LegalizeVerstrekkings- en gebruikersvoorwaarden voor nationale aanvragers en ontvangers van informatie via het Europees voertuig- en rijbewijs-informatiesysteem (EUCARIS) 2023
Gelet op de, door de General Assembly van EUCARIS als bedoeld in artikel 19 van het Verdrag in 2018 besproken en op de jaarlijkse vergadering in 2019 door EReg vastgestelde, principes voor internationale gegevensuitwisseling, treedt de Dienst Wegverkeer (RDW) voor de uitwisseling van voertuig- en rijbewijsgegevens via het systeem EUCARIS als nationaal contactpunt op van Nederland. Uit dien hoofde is de RDW belast met het aansluiten van nationaal bevoegde autoriteiten uit Nederland op EUCARIS en het uitwisselen van informatie met andere nationale contactpunten en nationaal bevoegde autoriteiten uit Nederland op basis van Europese verdragen, richtlijnen of nationale wetgeving.
Aanvragen om informatie van Nederlandse nationaal bevoegde autoriteiten en verstrekkingen van informatie via EUCARIS aan Nederlandse nationaal bevoegde autoriteiten, vinden plaats conform de doeleinden en voorwaarden genoemd in de van toepassing zijnde internationale en nationale wet- en regelgeving en deze voorwaarden. Iedere Nederlandse nationaal bevoegde autoriteit die informatie aanvraagt via EUCARIS conformeert zich aan deze voorwaarden.
Hoofdstuk 1. Algemene bepalingen
Artikel 1. Definities
In dit besluit wordt verstaan onder:
- Aanvraag om informatie: het verzoek van een aanvrager om informatie uit het register van een buitenlandse partij.
- Aanvrager: de nationaal bevoegde autoriteit die RDW verzoekt om informatie en/of gegevens via EUCARIS ter beschikking te stellen.
- Algemene verordening gegevensbescherming of AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
- Betrokkene: de natuurlijke persoon of rechtspersoon over wie de aanvrager informatie opvraagt.
- Derde: niet-overheidsinstelling, die namens een nationaal bevoegde autoriteit de informatie, die via EUCARIS is uitgewisseld, mag gebruiken.
- EUCARIS: European CAR and driving licence Information System, een internationale verdragsorganisatie en tevens informatie-uitwisselingsplatform voor mobiliteit en transportgerelateerde informatie. Het platform wordt gebruikt als gesloten systeem voor verschillende toepassingen. Informatie-uitwisseling via de betreffende services is gebaseerd op verschillende rechtsgrondslagen. Sommige toepassingen zijn gebaseerd op het wettelijk kader van de EU, andere zijn gebaseerd op bilaterale of multilaterale overeenkomsten en verdragen.
- Informatie: de gegevens die via EUCARIS uit de respectievelijke nationale registers van een partij kunnen worden opgevraagd.
- Nationaal bevoegde autoriteit: overheidsinstelling die bevoegd is de informatie, die via EUCARIS is uitgewisseld, te gebruiken.
- Nationaal contactpunt (NCP): de instantie die voor een partij als nationaal contactpunt optreedt voor het verwerken van inkomende en uitgaande aanvragen om informatie. RDW treedt voor Nederland op als nationaal contactpunt.
- Nationale voorschriften: alle wettelijke en administratieve voorschriften van een partij ten aanzien van de betreffende uit te wisselen informatie via EUCARIS.
- Ontvanger: de nationaal bevoegde autoriteit waaraan, door RDW, gegevens uit het register van een partij beschikbaar worden gesteld.
- Partij: een land dat is aangesloten op EUCARIS.
- Persoonsgegevens: alle informatie over een bepaalde of identificeerbare persoon als bedoeld in artikel 4, eerste lid van de Algemene Verordening Gegevensbescherming (AVG).
- RDW: De Dienst Wegverkeer als bedoeld in artikel 4a, eerste lid van de Wegenverkeerswet 1994;
- Register: het register of de registers waarin een partij gegevens bijhoudt en dat/die door die partij wordt/worden ontsloten ten behoeve van de uitwisseling van informatie via EUCARIS.
- Verdrag: het Verdrag betreffende een Europees voertuig- en rijbewijsinformatiesysteem (EUCARIS), Luxemburg, 29-06-2000.
