Privacy bij ABAX

Anonimisering via data lake 

Het anonimiseren van gegevens, in het Engels ook wel Data sanitization, is een proces dat gericht is op bescherming van de privacy van gebruikers. Tot een persoon identificeerbare informatie in datasets wordt versleuteld of verwijderd om anonimiteit te waarborgen.

De gegevens die wij bij ABAX bewaren hebben betrekking op locatiegegevens.  

Vanuit de back-ups worden gegevens in het data lake verzameld en vervolgens geanonimiseerd met behulp van scripts (indien opgesteld en geverifieerd). Het data lake is uitsluitend toegankelijk voor het data science team en de gegevens worden uitsluitend gebruikt voor analytische doeleinden, zoals het verbeteren van algoritmen op tracking units. 

Het data lake bestaat uit de volgende informatie:

• Afstand
• Maximale snelheid
• Moment waarop de rit is gestart en gestopt 
• Moment waarop een rit is geregistreerd door onze servers
• Soort rit (zakelijk of privé)
• Een numerieke ID voor de bestuurder (geen koppeling met privacygevoelige gegevens). Gebruikt voor het aanbieden van de volgende informatie:
  • Bedrijfsidentiteit
  • Accounttype: gebruikersaccount of admin account
  • Actief account
  • Taalinstellingen voor het account
  • Datum laatste keer inloggen
  • Datum laatste keer uitloggen
  • Welke interface/welk product gekoppeld is aan het account
  • Of de vlag Show welcome page is ingesteld op waar of onwaar
  • Of de vlag Force password reset is ingesteld op waar of onwaar
  • Fiscale woonplaats
  • Of het klantaccount ritten heeft
  • Of het klantaccount een actieve bestuurder heeft
  • Of het klantaccount het bedrijf heeft verlaten
  • Of de contactinformatie is bijgewerkt
• Datum waarop het account voor het laatst is bijgewerkt
• Ritinstellingen
• Een numerieke ID voor identificatie van tracking unit
• Een numerieke ID voor identificatie van hoofdkantoor
• Een numerieke ID voor identificatie van voertuig

Er worden geen persoonsgegevens zoals namen, telefoonnummers en e-mailadressen overgedragen naar het data lake. 

Posities worden dusdanig geanonimiseerd dat het niet mogelijk is het adres van de persoon achter een datapunt te identificeren of de exacte locatie te achterhalen van het oorspronkelijke datapunt. Locaties van ritstarts en ritstops  worden dusdanig met locaties voor andere tracking units gegroepeerd dat er geen locatie gestart of gestopt kan worden door één enkele tracking unit en geen start- of stoplocatie kan worden getraceerd tot op een identificeerbare persoon. 
 

In technische bewoordingen 

Ritten worden geanonimiseerd door middel van geohashing van start- en stoplocaties. Met geohashing wordt een positie (lengte- en breedteparen) omgezet in een hashcode die een rechthoek vertegenwoordigt in een rooster op een wereldkaart. Het formaat van het rooster is afhankelijk van de lengte van de geohash (zie https://en.wikipedia.org/wiki/Geohash).

Het anonimiseringsproces is iteratief en begint met een geohash met hoge waarde (kleine rechthoeken). De waarde van de geohash begint bij 12 (gebied van 7 vierkante centimeter) en loopt terug tot 1 (gebied van 25 009 930 vierkante kilometer). Als slechts één simkaart een locatie heeft binnen een rechthoek met een waarde van 12, wordt de waarde van de geohash met één verlaagd en wordt het proces herhaald totdat andere simkaarten een positie hebben met dezelfde geohash of totdat de waarde van de geohash 4 is en het gebied een omvang vertegenwoordigd van 762 vierkante kilometer (zie figuur 1).

Anonimisering wordt ook gebruikt in het geval locatiegegevens worden verkocht of gedeeld met derden, waarbij een vergelijkbare methode wordt gebruikt voor het anonimiseren van de gegevens.
 

Figuur 1 – Geohashing, groene vierkanten als nieuwe positie (ter vervanging van de rode posities in het vierkant)

Verwerkersovereenkomst 

Naast onze algemene voorwaarden en ons privacybeleid moeten alle ABAX klanten een verwerkersovereenkomst ondertekenen.  
Voor alle markten is de documentatie beschikbaar via: https://www.abax.com/terms-and-conditions

Subverwerkers bij ABAX 

De AVG vermeldt twee mogelijke vormen van toestemming die van de verwerkingsverantwoordelijke verkregen moet worden voordat de verwerker een subverwerker mag inschakelen:  

1.    Voorafgaande specifieke toestemming een subverwerker in te mogen schakelen. Deze mogelijkheid is geschikt als de taken/diensten die de verwerker aanbiedt aan de verwerkingsverantwoordelijke specifiek van aard zijn: d.w.z. dat de subverwerker ingeschakeld wordt om specifieke diensten aan te bieden aan één klant of een kleine groep klanten. Hiervan is bijvoorbeeld sprake als de oplossing aangeboden door de verwerker moet worden aangepast aan de behoeften van de verwerkingsverantwoordelijke.
2.    Algemene toestemming een subverwerker in te mogen schakelen. Deze mogelijkheid is geschikt als de diensten aangeboden door de verwerker aan de verwerkingsverantwoordelijke voor een grote groep klanten gelijk of nagenoeg gelijk zijn. In deze gevallen moet de verwerker de verwerkingsverantwoordelijke informeren over het gebruik van subverwerkers en over eventuele wijzigingen in subverwerkers voorafgaand aan het inschakelen van een nieuwe subverwerker. De verwerkingsverantwoordelijke heeft te allen tijde het recht bezwaar te maken tegen het inschakelen van bepaalde subverwerkers.

