en omvang van voertuigmonitoring tijdens werkuren

  • Welk privégebruik kan worden gemaakt van een bedrijfsvoertuig en onder welke voorwaarden?

Klinkt dit als een mijnenveld? Neem vandaag nog contact met ons op voor meer informatie - laten we eens praten en u de gemoedsrust geven dat uw tracking software-oplossingen aan alle juiste privacyvereisten voldoen.

Ons team staat klaar om u te helpen met de unieke trackingvereisten van uw bedrijf

Neem contact met ons op

Veel gestelde vragen

  • Niet per se. Toestemming is niet nodig als er een legitiem belang is én je dit goed onderbouwt. Wel ben je verplicht om werknemers vooraf te informeren over het wat, waarom, wanneer en hoe lang van de tracking. Zonder duidelijke communicatie kan het alsnog een privacyprobleem worden.

  • Verwerkersovereenkomst 

    Naast onze algemene voorwaarden en ons privacybeleid moeten alle ABAX klanten een verwerkersovereenkomst ondertekenen.  
    Voor alle markten is de documentatie beschikbaar via: https://www.abax.com/terms-and-conditions

    Subverwerkers bij ABAX

    De AVG vermeldt twee mogelijke vormen van toestemming die van de verwerkingsverantwoordelijke verkregen moet worden voordat de verwerker een subverwerker mag inschakelen:  

    1.    Voorafgaande specifieke toestemming een subverwerker in te mogen schakelen. Deze mogelijkheid is geschikt als de taken/diensten die de verwerker aanbiedt aan de verwerkingsverantwoordelijke specifiek van aard zijn: d.w.z. dat de subverwerker ingeschakeld wordt om specifieke diensten aan te bieden aan één klant of een kleine groep klanten. Hiervan is bijvoorbeeld sprake als de oplossing aangeboden door de verwerker moet worden aangepast aan de behoeften van de verwerkingsverantwoordelijke.


    2.    Algemene toestemming een subverwerker in te mogen schakelen. Deze mogelijkheid is geschikt als de diensten aangeboden door de verwerker aan de verwerkingsverantwoordelijke voor een grote groep klanten gelijk of nagenoeg gelijk zijn. In deze gevallen moet de verwerker de verwerkingsverantwoordelijke informeren over het gebruik van subverwerkers en over eventuele wijzigingen in subverwerkers voorafgaand aan het inschakelen van een nieuwe subverwerker. De verwerkingsverantwoordelijke heeft te allen tijde het recht bezwaar te maken tegen het inschakelen van bepaalde subverwerkers.

    ABAX maakt gebruik van de optie van de algemene toestemming voor klanten die gebruik maken van onze diensten. ABAX ontwikkelt en verbetert zijn diensten doorlopend. Een nieuwe of verbeterde functionaliteit kan leiden tot de noodzaak van het inschakelen van nieuwe subverwerkers. Als ABAX schriftelijk toestemming zou moeten verkrijgen van alle klanten, is de introductie van nieuwe ontwikkelingen volstrekt onmogelijk. 
    Een actueel overzicht van de door ons ingeschakelde subverwerkers is beschikbaar via https://www.abax.com/en-gb/legal/terms-and-conditions

  • Onder de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen
    In de AVG, Wpg en Wjsg is op hoofdlijnen aangegeven wanneer een DPIA verplicht is. Dat is het geval als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Voor klanten, die ABAX gaan gebruiken, moeten dit zelf bepalen. U mag in dat geval niet beginnen met het verwerken van gegevens voordat u een DPIA (en indien nodig een voorafgaande raadpleging) heeft uitgevoerd.

    De AVG geeft verder aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie
    •    systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
    •    Op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
    •    Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht)

    Wanneer u niet zeker weet of u een DPIA moet uitvoeren, kunt u de website van autoriteitsgegevens raadplegen.

    Meer informatie en wat de basisvereisten zijn van een DPIA kunt u vinden op de website van autoriteitsgegevens. 