Artikel 2. Werkingssfeer
Deze voorwaarden zijn van toepassing op alle Nederlandse aanvragers en ontvangers van informatie, waarbij de aanvraag om informatie en verstrekking daarvan via RDW verloopt met gebruikmaking van EUCARIS. Deze voorwaarden zijn van toepassing en in aanvulling op, en dienen ter nadere uitwerking van, de bepalingen die gelden voor het aanvragen en gebruiken van informatie uit het Verdrag en uit andere relevante EU- en internationale wetgeving (waaronder bijv. EU-Richtlijnen en -Verordeningen en bilaterale en multilaterale overeenkomsten), alsmede relevante nationale wet- en regelgeving en de aanwijzingsbeschikkingen van de minister.
Hoofdstuk 2. Algemene voorwaarden aansluiten en gebruik gegevens
Artikel 3. Aanvraag om informatie
De aanvraag om informatie vindt plaats conform de daarvoor geldende doeleinden en voorwaarden genoemd in de van toepassing zijnde internationale wet- en regelgeving, nationale voorschriften waarop de aanvraag om informatie betrekking heeft en deze voorwaarden.
Artikel 4. Aansluitvoorwaarden
De RDW behoudt zich het recht voor om:
- a. de identiteit van de aanvrager vast te stellen, hetzij periodiek of bij twijfel, door het verzoek tot overlegging van bescheiden, zoals, maar niet beperkt tot, relevante correspondentie tussen alle autoriteiten en/of instanties die zijn betrokken (geweest) bij de aansluiting van de aanvrager op EUCARIS;
- b. deze voorwaarden aan te passen aan gewijzigde wet- en regelgeving.
Artikel 5. Rechtmatigheid
Een aanvraag om informatie en een verstrekking van informatie moet een grondslag hebben in nationale en/of internationale wet- en regelgeving. De aanvrager conformeert zich bij het doen van een aanvraag om informatie aan de doelbinding op basis waarvan RDW de aanvrager heeft aangesloten op EUCARIS.
Artikel 6. Gebruik van de ontvangen informatie
De ontvanger is gehouden tot een zorgvuldig gebruik van de aan hem verstrekte informatie en gebruikt deze uitsluitend ter verwezenlijking van de doelstellingen als genoemd in de betreffende internationale wet- en regelgeving, alsmede in overeenstemming met de nationale voorschriften van Nederland, tenzij de betreffende wetgeving striktere bepalingen dienaangaande bevat.
Indien de verstrekte informatie persoonsgegevens bevat, dient de ontvanger er op toe te zien dat het belang en de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer in het kader van de AVG, met inbegrip van wetgeving tot wijziging of vervanging van de AVG, niet onevenredig wordt geschonden.
Ieder ander gebruik door de ontvanger van de aan hem verstrekte informatie anders dan in het eerste lid bepaald, is niet toegestaan.
Artikel 7. Het laten uitvoeren van taken door derden
De aanvrager respectievelijk ontvanger blijft onverkort verantwoordelijk voor alle handelingen die een derde in zijn opdracht uitvoert richting RDW en/of met van RDW via EUCARIS verkregen gevoelige gegevens.
De aanvrager respectievelijk ontvanger blijft onverkort verantwoordelijk voor alle handelingen die een door hem ingeschakelde derde uitvoert met door RDW aan hem verstrekte beveiligingsmiddelen In dit verband is de separate documentatie van RDW met voorwaarden over het gebruik van RDW-certificaten onverkort van toepassing.
Gegeven de feitelijke technische inrichting, mag het gerealiseerde beveiligingsniveau in de gehele keten RDW, ontvanger en derden nooit lager worden dan indien de ontvanger zonder derden zou werken. Dit geldt voor de gehanteerde beveiligingsmiddelen en de beveiliging van de verbindingen en opgeslagen gegevens.
De ontvanger dient met derden afspraken te maken dat ook die derden hun medewerking verlenen bij de signaleringsfunctie vanuit RDW, zoals bedoeld in artikel 8.
Van RDW via EUCARIS verkregen gevoelige gegevens mogen nooit – dus ook niet bij het inschakelen van derden (inclusief cloudleveranciers) – buiten EU-landen getransporteerd en/of opgeslagen worden.
De ontvanger maakt afspraken met derden zodat (medewerkers van) die derden alleen toegang hebben tot van de RDW ontvangen gevoelige gegevens indien dat noodzakelijk is voor het uitvoeren van de overeengekomen werkzaamheden.
Alle medewerkers bij derden dienen een geheimhoudingsverklaring, ziende op het omgaan met gegevens zoals bedoeld in deze voorwaarden te hebben getekend.