ABAX maakt gebruik van de optie van de algemene toestemming voor klanten die gebruik maken van onze diensten. ABAX ontwikkelt en verbetert zijn diensten doorlopend. Een nieuwe of verbeterde functionaliteit kan leiden tot de noodzaak van het inschakelen van nieuwe subverwerkers. Als ABAX schriftelijk toestemming zou moeten verkrijgen van alle klanten, is de introductie van nieuwe ontwikkelingen volstrekt onmogelijk. 
Een actueel overzicht van de door ons ingeschakelde subverwerkers is beschikbaar via https://www.abax.com/nl/terms-and-conditions

Hoe waarborgen wij privacy in onze dienstverlening naar u?  

Proactief handelen en preventie

Gegevensbescherming door ontwerp benadert problemen rond privacyrisico's op een proactieve manier. De problemen moeten worden voorkomen voordat ze daadwerkelijk optreden en er moeten maatregelen worden getroffen om mogelijke risico's te verminderen nog voordat ze aan het licht komen. Een slechte beveiliging en een slecht privacybeleid moeten herkend en in een vroeg stadium verbeterd worden, nog voordat er schade ontstaat.

Dit vereist het commitment om consistent alle privacyregels af te dwingen die vereist zijn conform de AVG. Hieraan wordt invulling gegeven door de verplichting van het uitvoeren van privacyeffectbeoordelingen voorafgaand aan verwerkingstaken. De verantwoordelijkheden van verwerkingsverantwoordelijken en verwerkers worden bovendien duidelijk vermeld en dienen te worden nagekomen. Hiervoor is een diepgaand commitment ten aanzien van een correcte implementatie vereist.

Gegevensbescherming door standaardinstellingen  

Het principe van gegevensbescherming door standaardinstellingen schrijft voor dat de gegevens van gebruikers beschermd moeten worden zonder dat daarvoor input van gebruikers vereist is. Individuele personen zouden niets hoeven te doen om zeker te weten dat hun gegevens veilig zijn - veiligheid moet standaard gegarandeerd zijn.

Een en ander is bepaald in de artikelen 25 en 32 van de AVG en het is aan de functionarissen voor gegevensbescherming erop toe te zien dat deze regels worden nagekomen. De AVG vermeldt nadrukkelijk drie basiselementen voor gegevensbescherming door standaardinstellingen:

Doelbinding - personen moeten geïnformeerd worden over het doel waarvoor hun gegevens worden gebruikt
Rechtmatigheid, bekoorlijkheid en transparantie - het verzamelen van persoonsgegevens moet rechtmatig en transparant plaatsvinden
Minimale gegevensverwerking - het verzamelen van gegevens blijft beperkt tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

Gegevensbescherming ingebed in het ontwerp 

Bij het creëren van technologieën die gebruikt gaan worden door bedrijven en online dienstverlening dient er nauwgezet op te worden toegezien dat ze dusdanig ontworpen worden dat gegevensbescherming integraal onderdeel blijft uitmaken van het systeem.

Voordat de systemen de eindgebruikers bereiken moet de best practice op het gebied van maatregelen inzake gegevensbescherming al zijn geïmplementeerd. De functionaliteit voor gebruikers mag niet worden aangetast door dergelijke maatregelen inzake gegevensbescherming en de systemen moeten dusdanig worden ontworpen dat mogelijke misconfiguraties of fouten de gegevensbescherming niet aantasten. Dit principe wordt grotendeels bepaald in de artikelen 25 en 32 en een aantal gronden.

Volledige functionaliteit - positieve uitkomsten 

Het doel van gegevensbescherming door ontwerp is het creëren van een win-winsituatie voor alle betrokkenen. De gedachte is dat zowel de bedrijven als de gebruikers profijt moeten hebben van de maatregelen inzake gegevensbescherming. In plaats van een nulsomspel, waarbij gebruikers alleen kunnen profiteren ten koste van de bedrijven en vice versa, hebben de maatregelen inzake gegevensbescherming door ontwerp positieve netto-effecten tot doel zonder de bovengenoemde wisselwerkingen.

End-to-end beveiliging 

De beveiliging en de bescherming van gegevens moeten gegarandeerd worden vanaf het moment van verzameling tot de eventuele vernietiging van gegevens. Op ieder moment van de levenscyclus van gegevens moeten gegevens beschermd zijn en moet er verantwoording over worden afgelegd.

De AVG is overduidelijk in dit opzicht. Deze regel vindt zijn weerslag in de vele bepalingen over het verzamelen, bewaren en vernietigen van gegevens. Het doel is te garanderen dat er geen hiaten zijn in de beveiliging van gegevens en dat wordt ingezien dat gegevensbescherming en beveiliging twee zijden van dezelfde munt zijn.

