Havenbeheerders zijn geïnteresseerd in de mogelijkheden om binnenhavengeld te kunnen innen met gebruikmaking van AIS-gegevens. Voor zowel de gebruikers als de beheerders zijn optimalisatie van processen en verbeteringen in de bedrijfsvoering denkbaar. De NVB is ervan overtuigd dat bundeling en digitalisering van beschikbare informatie noodzakelijk zijn voor nog efficiënter gebruik van de Nederlandse haveninfrastructuur en de binnenvaart. Eerder publiceerde de NVB dit artikel over de vraag of inning van binnenhavengelden met AIS-informatie is toegestaan. Het gebruik van dergelijke gegevens kent wettelijke grenzen, zo blijkt ook uit recent gepubliceerde onderzoeksresultaten van juridisch adviesbureau Considerati. In opdracht van het ministerie van Infrastructuur en Milieu[1] is onderzoek gedaan naar het gebruik van de AIS-informatie en de mogelijke schendingen van de privacy als gevolg van dit gebruik, zowel door vaarwegbeheerders als door andere partijen. In dit artikel heeft de NVB samengevat wat op hoofdlijnen de onderzoeksbevindingen zijn.
AIS-verplichting
Voor de beroepsvaart op de Rijn geldt sinds 1 december 2014 en op de Nederlandse binnenwateren vanaf 1 januari 2016 een AIS-verplichting[2] Invoering van AIS in de binnenvaart is een gevolg van Europese regels van River Information Services (RIS). Dit staat voor een geharmoniseerd informatienetwerk op en rond het water in de Europese Unie. Zo is er door vaarwegbeheerders besloten tot invoering van automatisch melden en volgen op de vaarweg. De wetgever heeft bij de implementatie van de RIS richtlijn 2005/44 EG besloten om hiervoor AIS-apparatuur te gebruiken.[3]
Wet bescherming persoonsgegevens
Bij het gebruik van AIS worden signalen uitgezonden die niet beveiligd of versleuteld zijn. Het is een systeem dat niet privacy-vriendelijk is. Vanwege het feit dat een binnenvaartschip onlosmakelijk is verbonden met de schipper zelf, zijn bepaalde gegevens die via AIS worden verzonden persoonsgegevens. De Wet bescherming persoonsgegevens (Wbp) is dan ook van toepassing op het verwerken hiervan.
| De Wet bescherming persoonsgegevens is van toepassing op het verwerken AIS-gegevens. Elke verwerking van persoonsgegevens moeten gebaseerd zijn op één van de rechtsgrondslagen, genoemd in artikel 8 van deze wet: toestemming, uitvoering van een contract, wettelijke plicht, vitaal belang, publiekrechtelijke taak en gerechtvaardigd belang. Wanneer dit niet het geval is mogen de persoonsgegevens niet worden verwerkt. |
Wanneer er een gerechtvaardigd doel is moet ook worden voldaan aan de materiële eisen van de wet. Denk aan bewaartermijnen, beveiliging, transparantie en rechten van betrokkenen.
Vaarwegbeheerders en AIS-gegevens
Verschillende organisaties zijn aangewezen als bevoegde autoriteiten in het kader van de Scheepvaartverkeerswet en mogen dus AIS-gegevens verwerken op basis van de wet en het besluit. Het beheer van de scheepvaartwegen is in Nederland belegd bij verschillende bestuursorganen, zoals Rijkswaterstaat, de provincies, de gemeenten en/of een ander openbare lichamen als havenmeesters en waterschappen.[4]
Vaarwegbeheerders voeren hun taken uit in het belang van de veiligheid en het vlotte verloop van het scheepvaartverkeer.[5] Hierbij is het mogelijk om gegevens met betrekking tot de scheepvaart te ontvangen, bewaren en verstrekken. Een vaarwegbeheerder moet zich altijd afvragen of de AIS-gegevens die hij ontvangt of verstrekt noodzakelijk zijn voor de uitoefening van zijn publiekrechtelijke taak of dat er een andere rechtsgrondslag van toepassing is.
| Vaarwegbeheerders mogen de persoonsgegevens die door AIS-apparaten worden uitgezonden - voor het doel van verkeersmanagement - verwerken op basis van hun publiekrechtelijke taak. [6] |
Wat is verkeersmanagement?