De ontvangers dienen in alle gevallen te waarborgen dat elektronische berichten altijd zijn voorzien van de identiteit van die ontvangers ook als de berichtuitwisseling door/via/vanuit derden (applicaties) plaatsvindt. Ontvangers dienen in te staan voor alle handelingen die bij EUCARIS zijn uitgevoerd, waarin hun identiteit is opgenomen en nemen daartoe richting derden adequate maatregelen.
De ontvanger maakt met alle ingeschakelde derden de afspraak dat bij (vermeend) misbruik of compromittering van beveiligingsmiddelen (wachtwoorden, certificaten en/of bijbehorende pincodes e.d.) die toegang geven tot EUCARIS, zij alle mogelijke maatregelen nemen om deze beveiligingsmiddelen buiten bedrijf te stellen (blokkeren/intrekken) en hiervan de ontvanger onverwijld op de hoogte stellen.
Ontvangers dienen de RDW op de hoogte te stellen welke derden door de ontvanger zijn betrokken bij het verwerken van de van RDW ontvangen gevoelige gegevens.
RDW kan indien gewenst op technisch niveau een aansluiting met een door ontvanger(s) aangewezen derde regelen.
Artikel 8. Signaleringsfunctie
RDW heeft een signalerende functie bij de naleving van deze voorwaarden. RDW vult deze signalerende rol in door:
- a. van de bevragingen metadata te bewaren gedurende de voor de betreffende bevraging vastgestelde bewaartermijn. Indien de ontvanger hierom verzoekt in het kader van een onderzoek naar onrechtmatig gebruik zal RDW deze metadata verstrekken, zodat de ontvanger deze kan gebruiken voor zijn onderzoek.
- b. op de bevragingen een gebruikersstatistiek uit te voeren. Bij afwijkende bevragingspatronen zal RDW de ontvanger vragen om deze afwijkingen te verklaren.
- c. bij meldingen van onrechtmatig gebruik, misbruik of fraude de ontvanger via diens loggingsgegevens de melding van misbruik of fraude laten onderzoeken.
RDW kan periodiek bewijs opvragen van de ontvanger, waaruit blijkt dat deze nog steeds kan worden aangemerkt als nationale bevoegde autoriteit.
Bij gebruik van de informatie voor andere doeleinden, bij meldingen van onrechtmatig gebruik, misbruik of fraude, dan waarvoor deze is verstrekt (doelbinding) en/of het niet nakomen van deze voorwaarden en op andere wijze gestelde voorwaarden, of ernstig vermoeden daarvan, kan RDW de geautomatiseerde aansluiting op EUCARIS van de ontvanger voor bepaalde of onbepaalde tijd ongedaan maken. De ontvanger kan in dat geval uitsluitend handmatig aanvragen doen bij RDW.
Artikel 9. Aansprakelijkheid
De aanvrager en/of ontvanger van de informatie is aansprakelijk voor alle hem toe te rekenen handelingen die in strijd zijn met doel en strekking van deze voorwaarden. Bij de verstrekking van informatie is de ontvanger in ieder geval aansprakelijk voor alle handelingen vanaf het moment dat hij de informatie heeft ontvangen.
Artikel 10. Intellectuele eigendom
RDW is rechthebbende op alle intellectuele eigendomsrechten met betrekking tot door RDW ontwikkelde en ontworpen producten en software, die wordt gebruikt in het kader van de uitwisseling van voertuig- en rijbewijsgegevens via het systeem EUCARIS in de ruimste zin. Inbreuk op deze intellectuele eigendomsrechten is niet toegestaan.
Hoofdstuk 3. Specifieke aansluitvoorwaarden
Artikel 11. Certificaat
Naast de hiervoor genoemde algemene voorwaarden (Hoofdstuk 3) zijn voor sommige nationale bevoegde autoriteiten specifieke voorwaarden van toepassing, waarin de activiteiten en verantwoordelijkheden zijn beschreven die samenhangen met het afhandelen van het certificaat. Deze specifieke aansluitvoorwaarden maken deel uit van deze voorwaarden en zijn aan de betreffende aanvragers bekend gemaakt (zie bijlage Beveiligde Toegang tot EUCARIS).
Artikel 12. Beveiligingsvoorwaarden
De aanvrager moet voldoen aan de volgende beveiligingsvoorwaarden:
- a. De aanvrager moet voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en/of het informatie beveiligingsniveau conform ISO27001.
- b. De aanvrager verklaart dat hij zijn personeel uitsluitend toegang tot EUCARIS verstrekt middels een actueel autorisatieregister.