Zo vereist de AVG een aantal methoden voor het zekerstellen van de verantwoording (zoals het bijhouden van registers) en de beveiliging (anonimisering, toegangsrechten enz.).

Zichtbaarheid en transparantie 

De kern van de verantwoording (en naleving van de AVG) wordt gevormd door transparantie. Alle betrokkenen, partners en medeverwerkers moeten worden gescreend en geaudit en bovendien moeten ze bereid zijn tot externe verificatie. Zonder transparantie en zichtbaarheid is er geen echte manier om zeker te stellen dat de principes van gegevensbescherming door ontwerp correct zijn geïmplementeerd.

Respect voor privacy 

De beste manier om goede resultaten te behalen bij de implementatie van features voor gegevensbescherming door ontwerp is door producten te ontwikkelen met de eindgebruikers in gedachten. Ze moeten ontwikkeld worden om tegemoet te komen aan de behoeften van gebruikers en eenvoudige mogelijkheden aanreiken waarmee zij kunnen controleren en bewaken hoe hun gegevens worden verwerkt.

Hoe gegevensbescherming veiligstellen bij de introductie van nieuwe features?

Nog voordat we een beslissing nemen over de implementatie van een nieuwe feature of een nieuw product evalueren wij de gegevensbescherming altijd diepgaand. Bij twijfel schakelen we de hulp in van onze functionaris voor gegevensbescherming en juristen (advocatenkantoren). Daarnaast letten onze softwaretesters extra op het aspect van de gegevensbescherming en worden alle potentiële risico's afgedekt voordat een feature op de markt wordt geïntroduceerd.

Privacy assistant 

U kunt alles rond het onderwerp AVG aan ons overlaten. Op grond van de AVG-regels hebben uw medewerkers nu het recht op inzage in de persoonsgegevens die u over hen bewaart en hebben zij het recht op ‘vergetelheid’. Het kan zijn dat uw medewerkers u hiernaar vragen. Hebt u de tijd alle verzoeken van uw medewerkers in behandeling te nemen of laat u dat liever aan ons over? Met de Privacy Assistant gaan wij de dialoog met uw medewerkers inzake gegevensbescherming aan en kunt u zich richten op het runnen van een winstgevend bedrijf.

De Privacy Assistant: 

• Zorgt dat uw bedrijf ABAX producten en diensten gebruikt in overeenstemming met de AVG 
• Neemt verzoeken van medewerkers in behandeling, zodat u zich kunt richten op het runnen van uw bedrijf 
• Informeert uw medewerkers op een eenvoudige manier overeenkomstig de wet- en regelgeving aan de hand van op maat aangepaste en specifiek op uw bedrijf gerichte documenten

Informatiebeveiliging is een topprioriteit van ABAX. Hieronder beantwoorden wij een aantal veelgestelde vragen met betrekking tot de informatiebeveiliging van onze website abax.com.

Waar slaat ABAX de klantgegevens op

Klantgegevens zijn ons meest kostbare bezit en dus moeten onze opslagoplossingen veilig en betrouwbaar zijn. We maken gebruik van een combinatie van onze eigen datacenters en aanbieders van openbare clouddiensten. Ons belangrijkste datacenter zit in Zweden. De aanbieders van openbare clouddiensten waar wij gebruik van maken zijn terug te vinden in onze regelmatig bijgewerkte lijst van subverwerkers via https://www.abax.com/nl/terms-and-conditions

Hoe versleutelt ABAX onze opgeslagen gegevens? 

De gegevens opgeslagen in onze eigen datacenters worden bewaard op harde schijven met zelfencryptie, zodat u als onze klant erop kunt vertrouwen dat uw gegevens bij ons veilig zijn.

Hoe versleutelt ABAX gegevens die worden overgedragen aan klanten? 

Als u gebruik maakt van onze producten, ofwel via uw browser ofwel via onze apps, wordt alle communicatie versleuteld via de binnen de industrie standaard gebruikte TLS-encryptie. In de adresbalk van uw browser verschijnt een slotje om aan te tonen dat uw verbinding versleuteld is.

Aan welke beveiligingsnormen voldoet ABAX? 

We voldoen aan de ISO 27001 norm voor een managementsysteem voor informatiebeveiliging. Deze norm omvat een scala aan beheersmaatregelen om zeker te zijn dat alle vormen van verwerking veilig worden uitgevoerd op een manier die onze klantgegevens niet in gevaar brengt. 

Van welke aanbieders maakt ABAX gebruik voor het overdragen van gegevens? 

Onze hardware communiceert via het mobiele netwerk van Telenor en diens netwerk van internationale partners. Meerdere internetaanbieders (ISP's) faciliteren communicatie tussen onze klanten en onze systemen via volledig redundante oplossingen. De infrastructuur van ABAX is op de digitale snelweg aangesloten via meerdere internet exchange points. 

Hoe garandeert ABAX de beveiliging van zijn servers? 

Om te garanderen dat onze servers veilig blijven, zetten wij onze infrastructuur altijd op basis van de industriestandaard en de best practices op. Alle infrastructuur wordt up-to-date gehouden met de laatste beveiligingsupdates van onze aanbieders. 