Juridisch adviesbureau Considerati concludeert dat onduidelijk is wat er precies onder de taak van verkeersmanagement valt. Hierover zijn verschillende meningen en het is zaak hier meer helderheid over te geven. Ook is het van belang om duidelijke bewaartermijnen vast te stellen en om deze ook na te leven. Daarnaast moet worden vastgesteld of AIS-gegevens allemaal ongewijzigd opgeslagen moeten worden, of dat ze geanonimiseerd dienen te worden opgeslagen. Dit hangt af van het doel van de verdere verwerking.
Havenmeesters en AIS
De havenmeester is in dienst bij de overheid en is belast met het toezicht op het veilig en economisch gebruik van een haven. Bovendien is het mogelijk dat de havenmeester toezicht houdt op de vaarwegen die tot de haven leiden. Havenmeesters worden door de gemeente aangewezen en vallen daarmee onder de Scheepvaartverkeerswet.[7]
Bij commerciële havenbedrijven kan het, vanwege de vermenging van het publieke karakter met de commerciële kant van het Havenbedrijf, onduidelijk zijn wie de AIS-gegevens verwerkt. Wanneer een particulier havenbedrijf de AIS-gegevens voor de havenmeester bewerkt, is de havenmeester verantwoordelijke in de zin van de Wbp en het havenbedrijf bewerker ten behoeve van de havenmeester. Het is daarbij van belang dat het havenbedrijf deze gegevens niet voor andere doeleinden gaat gebruiken, en daarmee zelf verantwoordelijke voor de gegevens wordt, maar dat het havenbedrijf zich aan de aanwijzingen van de havenmeester houdt.
AIS-gegevens voor ligplaatsbeheer en inning van havengelden
AIS-gegevens kunnen nuttig zijn en bijvoorbeeld worden gebruikt voor het ligplaatsbeheer in een haven. Om de AIS-gegevens voor dit doel te mogen ontvangen is een wettelijke grondslag nodig. Het is mogelijk dat het havenbedrijf de toestemming van de schipper vraagt om diens gegevens voor bijvoorbeeld ligplaatsbeheer in de haven te gebruiken. Daarnaast zou de haven een gerechtvaardigd belang kunnen hebben om de AIS-gegevens voor ligplaatsbeheer te kunnen gebruiken.[8] In dat geval kunnen de AIS-gegevens worden verstrekt als dat noodzakelijk is voor de behartiging van een gerechtvaardigd belang van het havenbedrijf. Daarbij moet worden afgewogen of de rechten van de schipper, in het bijzonder diens recht op bescherming van zijn persoonlijke levenssfeer, prevaleert.
| AIS-gegevens kunnen niet alleen worden gebruikt ter uitoefening van de publiekrechtelijke taak van vaarwegbeheer, maar ook voor andere doeleinden, bijvoorbeeld voor het innen van havengeld. Dit mag alleen als dit gebruik verenigbaar is met het doel van vaarwegbeheer en wanneer hier een aparte rechtsgrondslag voor bestaat. |
Interpretatie verkeersmanagement
Het doel van de Nederlandse implementatie van AIS is verkeersmanagement. Het gebruik van AIS levert een belangrijke bijdrage aan zowel de veiligheid als de doeltreffendheid van het vervoer over de binnenwateren. De invoering van AIS heeft onder meer tot doel de planning en het beheer van het verkeer en het vervoer op de binnenwateren te ondersteunen.
Er is veel discussie wat onder de reikwijdte van verkeersmanagement valt. Een ruime interpretatie zou de mogelijkheid bieden om AIS-gegevens te gebruiken voor corridormanagement. Denk aan verbetering van de dienstverlening door de vaarweg- en havenbeheerders. Op basis van AIS-gegevens zouden schippers geadviseerd kunnen worden over de te varen route, de aan te houden snelheid en de planning van de reis.
Mogen havengelden worden geïnd op basis van AIS-gegevens?
