Verstrekkings- en gebruikersvoorwaarden EUCARIS 2023

In dit besluit wordt verstaan onder:

• Aanvraag om informatie: het verzoek van een aanvrager om informatie uit het register van een buitenlandse partij.

• Aanvrager: de nationaal bevoegde autoriteit die RDW verzoekt om informatie en/of gegevens via EUCARIS ter beschikking te stellen.

• Algemene verordening gegevensbescherming of AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

• Betrokkene: de natuurlijke persoon of rechtspersoon over wie de aanvrager informatie opvraagt.

• Derde: niet-overheidsinstelling, die namens een nationaal bevoegde autoriteit de informatie, die via EUCARIS is uitgewisseld, mag gebruiken.

• EUCARIS: European CAR and driving licence Information System, een internationale verdragsorganisatie en tevens informatie-uitwisselingsplatform voor mobiliteit en transportgerelateerde informatie. Het platform wordt gebruikt als gesloten systeem voor verschillende toepassingen. Informatie-uitwisseling via de betreffende services is gebaseerd op verschillende rechtsgrondslagen. Sommige toepassingen zijn gebaseerd op het wettelijk kader van de EU, andere zijn gebaseerd op bilaterale of multilaterale overeenkomsten en verdragen.

• Informatie: de gegevens die via EUCARIS uit de respectievelijke nationale registers van een partij kunnen worden opgevraagd.

• Nationaal bevoegde autoriteit: overheidsinstelling die bevoegd is de informatie, die via EUCARIS is uitgewisseld, te gebruiken.

• Nationaal contactpunt (NCP): de instantie die voor een partij als nationaal contactpunt optreedt voor het verwerken van inkomende en uitgaande aanvragen om informatie. RDW treedt voor Nederland op als nationaal contactpunt.

• Nationale voorschriften: alle wettelijke en administratieve voorschriften van een partij ten aanzien van de betreffende uit te wisselen informatie via EUCARIS.

• Ontvanger: de nationaal bevoegde autoriteit waaraan, door RDW, gegevens uit het register van een partij beschikbaar worden gesteld.

• Partij: een land dat is aangesloten op EUCARIS.

• Persoonsgegevens: alle informatie over een bepaalde of identificeerbare persoon als bedoeld in artikel 4, eerste lid van de Algemene Verordening Gegevensbescherming (AVG).

• RDW: De Dienst Wegverkeer als bedoeld in artikel 4a, eerste lid van de Wegenverkeerswet 1994;

• Register: het register of de registers waarin een partij gegevens bijhoudt en dat/die door die partij wordt/worden ontsloten ten behoeve van de uitwisseling van informatie via EUCARIS.

• Verdrag: het Verdrag betreffende een Europees voertuig- en rijbewijsinformatiesysteem (EUCARIS), Luxemburg, 29-06-2000.

Deze voorwaarden zijn van toepassing op alle Nederlandse aanvragers en ontvangers van informatie, waarbij de aanvraag om informatie en verstrekking daarvan via RDW verloopt met gebruikmaking van EUCARIS. Deze voorwaarden zijn van toepassing en in aanvulling op, en dienen ter nadere uitwerking van, de bepalingen die gelden voor het aanvragen en gebruiken van informatie uit het Verdrag en uit andere relevante EU- en internationale wetgeving (waaronder bijv. EU-Richtlijnen en -Verordeningen en bilaterale en multilaterale overeenkomsten), alsmede relevante nationale wet- en regelgeving en de aanwijzingsbeschikkingen van de minister.

De aanvraag om informatie vindt plaats conform de daarvoor geldende doeleinden en voorwaarden genoemd in de van toepassing zijnde internationale wet- en regelgeving, nationale voorschriften waarop de aanvraag om informatie betrekking heeft en deze voorwaarden.

De RDW behoudt zich het recht voor om:

• a. de identiteit van de aanvrager vast te stellen, hetzij periodiek of bij twijfel, door het verzoek tot overlegging van bescheiden, zoals, maar niet beperkt tot, relevante correspondentie tussen alle autoriteiten en/of instanties die zijn betrokken (geweest) bij de aansluiting van de aanvrager op EUCARIS;

• b. deze voorwaarden aan te passen aan gewijzigde wet- en regelgeving.

Een aanvraag om informatie en een verstrekking van informatie moet een grondslag hebben in nationale en/of internationale wet- en regelgeving. De aanvrager conformeert zich bij het doen van een aanvraag om informatie aan de doelbinding op basis waarvan RDW de aanvrager heeft aangesloten op EUCARIS.

