Eerder schreef ik over datalekken bij de Rijksdienst voor het Wegverkeer (RDW) en over de vragen die leden van de Tweede Kamer stelden. Op 14 augustus jl. zijn die vragen door de Minister van Infrastructuur en Waterstaat beantwoord. Er blijkt niet veel meer uit dan dat de RDW allerlei maatregelen heeft genomen en het onderzoek naar de datalekken nog gaande is.
Ontvangers van persoonsgegevens
Het RDW verstrekt persoonsgegevens van kentekenhouders aan een groot aantal partijen, zowel bij de overheid als privaat. Voor de verstrekking is, aldus de Minister, een wettelijke grondslag. Als ontvangers worden genoemd:
- de politie
- het Centraal Justitieel Incasso Bureau
- de Belastingdienst
- gemeenten
- curatoren en bewindvoerders
- verzekeraars
- advocaten
- auto-importeurs
- buitenlandse autoriteiten en internationale organisaties
Bij een dergelijk groot aantal ontvangers, zijn de cybersecurity risico’s groot en zal de oorzaak van de datalekken moeilijk te achterhalen zijn.
Zie over de ontvangers van persoonsgegevens uit het kentekenregister onder meer het antwoord op vraag 3 van Stoffer:
De RDW verstrekt gegevens uit het kentekenregister aan overheidsorganen voor de uitvoering van hun publieke taken. Het register is een basisregistratie en moet daarom door overheden voor wat betreft de authentieke gegevens verplicht geraadpleegd worden. De kaders voor de gegevensverstrekking en het gebruik liggen vast in de wegenverkeerswetgeving en in algemene wetgeving zoals de Algemene wet bestuursrecht, de Wet openbaarheid van bestuur en de Algemene verordening gegevensbescherming. Voor de verstrekking moet onderscheid worden gemaakt tussen overheidsorganen en aangewezen personen of organisaties met een publieke taak enerzijds en beroepsbeoefenaren anderzijds.
Voor wat betreft overheidsorganen als bedoeld in artikel 41a, eerste lid, onderdeel a, van de Wegenverkeerswet 1994, zoals de politie, het Centraal Justitieel Incasso Bureau, de Belastingdienst en gemeenten respectievelijk aangewezen personen of instanties die publieke taken uitvoeren als bedoeld in artikel 41a, tweede lid, van de Wegenverkeerswet 1994, zoals curatoren en bewindvoerders gaat de RDW voorafgaande aan de verstrekking na of er inderdaad sprake is van een overheidsorgaan of een aangewezen persoon of instantie. Na de gegevensverstrekking houdt de RDW geen toezicht op het gebruik van de gegevens. Het overheidsorgaan of de aangewezen persoon of instantie met een publieke taak is zelf verantwoordelijk voor het juiste gebruik.
Ten aanzien van verstrekkingen aan beroepsbeoefenaren is in de Wegenverkeerswet 1994 vastgelegd aan welke beroepsbeoefenaren en voor welk doel de RDW persoonsgegevens mag verstrekken. Het gaat dan om door de Minister van IenW aangewezen beroepsbeoefenaren, zoals verzekeraars voor schadeafwikkeling, advocaten voor het voeren van gerechtelijke procedures en auto-importeurs alleen voor de uitvoering van terugroepacties. De RDW houdt toezicht op deze doelbinding. Deze organisaties moeten zelf in het kader van de Algemene verordening gegevensbescherming passende technische en organisatorische maatregelen treffen om de verkregen persoonsgegevens te beschermen. In het jaarverslag van de RDW is de lijst opgenomen van het aantal informatieverstrekkingen onderverdeeld naar categorie. Verstrekking kan daarnaast ook onder bepaalde voorwaarden plaatsvinden aan buitenlandse autoriteiten en internationale organisaties. Dan gaat het onder meer om met de registratie van voertuigen belaste autoriteiten en autoriteiten die zijn belast met de handhaving van verkeersregels en de opsporing van verkeersovertredingen.
Meer informatie:
- Antwoord op de vragen van lid van de Tweede Kamer, Van Aalst
- Antwoord op de vragen van lid van de Tweede Kamer, Stoffer
- Antwoord op de vragen van lid van de Tweede Kamer, Dijkstra
- In 2000 moest de Autoriteit Persoonsgegevens nog uitleggen dat het kentekenregister persoonsgegevens bevat… Lees: De registers van de RDW bevatten persoonsgegevens, 17 juli 2000
Ellen Timmer - juridische artikelen en berichten 