Gegevensbeveiliging & veiligheid

  • Het tolsysteem voor vrachtwagens is een soevereine taak van de Bondsrepubliek Duitsland, vertegenwoordigd door de Duitse rijksdienst voor goederenverkeer (BAG). Als exploitant van het tolsysteem is Toll Collect een aannemer van de BAG. In deze wettelijk vastgelegde rol geeft Toll Collect uitvoering aan de eisen van de Duitse vrachtwagentolverordening (BFStrMG) en de Duitse vrachtwagentolverordening (LKW-MautV) en aan de wet op de gegevensbescherming (Bundesdatenschutzgesetz). De BAG kan als opdrachtgever eisen stellen aan de uitvoering en instructies geven.

    In dit kader is als onderdeel van de aanbesteding al een concept voor gegevensbescherming en -beveiliging ontwikkeld, dat sindsdien met de ontwikkeling van het systeem is geactualiseerd en gespecificeerd. Dit gegevensbeschermingsconcept wordt voortdurend gecoördineerd met de BAG en de Duitse autoriteit voor gegevensbescherming als bevoegde toezichthoudende autoriteit. Het vormt de basis voor de uitvoering van de gegevensbeschermingsvoorwaarden in het operationele bedrijf.

    De toestemming voor de gegevensverwerking voor het tolsysteem is voornamelijk afgeleid van de BFStrMG en de LKW-MautV. De regelgeving staat echter niet alleen de verwerking van gegevens toe, maar schrijft ook een strikte beperking van het doel en korte termijnen voor het wissen van gegevens voor de exploitant voor. Toll Collect verwerkt gegevens met het oog op de toepassing van het tolsysteem alleen binnen het kader van deze wettelijke toestemming. Alleen de gegevens die in § 4 lid 3, § 7 lid 2 en § 8 BFStrMG en in de LKW-MautV wettelijk zijn opgenomen, worden geregistreerd. Deze gegevens worden door de exploitant als soevereine vertegenwoordiger van de BAG strikt en in overeenstemming met de voorschriften inzake gegevensbescherming uitsluitend voor de wettelijk vastgelegde doeleinden van de tolheffing verwerkt.

  • De registratie van de voertuigen bij de controlebrug gebeurt precies binnen het kader van de specificaties van de wetgever. De BFStrMG staat op grond van § 7 lid 2 onder andere toe foto's van het voertuig te maken en het kenteken te verzamelen met het oog op de controle van de bepalingen van de tolwet. Overeenkomstig § 9 lid 5 BFStrMG moeten deze gegevens onmiddellijk na de controleprocedure worden gewist als het voertuig niet tolplichtig is. Toll Collect verwerkt foto's van voertuigen en kentekengegevens alleen binnen het kader van het vermelde wettelijke doel en de verwijderingsvoorschriften. De bestuurders zijn niet herkenbaar op de foto's. Bovendien wordt bij voertuigen die niet aan de tolheffing zijn onderworpen en waarbij uit de meting is gebleken dat ze niet tolplichtig zijn, de gemaakte afbeelding niet beoordeeld aan de hand van het kenteken, maar wordt deze onmiddellijk verwijderd.

  • Alleen de geregistreerde klant ontvangt van Toll Collect informatie over welk traject de vrachtwagen op welk tijdstip heeft afgelegd en welk tolbedrag de klant moet betalen. Het is voor derden niet mogelijk om bewegingsprofielen aan te maken, omdat alleen BAG en Toll Collect GmbH toegang hebben tot de factuurgegevens. Op het rekeningoverzicht staat alleen het starttijdstip van elke gefactureerd traject vermeld. Op basis hiervan kan geen wettelijk bruikbare gemiddelde snelheid worden vastgesteld. Het voertuigtoestel verzamelt geen gegevens over de snelheid en de lading van de vrachtwagen.

  • Toll Collect GmbH heeft voor het tolsysteem een uitgebreid en integraal concept voor gegevensbescherming en -beveiliging ontwikkeld. De technische maatregelen komen overeen met de stand van de techniek op het gebied van veiligheidstechniek en worden voortdurend verder ontwikkeld.