  • De Autoriteit Persoonsgegevens kan boetes opleggen tot €20 miljoen of 4% van je jaaromzet. Daarnaast tast het ook het vertrouwen aan binnen je organisatie. Een transparant beleid en privacyvriendelijke instellingen (zoals ‘privémodus’) zijn daarom essentieel.

  • How is privacy handled in your service? Proactivity and Prevention

    Privacy by design approaches the issues of privacy risks in a proactive manner. The issues must be prevented before they occur, and steps should be taken to mitigate the potential risks even before they become apparent. Poor security and privacy practices must also be recognized and improved early, before they do any harm.

    This requires a commitment to consistently enforce privacy standards that are required by the GDPR. This is covered by the requirement to conduct data protection impact assessments before commencing with processing operations. The responsibilities of data controllers and processors are also clearly listed and must be followed. This requires a thorough commitment for proper implementation.

    Privacy as the Default 

    The principle of privacy by default mandates that the users’ data must be protected without requiring their input. Individuals should not have to do anything in order to ensure their data is safe – it should be safe by default.

    This is covered in Articles 25 and 32 of the GDPR, while DPOs are tasked with ensuring these rules are adhered to. The GDPR also prominently includes the three basic elements of privacy as the default, including:

    Purpose specification – individuals must be notified what their data will be used for

    Collection limitation – collection of personal data must be lawful and transparent

    Data minimisation – as little data as possible should be collected, and only for immediate processing purposes.

    Privacy Embedded into the Design 

    During the creation of technologies that will be used by companies and online services, due care must be taken to design them in such a way that privacy protection remains an integral part of the system.

    Even before the systems reach the end-users, all good privacy protection measures must already be in place. Functionality for users should be unaffected by these privacy protection measures, and systems should be made in such a way that potential misconfigurations or errors do not degrade privacy. Again, this principle is mostly covered in Articles 25 and 32, along with several Recitals.

    Full Functionality – Positive-Sum 

    The aim of privacy by design is to create a win-win situation for all stakeholders. The idea is that these privacy protection measures will create benefits both for the companies and for the users. Instead of a zero-sum situation, where users can only benefit at the companies’ expense and vice versa, these privacy by design measures aim to create positive net effects without making these trade-offs.

    End-to-End Security 

    Security and privacy of data must be ensured from the point of collection to the eventual destruction of data. At every point of the data lifecycle, it must be continuously protected and accounted for.

    The GDPR is notably very prescriptive in this regard. Its many provisions on data collection, storage and destruction fully capture the spirit of this rule. The aim is to ensure there are no gaps in data security, as security is considered an essential counterpart to privacy.

    Thus, the GDPR requires the use of several methods for ensuring accountability (such as record-keeping) and security (anonymization, access controls etc.).

    Visibility and Transparency 

    The key to accountability (and GDPR compliance) is transparency. All stakeholders, partners and coprocessors must be vetted, audited and open to external verification. Without transparency and visibility, there is no real way to ascertain whether the privacy by design principles have been implemented properly.

    Respect for Privacy 

    The best way to achieve great result in implementing privacy by design features is to create products with end-users in mind. They should be designed to meet the users’ needs and include simple possibilities for them to control and oversee how their data is processed.

    How do you secure privacy when introducing new features?

    Even before we decide to implement a new feature or product we evaluate the privacy aspect thoroughly. We seek help from our DPO and from legal advisors (law firms) when in doubt. In addition our software testers pay extra attention to the privacy aspect, and all potential risks are closed before a feature are launched to the market.

    Privacy assistant 

    Leave your GDPR hassle with us. Due to GDPR regulations, your employees now have the right to request what personal data you hold about them and the ‘right to be forgotten’. Some of your employees will probably ask you about this. Do you have time to handle all your employees requests, or do you want us to handle it for you? With the Privacy Assistant, we will handle most of the privacy dialogue with your employees, so you can focus on running a profitable business.

    The Privacy Assistant will: 

    • Ensure your company is using ABAX products and services in a way that  keeps you GDPR compliant

    • Handle employee requests, so you can focus on running your business 

    • Inform your employees in an easy and compliant way with customized  documents specific to your business

Verder lezen

Andere interessante artikelen

ABAX-inzichten – Schrijf je in voor onze nieuwsbrief