Wat zijn de routines van ABAX ten aanzien van de back-up van klantgegevens? 

Wij maken regelmatig back-ups van al onze waardevolle klantgegevens en bewaren deze op een veilige locatie buiten onze eigen terreinen. Voor u als onze klant betekent dit dat wij uw gegevens kunnen herstellen en het verlies van gegevens tot een minimum kunnen beperken in het geval van nood

Hoe stelt ABAX klantgegevens veilig binnen zijn netwerken? 

Om onze servers veilig te houden, maken we gebruik van netwerksegmentatie, hetgeen betekent dat wij ons netwerk opdelen in kleinere segmenten. Op deze manier zijn wij beter beschermd tegen cyberaanvallen.

Hoe beheert ABAX de toegang tot zijn servers en systemen? 

We maken gebruik van een alom beproefde methode voor toegangsbeheer, namelijk het principe van het minste privilege (POLP). In de praktijk komt dit erop neer dat wij de toegang tot de accounts in onze systemen beperken en alleen toestemming verlenen voor minimale toegang voor zover strikt noodzakelijk voor het uitvoeren van specifieke taken. Om zeker te zijn dat wij de POLP-principes nakomen, voeren wij regelmatig audits uit van alle accounts en hun toegangsrechten als onderdeel van onze ISO 27001 nalevingsprocedures.

Eerste gebruik van onze service: de eerste keer goed 

Het is belangrijk een toepasselijk doeleinde op te stellen voor de service 

Als u een ABAX service voor het eerst gaat gebruiken, moet u erop letten dat de service correct geïmplementeerd wordt om zeker te zijn dat u voldoet aan alle privacyregels. Dit betekent dat u als onderneming een geldige grondslag moet hebben voor het verwerken van gegevens krachtens artikel 6 (a)-(f) AVG, dat als volgt luidt: 

De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan:
(a)    de betrokkene heeft toestemming gegeven voor de verwerking van zijn persoonsgegevens voor een of meer specifieke doeleinden;
(b)    de verwerking is noodzakelijk voor de uitvoering van een overeenkomst waarbij de betrokkene partij is, of om op verzoek van de betrokkene vóór de sluiting van een overeenkomst maatregelen te nemen;
(c)    de verwerking is noodzakelijk om te voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust;
(d)    de verwerking is noodzakelijk om de vitale belangen van de betrokkene of van een andere natuurlijke persoon te beschermen;
(e)    de verwerking is noodzakelijk voor de vervulling van een taak van algemeen belang of van een taak in het kader van de uitoefening van het openbaar gezag dat aan de verwerkingsverantwoordelijke is opgedragen;
(f)     de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.

Binnen de verschillende ABAX domeinen kunnen een aantal gesuggereerde doeleinden voor verwerking relevant zijn en gebruikt worden richting onze klanten.
 

MOGELIJKE DOELEINDEN VAN DE ABAX SERVICE 

  

Documentatie voor de Belastingdienst 
ABAX Elektronische rittenregistratie wordt geïmplementeerd om het zakelijke gebruik van voertuigen te documenteren overeenkomstig de voorschriften van de Belastingdienst. Voor commerciële voertuigen wordt doorlopend documentatie bijgehouden over alle voltooide ritten. Er worden routines in het leven geroepen om naleving van de huidige wet- en regelgeving te garanderen.

Privé- en zakelijk ritten gescheiden voor belastingdoeleinden
ABAX Elektronische rittenregistratie wordt gebruikt om privéritten voor belastingdoeleinden te onderscheiden van zakelijke ritten. Het indelen van de ritten wordt uitgevoerd door de bestuurder, de beheerder en/of automatisch door het systeem.

Verzoeken van klanten
De gegevens van ABAX Elektronische rittenregistratie kunnen worden gebruikt voor het behandelen van verzoeken en/of klachten van klanten. Dit moet uitsluitend worden gedaan in reactie op een specifiek verzoek van een klant en alleen om de specifieke kwestie op te lossen.

Veiligheid
ABAX Elektronische rittenregistratie kan worden gebruikt om een medewerker te traceren in het geval de werkgever het contact verloren heeft en vermoedt dat er een ongeval heeft plaatsgevonden.

Facturering van klanten
De gegevens van ABAX Elektronische rittenregistratie kunnen worden gebruikt als basis voor de facturering van klanten voor rijden (tijd en kilometers).

Onjuiste urenregistratie
ABAX Elektronische rittenregistratie kan worden gebruikt bij een concreet vermoeden van een onjuiste urenregistratie. De betrokken medewerker heeft het recht tijdens de controle aanwezig te zijn en wordt bijgestaan door een werknemersvertegenwoordiger of een andere partij.

Follow-up van services
De gegevens van ABAX Elektronische rittenregistratie kunnen worden gebruikt voor de follow-up van service-intervallen van voertuigen. Serviceherinneringen kunnen vanuit het systeem per e-mail of per sms worden verstuurd.

Efficiëntie
ABAX Wagenparkbeheer traceert de huidige locatie van uw voertuigen. Dit kan worden gebruikt om het dichtstbijzijnde voertuig op een bepaalde klus af te sturen.

Routeplanning
ABAX Wagenparkbeheer kan alle ritten die op een bepaalde dag afgelegd moeten worden tonen op een kaart. Dit kan worden gebruikt om de routes te optimaliseren.