    Voor alle onderdelen werd een analyse van de beschermingsvereisten uitgevoerd in overeenstemming met het handboek IT-Grundschutz van het Duitse overheidsbureau voor informatiebeveiliging (BSI), waarbij rekening werd gehouden met de risico's voor de beschikbaarheid, de integriteit en de vertrouwelijkheid. De te verwerken gegevens moeten worden geclassificeerd op basis van hun gevoeligheid en de technische en organisatorische voorzorgsmaatregelen die met het classificatieschema overeenkomen, moeten worden nageleefd.

    Op basis van dit veiligheidsconcept worden er beveiligingsmaatregelen voor persoonsgegevens getroffen om te voorkomen dat deze voor onbevoegde doeleinden worden gebruikt of aan onbevoegden worden doorgegeven.

    Persoonsgegevens worden alleen doorgegeven in de berichten en in de mate die nodig is voor de uitvoering van de taken van het tolsysteem zoals vastgelegd in de wet of in het contract met de tolklant. Het beveiligingsconcept houdt er rekening mee dat de communicatie (SMS of GPRS) plaatsvindt via openbare netwerken. Ter bescherming tegen onbevoegde toegang door derden worden de berichten van het voertuigtoestel aan de centrale van Toll Collect daarom gecodeerd met behulp van een eigen coderingsmethode. Bovendien moeten de communicatiepartners zich authentificeren. Er wordt altijd een gesloten veiligheidsketen (end-to-end) met cryptografische functies opgezet om te voorkomen dat gegevens worden gemanipuleerd en dat informatie wordt 'afgeluisterd'.

    Het is niet mogelijk om de gegevens van het voertuigtoestel door middel van een telefoonverbinding te lezen. De aangepaste SIM-kaarten worden uitsluitend gebruikt voor datacommunicatie. Spraakcommunicatie is niet mogelijk. Alleen geautoriseerde servicewerkplaatsen hebben de mogelijkheid om de eindapparaten te onderhouden. Om de gegevens van het voertuigtoestel te kunnen lezen zijn toegangscodes nodig die niet aan derden worden verstrekt. Als er wordt geprobeerd met een voertuigtoestel te knoeien of als het wordt gestolen en vervolgens opnieuw wordt geïnstalleerd, wordt dit door de controletechniek gedetecteerd.

    Er is een gegevensbeschermings- en beveiligingsorganisatie opgericht met gegevensbeschermings- en beveiligingscoördinatoren op specifieke operationele gebieden. Analyses van beschermingseisen en maatregelen worden gedocumenteerd in een database en ter beschikking gesteld aan de verantwoordelijke medewerkers in de gegevensbeschermings- en beveiligingsorganisatie.

    Het tolsysteem voor vrachtwagens wordt volgens een hoge veiligheidsstandaard bediend met een veiligheidsorganisatie die snel kan reageren op veiligheidsincidenten. De afdelingen gegevensbescherming en gegevensbeveiliging werken hier nauw samen.

  • De verwerking van ritgerelateerde gegevens in het kader van de Duitse wegenverkeerswet betreffende de tol op rijkswegen (BFStrMG) is geen verwerking in de zin van de algemene verordening gegevensbescherming (AVG). Toll Collect verwerkt de ritgerelateerde gegevens van tolklanten in het kader van de tolheffing als een onafhankelijke verantwoordelijke partij in overeenstemming met de geldende voorschriften inzake gegevensbescherming. De juridische grondslag voor de verwerking vloeit voort uit § 4 lid 3 pag. 3 BFStrMG. Deze bepaling stelt de exploitant in staat om ritgerelateerde gegevens te verwerken met het oog op de exploitatie van het tolheffingssysteem.

Meer aanbevelingen

Nieuwsbrief

Met onze nieuwsbrief feed bent u altijd goed op de hoogte van Toll Collect en de tol voor vrachtwagens.

Nu abonneren op nieuwsbrief