Kan en mag verkeersmanagement zo ruim worden geïnterpreteerd dat bijvoorbeeld ligplaatsbeheer in havens en heffing van havengelden binnen de reikwijdte valt?
| Onduidelijk is wat er nog onder de publiekrechtelijke taak van verkeersmanagement valt. Er bestaat dan ook onduidelijkheid over de vraag of het gebruik van de AIS-gegevens voor bijvoorbeeld de heffing van havengelden nieuwe doelen betreft of dat het nog onder hetzelfde doel valt. Het gevolg hiervan is dat het niet altijd duidelijk is op basis van welke grondslag de gegevens verwerkt worden en of dit wel is toegestaan. |
Als er onduidelijkheid is of de verwerkingen allemaal nog binnen het doel passen of dat er sprake is van een ander doel, dan is de vervolgvraag of dit andere doel verenigbaar is of niet. Indien het verenigbaar is, mogen de gegevens in principe voor dit nieuwe doel worden verder verwerkt, mits er ook voor dit nieuwe doel een rechtsgrondslag bestaat. Dit zal per geval bepaald moeten worden.
Algemene verordening gegevensbescherming
In het voorjaar van 2016 is de Algemene verordening gegevensbescherming (Avg) gepubliceerd. In deze Algemene verordening gegevensbescherming, die per 25 mei 2018 van toepassing zal zijn, zal het niet meer nodig zijn om een nieuwe grondslag voor de verdere verenigbare verwerking te hebben. Niettemin moet wel worden bepaald of het doel verenigbaar is.
De Europese wetgever heeft in de Avg enkele indicatoren opgenomen aan de hand waarvan bepaald moet worden of een gegeven verder verwerkt wordt voor een verenigbaar doel als waarvoor de gegevens aanvankelijk zijn verzameld. De verantwoordelijke zal onder meer rekening moeten houden met:
- Het verband tussen het doel waarvoor de AIS-gegevens in eerste instantie verzameld zijn;
- Het doel waarvoor de verantwoordelijke de AIS-gegevens nu wil verwerken;
- Het kader waarin de AIS-persoonsgegevens zijn verzameld. Hierbij weegt met name de verhouding tussen de schipper en de verantwoordelijke mee;
- De aard van het AIS-persoonsgegeven. Hierbij speelt de vraag mee of bijzondere persoonsgegevens worden verwerkt. Zoals aangegeven maken locatiegegevens onderdeel uit van AIS-gegevens. Deze gegevens worden door de Autoriteit Persoonsgegevens als gevoelige persoonsgegevens bestempeld;
- De mogelijke gevolgen van de voorgenomen verwerking voor de schipper moeten worden meegewogen. Daarbij speelt mee dat de vermoedelijke locatie van de schipper, diens familie en diens woning continu wordt gevolgd;
- Of er passende waarborgen bestaan, bijvoorbeeld of er sprake is van versleuteling of pseudonimisering van de AIS-gegevens.[9]
Wanneer vastgesteld wordt dat de verdere verwerking van AIS-gegevens niet geschiedt op basis van een verenigbaar doel, dan mogen de gegevens niet verder worden verwerkt.
Private organisaties en AIS
Buiten de vaarwegbeheerders kunnen particuliere of private organisaties AIS-gegevens ontvangen. Deze private partijen moeten een doel en een grondslag hebben om deze gegevens te mogen verwerken. Alleen bestuursorganen kunnen een beroep doen op de verwerkingsgrondslag die gevonden wordt in de publiekrechtelijke taak.[10] AIS-gegevens kunnen door organisaties ook verwerkt worden op grond van een wettelijke plicht.[11]
|
Op het moment dat een organisatie persoonsgegevens verwerkt, ongeacht of de AIS-gegevens zelf of met een ontvanger worden verzameld, is deze organisatie verantwoordelijke in de zin van de Wbp en moet de organisatie voldoen aan de vereisten in de wet. De organisatie moet dan ook een rechtsgrondslag hebben als bedoeld in artikel 8 van de Wet bescherming persoonsgegevens.
Organisaties zonder publiekrechtelijke taak moeten voor de verwerking van AIS-gegevens aansluiting zoeken bij een andere grondslag in de Wet bescherming persoonsgegevens. Eén van deze grondslagen zou de toestemming van de schipper kunnen zijn. Als de persoonsgegevens zonder grondslag worden verwerkt, is de verwerking in strijd met de Wet bescherming persoonsgegevens. |
De schipper moet op basis van voldoende en duidelijke informatie zijn keuze kunnen maken en ondubbelzinnig toestemming verlenen voor het gebruik van AIS-gegevens. Het moet de schipper vrij staan om toestemming te weigeren en hij moet zijn toestemming altijd kunnen intrekken.