Lagere milieu-impact
ABAX Rijstijlanalyse kent bestuurders punten toe op basis van hun rijgedrag. Hoe hoger het aantal punten, des te lager de milieu-impact.

Sociale verantwoordelijkheid
ABAX Rijstijlanalyse kan worden gebruikt om bestuurders aan te leren bewuster en veiliger te rijden.

Hogere rijnormen
ABAX Rijstijlanalyse kan worden gebruikt om bestuurders aan te leren bewuster en veiliger te rijden en daarmee het aantal ongevallen omlaag te brengen.

Lagere aan het wagenpark gerelateerde kosten 
ABAX Rijstijlanalyse kan bijdragen aan optimale rijprestaties en daarmee de brandstof- en onderhoudskosten omlaag brengen. 

Track en trace
ABAX Equipment Control kan worden gebruikt om verloren materieel te traceren en terug te halen.

Efficiëntie
ABAX Equipment Control kan worden gebruikt om specifieke materieel voor een specifieke taak te traceren. 

Besparingen
ABAX Equipment Control kan het gebruik van zelfaangedreven materieel loggen. Deze gegevens kunnen worden gebruikt om overmatig gebruik te beperken.

Facturering op basis van daadwerkelijk gebruik
ABAX Equipment Control kan het gebruik van zelfaangedreven materieel loggen. Deze gegevens kunnen door de eigenaar worden gebruikt om klanten te factureren op basis van daadwerkelijk gebruik.

Facturering per gebruik in een gebied
ABAX Equipment Control kan het gebruik van zelfaangedreven materieel in een specifiek gebied loggen. Deze gegevens kunnen door de eigenaar worden gebruikt om bij een project klanten te factureren op uurbasis.

Follow-up van service
De gegevens van ABAX Equipment Control kunnen worden gebruikt voor follow-up van service aan materieel. Serviceherinneringen kunnen vanuit het systeem per e-mail of per sms worden verstuurd.

Belangrijk 

Bij de implementatie van een nieuwe service met beheersmaatregelen raden de autoriteiten ondernemingen aan medewerkers al in een vroeg stadium bij het proces te betrekken. (Het aanwijzen van een trustee zou een perfecte methode zijn om invulling te geven aan deze betrokkenheid.) 

De bedrijfsadministratie doet er goed aan met de trustee en/of andere relevante medewerkers in de onderneming bijeen te komen om de verschillende beheersmaatregelen te bespreken die vervolgens door een service als ABAX kunnen worden getrackt. 

Bovendien moet de onderneming de doeleinden van de beheersmaatregel vermelden, inclusief de mogelijke consequenties van een maatregel (bijv. hoe de technologie werkt, welke gegevens gemeten en aan de beheerder gerapporteerd worden) en het tijdsbestek van de beheersmaatregel (normaal gesproken voor de duur van het contract). 

De informatie kan zowel mondeling als schriftelijk worden overgebracht aan de medewerkers. In sommige gevallen kan de onderneming overwegen een informatiebijeenkomst te organiseren om zeker te zijn dat alle medewerkers worden geïnformeerd en om te profiteren van de input van medewerkers. 

Het is aan onze klanten zelf een doeleinde voor het verwerken van gegevens op te stellen dat het best bij hun activiteiten past. De gesuggereerde doeleinden dienen te worden beschouwd als suggesties en het staat onze klanten vrij andere doeleinden op te stellen die beter bij hun behoeften aansluiten. Overeenkomstig de arbeidswetgeving wordt het aanbevolen medewerkers te betrekken bij de implementatie van de ABAX services om een soepele onboarding binnen alle gelederen van de onderneming veilig te stellen. 

Een doeleinde moet altijd voldoen aan een van de grondslagen vermeld in artikel 6 (a)-(f) AVG. Wat is belangrijk om te onthouden? De volgende essentiële zaken zijn relevant voor onze klanten bij het opstellen van de doeleinden en de grondslagen voor het verwerken van gegevens. 
 

Onthoud

• U moet een grondslag hebben voor het verwerken van persoonsgegevens.
• Er zijn zes grondslagen voor het verwerken van gegevens. Alle grondslagen zijn even goed, de ene grondslag is niet belangrijker dan de andere. Welke grondslag voor u het meest geschikt is, is afhankelijk van uw doeleinde en uw relatie.
• De meeste grondslagen vereisen dat de verwerking noodzakelijk is voor een specifiek doeleinde. Als u dit doeleinde redelijkerwijze ook kunt behalen zonder verwerking van gegevens, valt de grondslag weg.
• U moet uw grondslag bepalen voordat u begint met het verwerken van gegevens en u doet er verstandig aan uw grondslag te documenteren. We hebben een interactieve tool ontwikkeld om u hierbij te assisteren.
• Zorg dat u het de eerste keer goed doet - het is niet handig in een later stadium zonder goede reden een andere grondslag op te moeten stellen. Het is gewoonlijk niet mogelijk van toestemming over te stappen op een andere grondslag.
• Uw privacyverklaring moet uw grondslag voor het verwerken van gegevens en de doeleinden voor deze verwerking vermelden.
• Als uw doeleinde wijzigt, is het mogelijk dat u door kunt gaan met het verwerken van gegevens op basis van de originele grondslag als uw nieuwe doeleinde overeenstemt met uw oorspronkelijke doeleinde (tenzij uw originele grondslag toestemming was).
• Als u een speciale categorie gegevens verwerkt, moet u zowel een grondslag opstellen voor de algemene verwerking als een aanvullende voorwaarde voor het verwerken van dit specifieke type gegevens.
• Als u gegevens over veroordelingen of strafbare feiten verwerkt, moet u zowel een grondslag opstellen voor de algemene verwerking als een aanvullende voorwaarde voor het verwerken van dit specifieke type gegevens.