- c. De vastgestelde beveiligingsmiddelen (bijvoorbeeld gebruikerscodes, wachtwoorden, certificaten ed.) die online toegang geven tot EUCARIS dienen adequaat te worden beschermd door de aanvrager. Ze mogen door de aanvrager nimmer ter beschikking worden gesteld aan onbevoegden.
- d. De aanvrager treft maatregelen die waarborgen dat de gegevens uit EUCARIS voor onbevoegden niet benaderbaar zijn via eventuele gerealiseerde of nog te realiseren verbindingen (zoals o.a. netwerkkoppelingen) en/of het inschakelen van derden.
- e. De aanvrager dient bij (vermeend) misbruik of compromittering van beveiligingsmiddelen die toegang geven tot EUCARIS alle mogelijke maatregelen te nemen deze beveiligingsmiddelen buiten bedrijf te stellen (blokkeren/intrekken) en RDW hiervan onverwijld op de hoogte te stellen via telefoonnummer 088008 7477.
- f. Ter beveiliging van de via EUCARIS uitgewisselde informatie moeten aanvragers zich eerst digitaal identificeren. Hiervoor gelden de aanvullende eisen vermeld in de Bijlage (Beveiligde Toegang tot EUCARIS) van deze voorwaarden.
Hoofdstuk 4. Slotbepalingen
Artikel 13. Toepasselijk recht
Op basis van de in artikel 2 van deze voorwaarden genoemde wet- en regelgeving en deze voorwaarden gedane aanvragen om informatie en tot stand gekomen verstrekkingen, is het Nederlandse recht
onverminderd van toepassing.
Artikel 14. Inwerkingtreding
Deze regeling treedt in werking met ingang van 1 januari 2024.
Artikel 15. Citeertitel
Dit besluit wordt aangehaald als: Verstrekkings- en gebruikersvoorwaarden EUCARIS 2023
Bijlage. Beveiligde toegang tot EUCARIS
(Behorend bij artikel 12 Beveiligingsvoorwaarden)
Er zijn, afhankelijk van de af te nemen dienst, verschillende manieren om toegang tot EUCARIS te krijgen:
-
- Gebruik EUCARIS WebClient
- a. Door in te loggen op de EUCARIS WebClient (gehost door de RDW), van waaruit een aanvraag om informatie kan worden verstuurd.
-
- Systeem koppeling (API)
- a. Door een systeem van een Nederlandse autoriteit, van waaruit een aanvraag om informatie kan worden verstuurd, aan EUCARIS te koppelen.
- b. Door een systeem van een derde partij, zijnde een niet-overheidspartij, van waaruit een aanvraag om informatie kan worden verstuurd, aan EUCARIS te koppelen.
Om de met EUCARIS uitgewisselde informatie te beschermen, moeten aanvragers zich eerst digitaal identificeren.
Momenteel kan een RDW-Cliëntcertificaat worden aangevraagd als authenticatiemiddel om in te loggen op de EUCARIS WebClient.
Vanaf 2024 zal het gebruik van RDW-Cliëntcertificaten afgebouwd worden en vervangen door het gebruik van eHerkenning.
Toegang tot de EUCARIS WebClient wordt aangevraagd bij de RDW Unit IV.
Tot op heden leverde de RDW Unit IV een RDW-Cliëntcertificaat ter authenticatie, met de komst van eHerkenning moet de aanvrager eHerkenning aanvragen bij een erkende leverancier.
Tot voor kort werden door RDW Unit IV RDW-Servicecertificaten uitgegeven voor het opzetten van een beveiligde verbinding over internet tussen deze systemen.
Momenteel wordt het gebruik van RDW-Servicecertificaten afgebouwd en vervangen door het gebruik van PKIoverheid certificaten en informatie uitwisseling over het diginetwerk.
Toegang met een systeem tot EUCARIS wordt aangevraagd bij de RDW Unit IV. Tevens moet de aanvrager een PKIoverheid certificaat aanvragen bij een erkende leverancier en een diginetwerk aansluiting bij Logius.
Voor niet-overheidspartijen die een publieke taak uitvoeren gelden in principe dezelfde regels als voor Nederlandse autoriteiten (diginetwerk koppeling met PKIoverheid certificaat).
Maar ook kan een derde partij vooralsnog aansluiten een door RDW Unit IV uitgegeven RDW-Servicecertificaat. In dit geval moeten ze voldoen aan de door Unit IV bepaalde voorwaarden voor het gebruik van RDW-Servicecertificaten.
Dit besluit zal met een bijlage in de Staatscourant worden geplaatst.
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.