Verdere verwerking van AIS-gegevens
Onder de Wbp is het niet mogelijk om ‘eigenaar’ van gegevens te zijn. Eigenaar kan men namelijk alleen zijn van goederen, zaken en vermogensrechten. Een persoonsgegeven is geen goed, men kan hier dus geen eigenaar van zijn. Het gaat er om of de organisatie in kwestie een legitiem doel heeft en of er een rechtsgrondslag is om de gegevens te mogen verwerken. Een voorbeeld is wanneer de schipper de AIS-gegevens aan het havenbedrijf ter beschikking stelt zodat dit bedrijf een ligplaats voor hem kan reserveren.
Wanneer er een rechtsgrondslag is om de AIS-gegevens te mogen verwerken betekent dit niet dat partijen vervolgens zelf mogen bepalen waarvoor de gegevens verder worden verwerkt. Voor het verder verwerken van gegevens is de Wbp nog steeds leidend en moet bepaald worden op basis van welke grondslag de persoonsgegevens voor andere doelen mogen worden gebruikt en eventueel beschikbaar mogen worden gesteld aan anderen. En of deze verdere verwerking verenigbaar is met het oorspronkelijke doel.
Politie en justitie en AIS-gegevens
In verband met de opsporing kunnen politie en justitie de AIS-gegevens vorderen van ontvangers van AIS-gegevens. Dit blijkt uit artikel 9 lid 1 sub c Besluit meldingsformaliteiten en gegevensverwerkingen scheepvaart. Volgens dit artikel moet een ontvanger van AIS-gegevens deze gegevens verstrekken aan ambtenaren die op grond van artikel 141 Wetboek van Strafrecht belast zijn met de opsporing van strafbare feiten. Er moet wel gericht naar deze gegevens gevraagd zijn.
De handhaving door publieke organisaties zoals RWS, de Inspectie Leefomgeving en Transport, de lokale vaarwegbeheerders en de politie moeten vallen binnen het oorspronkelijke doel waarvoor de AIS-gegevens zijn verzameld valt, namelijk verkeersmanagement. Wanneer dit niet het geval is, zal moeten worden bepaald of er sprake is van een verenigbaar doel is en zo ja, op basis van welke grondslag de verwerking mag geschieden.
In een (verlopen) convenant tussen de overheid en binnenvaartbrancheorganisaties was bepaald dat AIS-gegevens niet voor handhavingsdoeleinden mogen worden gebruikt. Op dit moment lijken alle partijen te beamen dat de gegevens hier (nog) niet voor worden gebruikt, maar omdat het convenant verlopen is en geen nieuw convenant bestaat, is het de vraag hoe lang dit nog de situatie zal zijn.
Mocht het gebeuren dat AIS-gegevens ook voor toezicht- en handhavingsdoeleinden gebruikt mogen worden, is het wel zaak dat helder uit de grondslag blijkt dat dit inderdaad mag, bijvoorbeeld door een aanpassing van de wetgeving, aldus juridisch adviesbureau Considerati.
AIS-gegevens te gebruiken in de logistieke keten
De Nederlandse wetgever lijkt in de implementatie van de RIS-Richtlijn geen ruimte te laten om transporteurs vanuit logistiek oogpunt AIS-gegevens te laten ontvangen. Dit in tegenstelling tot de RIS-Richtlijn, waarin staat dat RIS weliswaar geen betrekking heeft op commerciële activiteiten maar hier wel aan gekoppeld kunnen worden.[12]
[1] Directoraat-generaal Bereikbaarheid.
[2] Conform Artikel 4.07 van het Rijnvaartpolitiereglement en artikel 4.07 van het Binnenvaartpolitiereglement.
[3] Deze apparatuur is voorgeschreven in Verordening 415/2007.
[4] Zie artikel 2 lid 1 sub a Scheepvaartverkeerswet
[5] Zie artikel 3 lid 1 sub a Scheepvaartverkeerswet
[6] Zie artikel 8 sub e Wbp
[7] Zie artikel 2 lid 1 sub a onder 3 van de Scheepvaartverkeerswet
[9] Art. 6 lid 4 sub a tot en met e en Overweging 50 Avg
[12] Zie artikel 3 sub a van de RIS-Richtlijn