Mag ik de gegevens in het systeem naar eigen inzicht gebruiken? 

Bij de implementatie van de ABAX service moet u exact aangeven waarvoor u de gegevens gaat gebruiken. Het is niet toegestaan de beschikbare gegevens en informatie op een andere wijze te gebruiken dan voor dat specifieke doeleinde.

Als u uw doeleinde wijzigt of een aanvullend doeleinde opstelt, moet u opnieuw bijeenkomen met de trustee/relevante medewerker en zorgen dat alle medewerkers hiervan op de hoogte worden gesteld. Uiteraard moet het nieuwe doeleinde rechtmatig zijn en een duidelijke relatie hebben met een van de grondslagen in de AVG. 

De onderneming moet het doeleinde dusdanig opstellen dat exact wordt omschreven waar de gegevens voor worden gebruikt en niet waar ze voor kunnen worden gebruikt. Met andere woorden, het doeleinde moet worden gespecificeerd en gecommuniceerd en mag niet te breed of te vaag worden geformuleerd. Het gespecificeerde doeleinde bepaalt waarvoor de persoonsgegevens gebruikt mogen worden. Het gebruik van persoonsgegevens voor andere doeleinden dan het gespecificeerde doeleinde betekent een schending van de privacywet. 
 

Onder de Algemene verordening gegevensbescherming (AVG), de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg) kunnen organisaties verplicht zijn een data protection impact assessment (DPIA) uit te voeren. Dat is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico’s te verkleinen
In de AVG, Wpg en Wjsg is op hoofdlijnen aangegeven wanneer een DPIA verplicht is. Dat is het geval als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Voor klanten, die ABAX gaan gebruiken, moeten dit zelf bepalen. U mag in dat geval niet beginnen met het verwerken van gegevens voordat u een DPIA (en indien nodig een voorafgaande raadpleging) heeft uitgevoerd.

De AVG geeft verder aan dat er in ieder geval een DPIA moet worden uitgevoerd als een organisatie
•    systematisch en uitgebreid persoonlijke aspecten evalueert gebaseerd op geautomatiseerde verwerking, waaronder profiling, en daarop besluiten baseert die gevolgen hebben voor mensen;
•    Op grote schaal bijzondere persoonsgegevens verwerkt of strafrechtelijke gegevens verwerkt;
•    Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied (bijvoorbeeld met cameratoezicht)

Wanneer u niet zeker weet of u een DPIA moet uitvoeren, kunt u de website van autoriteitsgegevens raadplegen.

Meer informatie en wat de basisvereisten zijn van een DPIA kunt u vinden op de website van autoriteitsgegevens. 

AVG en onze technologie    

Beëindiging en verwijderen 

Beëindiging resulterend in verwijdering is van toepassing op gegevens van klanten die hun contract beëindigen en Data Warranty niet hebben aangeschaft. Data Warranty is een product dat de klant kan aanschaffen om te garanderen dat wij de klantgegevens veilig bewaren na beëindiging van het contract. Het wissen van gegevens kan gelden voor alle gegevens binnen een klantcontract of voor één enkele gebruiker/bestuurder van de klant. Als één enkele gebruiker/bestuurder een verzoek tot verwijdering indient, worden alleen de gegevens gekoppeld aan deze specifieke gebruiker/bestuurder gewist. Een verwijdering voor één enkele gebruiker verloopt via de “Privacy Assistant” (zie figuur 2). De gebruiker specificeert welke soort gegevens gewist moeten worden door een formulier in te vullen (ondernemingen kunnen een template creëren om dit proces voor gebruikers te vereenvoudigen). 

Als een klantcontract wordt beëindigd, worden alle gegevens gekoppeld aan alle gebruikers/bestuurders gewist. Als een klant zijn contract met ons beëindigt, worden alle klantgegevens uitsluitend op nadrukkelijke aanwijzing van de klant gewist.

Als extra controle maken wij een “waslijst” aan met alle te verwijderen klanten. Deze lijst wordt onderworpen aan een extra controle waarbij we klanten uit de lijst verwijderen die om welke reden dan ook niet gewist zouden moeten worden (vernieuwing contract enz.). 

Als we een verzoek tot verwijdering ontvangen, worden alle gegevens binnen 30 dagen gewist. Dit geldt voor zowel het wissen van een complete klant als voor het wissen van één enkele gebruiker.

Op het moment dat het wissen gestart wordt, gebruiken wij een specifieke service die opdrachten uitvaardigt naar alle services in de verschillende domeinen. Deze opdrachten activeren het wissen van gegevens die gekoppeld kunnen worden aan een persoon (privacygevoelige gegevens) in alle domeinen voor de betreffende klant of gebruiker.

Voorafgaand aan het wissen vragen we mogelijk waardevolle datapunten op die wij door ons data lake halen. Via ons data lake anonimiseren wij de gegevens, zodat deze niet meer getraceerd kunnen worden tot een identificeerbare klant of gebruiker. In de toekomst zullen wij ons data lake nog veder automatiseren op het moment dat wij gegevens ontvangen van de tracking units. De geanonimiseerde gegevens worden bewaard voor analytische doeleinden, zelfs als om verwijdering is verzocht (zie Anonimisering). 

Figuur 2 - Proces van verwijdering bij contractbeëindiging

Hoe verwerken wij persoonsgegevens?

Wij zijn afhankelijk van het vertrouwen van onze klanten. Daarom is uw privacy belangrijk en zijn uw persoonlijke gegevens veilig bij ons. Dit omvat alles wat met u, als persoon, kan worden verbonden, bijvoorbeeld adres, contactinformatie, GPS-posities en andere persoonlijke gegevens.

Verzameling van persoonlijke gegevens

ABAX verwerkt persoonlijke gegevens voornamelijk via overeenkomsten en contracten, die zijn gesloten met onze klanten, klantenservice, customer care, klantenadministratie, marketing en facturering.
In het algemeen verzamelt ABAX persoonlijke gegevens rechtstreeks via u. Soms verzamelen we informatie via andere bronnen, zowel publieke als private instellingen. Bovendien worden GPS-posities automatisch verzameld door gebruik van onze producten. Deze GPS-posities worden gezien als persoonlijke gegevens.
ABAX is een gegevensbeheerder voor informatie die we over u verzamelen. We zullen u informeren wanneer we gegevens verzamelen, tenzij de verzameling bij wet is geregeld, kennisgeving onmogelijk of moeilijk is, of als u dit al weet.
Wanneer ABAX uw gegevens ontvangt in verband met marketingactiviteiten, heeft u het recht om u af te melden. In gevallen waarin ABAX persoonlijke gegevens verzamelt namens onze klanten en optreedt als een gegevensverwerker namens onze klanten, zijn onze klanten verantwoordelijk voor de informatie die u ontvangt. In deze gevallen kunnen we u ook de informatie direct verstrekken, maar dit zal op verzoek van onze klanten zijn.
ABAX neemt telefoongesprekken op voor veiligheids- en trainingsdoeleinden.

Klanttevredenheidsindicatoren

Wanneer u contact opneemt met ABAX, kunnen wij u vragen naar uw mening omtrent klanttevredenheid. Deze feedback wordt gebruikt om klanten betere producten en diensten te bieden, het effect van verbeteringen te meten en te kijken naar klanttevredenheid en klantgedrag in de loop van de tijd.

Als u dit soort gegevens niet wilt delen, vermijd dan eenvoudigweg elke enquête die u ontvangt.

Nieuwsbrief en marketing

U kunt marketingmateriaal, informatie en meldingen van ABAX ontvangen. Dit kan via e-mail, onze webpagina of andere geschikte kanalen worden gecommuniceerd. Deze informatie is onderverdeeld in drie verschillende categorieën:
• Informatie en nieuws, normaal gesproken verstuurt als een nieuwsbrief via e-mail
• Campagnes en uitnodigingen
18.10.2017
12.04.2018
• Systeemmeldingen over uw services
U kunt zich op elk moment aan- of afmelden.

Extractie van persoonlijke gegevens

Intern

Binnen ABAX hebben we een algemeen register voor al onze klanten en consolidatiebedrijven beschikbaar. Het doel is om onze klanten de best mogelijke service te bieden en informatie en voorstellen te doen over producten en diensten die we aanbieden. Het register kan de volgende gegevens over u bevatten:
• Naam
• Contactgegevens
• Bedrijfsnaam
• Tot welk consolidatiebedrijf u behoort
• Contractgegevens
• Historische gegevens over uw contact met ABAX

Data Controller

De Data Controller is degene die het doel bepaalt voor het verwerken van de persoonlijke gegevens. In de ABAX-consolidatie is de Data Controller het ABAX-bedrijf waarmee u een overeenkomst heeft gesloten. Voor persoonlijke gegevens, die worden verzameld op basis van de naleving van overeenkomsten met onze klanten, zal de klant zelf (in de meeste gevallen) de gegevensbeheerder zijn.

Data Processor

Wanneer een ABAX klant de gegevenscontroller is, fungeert ABAX als een gegevensprocessor. Hiervoor is een Data Processor Agreement tussen de klant en ABAX gemaakt. ABAX heeft ook overeenkomsten gesloten met onderaannemers over gegevensverwerking. Onze onderaannemers kunnen deze informatie niet gebruiken voor andere doeleinden dan die zijn gedefinieerd door de Data Controller.

Jouw rechten

Toegang

U heeft het recht informatie te verkrijgen over welke persoonlijke gegevens wij verwerken en hoe deze worden verwerkt. De meeste informatie die wij over u hebben, kunt u bekijken in uw profiel. De Data Controller beslist of u meer toegang krijgt tot uw persoonlijke gegevens.
De medewerkers van ABAX-klanten hebben mogelijk toegang tot gegevens die niet zichtbaar zijn voor de beheerder (bijvoorbeeld privétrips in ABAX Triplog). Als de beheerder (Data Controller) wordt gevraagd om een kopie van alle gegevens die zijn geregistreerd van de medewerker, kunnen deze gegevens tijdens dit proces zichtbaar zijn voor de beheerder.

Correcties

Om de beste service te bieden, is het belangrijk dat de informatie die we over u hebben juist en noodzakelijk is om de overeenkomsten te implementeren. U kunt verzoeken dat wij informatie over u
corrigeren en/of wissen, als de informatie niet overtuigend of overbodig is. Verzoeken zijn gericht aan de Data Controller.

Gegevens verwijderen

ABAX verwijdert persoonlijke gegevens als het niet langer nodig is om uw gegevens te bewaren. Dit betekent dat zolang u een overeenkomst met ons (ABAX) heeft, wij de nodige informatie over u bewaren. Wanneer een contract wordt beëindigd, zal het verwijderen van gegevens worden voltooid, tenzij er overeenstemming is bereikt over verdere opslag. Meer informatie over het verwijderen van gegevens is te lezen in de Algemene voorwaarden voor onze diensten. Claims om informatie te verwijderen zijn geadresseerd aan de Data Controller. Als er regels zijn die een minimale bewaartijd aangeven, b.v. voor boekhouddoeleinden wordt het verwijderen niet vereist tot de minimale bewaartijd is verstreken.

Cookies

Doel

Cookies zijn kleine bestanden die uw informatie opslaat m.b.t het gebruik van de website. De informatie wordt opgeslagen op de browser van uw computer die u gebruikt.
ABAX gebruikt cookies op de webpagina om:
• Kennis op te doen van uw (computer) gedrag om de functionaliteit, gebruikerservaring en de inhoud te verbeteren
• De inhoud aan te passen om deze relevant voor u te maken
• U te voorzien van relevante marketing op andere webpagina's die u bezoekt
U kunt op andere webpagina's advertenties van ons terug vinden op basis van inhoud en webpagina's, die u eerder heeft bezocht. Cookies worden gebruikt om informatie te verzamelen over welke pagina's u op onze webpagina heeft bezocht en om u niet als klant te identificeren. De informatie die we verzamelen bij het gebruik van onze webpagina kan in sommige gevallen worden gecombineerd met informatie uit uw eerdere klantenrelaties.
Door onze webpagina's te gebruiken zonder de functie voor het gebruik van cookies uit te schakelen, accepteert u het gebruik van cookies door ABAX.

Hoe cookies te vermijden

Als u het opslaan van cookies op uw computer niet wilt toestaan, kunt u deze functie uitschakelen in uw browser. Houd er rekening mee dat dit effect kan hebben op de functionaliteit van de website (www.abax.com/nl) en andere webpagina's.
U kunt cookies verwijderen door de instructies voor het wissen van cookies in uw browser te volgen.
Als u cookies wilt toestaan, maar tegelijkertijd toegang wilt tot wat we daadwerkelijk opslaan, kunt u een aanvulling op uw browser installeren: www.ghostery.com
Privacy op www.abax.com/nl

Gebruik van analyses

Op www.abax.com/nl registreren we de volgende informatie over u:
• Uw positie door gebruik te maken van het IP-adres, gegevens over positionering en dergelijke
• Uw elektronische sporen, bijv. welke webpagina's u bezoekt en welke producten u heeft besteld
• Technische informatie over uw webbrowser en besturingssysteem
Informatie over uw gedrag op onze webpagina's wordt gebruikt voor de volgende doeleinden:
• Analytische doeleinden
• Persoonlijke aanpassing op de webpagina
• Klantenservice
• Marketing
We gebruiken Google Analytics voor het analyseren van het verkeer op onze webpagina en aanvullende webpagina's die we hebben. Als u niet wilt dat Google Analytics informatie over u verzamelt, bezoekt u deze pagina: Google Analytics
(https://tools.google.com/dlpage/gaoptout?hl=nl)

Er kan contact met u opgenomen worden

Als u een handleiding voor een product op onze webpagina gebruikt, kunnen we wegens verkoopdoeleinden contact met u opnemen.

Persoonlijke profielen

Bij ABAX gebruiken we in sommige gevallen persoonlijke profielen om onze aanbiedingen af te stemmen. Een persoonlijke profiel omvat een verzameling van informatie die we van u hebben ontvangen. Voorbeelden van persoonlijke informatie zijn; naam, adres, diensten die u gebruikt en informatie over verkeer en/of andere persoonlijke informatie die u heeft vermeld. Wij informeren u als wij persoonlijke profielen gebruiken voor marketing.

Data protection Officer

Bij ABAX is Christine Blomquist de Data Protection Officer. Als u vragen heeft aangaande het verwerken van persoonsgegevens, dan kunt u gerust contact met haar opnemen via: dpo@abax.no
Voor meer informatie verwijs ik u naar de wetgeving van de overheid m.b.t de verwerking van persoonsgegevens: https://autoriteitpersoonsgegevens.nl/nl/onderwerpen/avg-nieuwe-europese-privacywetgeving