• 1 De ontvanger is gehouden tot een zorgvuldig gebruik van de aan hem verstrekte informatie en gebruikt deze uitsluitend ter verwezenlijking van de doelstellingen als genoemd in de betreffende internationale wet- en regelgeving, alsmede in overeenstemming met de nationale voorschriften van Nederland, tenzij de betreffende wetgeving striktere bepalingen dienaangaande bevat.

• 2 Indien de verstrekte informatie persoonsgegevens bevat, dient de ontvanger er op toe te zien dat het belang en de fundamentele rechten en vrijheden van de betrokkene, in het bijzonder het recht op bescherming van de persoonlijke levenssfeer in het kader van de AVG, met inbegrip van wetgeving tot wijziging of vervanging van de AVG, niet onevenredig wordt geschonden.

• 3 Ieder ander gebruik door de ontvanger van de aan hem verstrekte informatie anders dan in het eerste lid bepaald, is niet toegestaan.

• 1 De aanvrager respectievelijk ontvanger blijft onverkort verantwoordelijk voor alle handelingen die een derde in zijn opdracht uitvoert richting RDW en/of met van RDW via EUCARIS verkregen gevoelige gegevens.

• 2 De aanvrager respectievelijk ontvanger blijft onverkort verantwoordelijk voor alle handelingen die een door hem ingeschakelde derde uitvoert met door RDW aan hem verstrekte beveiligingsmiddelen In dit verband is de separate documentatie van RDW met voorwaarden over het gebruik van RDW-certificaten onverkort van toepassing.

• 3 Gegeven de feitelijke technische inrichting, mag het gerealiseerde beveiligingsniveau in de gehele keten RDW, ontvanger en derden nooit lager worden dan indien de ontvanger zonder derden zou werken. Dit geldt voor de gehanteerde beveiligingsmiddelen en de beveiliging van de verbindingen en opgeslagen gegevens.

• 4 De ontvanger dient met derden afspraken te maken dat ook die derden hun medewerking verlenen bij de signaleringsfunctie vanuit RDW, zoals bedoeld in artikel 8.

• 5 Van RDW via EUCARIS verkregen gevoelige gegevens mogen nooit – dus ook niet bij het inschakelen van derden (inclusief cloudleveranciers) – buiten EU-landen getransporteerd en/of opgeslagen worden.

• 6 De ontvanger maakt afspraken met derden zodat (medewerkers van) die derden alleen toegang hebben tot van de RDW ontvangen gevoelige gegevens indien dat noodzakelijk is voor het uitvoeren van de overeengekomen werkzaamheden.

• 7 Alle medewerkers bij derden dienen een geheimhoudingsverklaring, ziende op het omgaan met gegevens zoals bedoeld in deze voorwaarden te hebben getekend.

• 8 De ontvangers dienen in alle gevallen te waarborgen dat elektronische berichten altijd zijn voorzien van de identiteit van die ontvangers ook als de berichtuitwisseling door/via/vanuit derden (applicaties) plaatsvindt. Ontvangers dienen in te staan voor alle handelingen die bij EUCARIS zijn uitgevoerd, waarin hun identiteit is opgenomen en nemen daartoe richting derden adequate maatregelen.

• 9 De ontvanger maakt met alle ingeschakelde derden de afspraak dat bij (vermeend) misbruik of compromittering van beveiligingsmiddelen (wachtwoorden, certificaten en/of bijbehorende pincodes e.d.) die toegang geven tot EUCARIS, zij alle mogelijke maatregelen nemen om deze beveiligingsmiddelen buiten bedrijf te stellen (blokkeren/intrekken) en hiervan de ontvanger onverwijld op de hoogte stellen.

• 10 Ontvangers dienen de RDW op de hoogte te stellen welke derden door de ontvanger zijn betrokken bij het verwerken van de van RDW ontvangen gevoelige gegevens.

• 11 RDW kan indien gewenst op technisch niveau een aansluiting met een door ontvanger(s) aangewezen derde regelen.

• 1 RDW heeft een signalerende functie bij de naleving van deze voorwaarden. RDW vult deze signalerende rol in door:

  • a. van de bevragingen metadata te bewaren gedurende de voor de betreffende bevraging vastgestelde bewaartermijn. Indien de ontvanger hierom verzoekt in het kader van een onderzoek naar onrechtmatig gebruik zal RDW deze metadata verstrekken, zodat de ontvanger deze kan gebruiken voor zijn onderzoek.

  • b. op de bevragingen een gebruikersstatistiek uit te voeren. Bij afwijkende bevragingspatronen zal RDW de ontvanger vragen om deze afwijkingen te verklaren.

  • c. bij meldingen van onrechtmatig gebruik, misbruik of fraude de ontvanger via diens loggingsgegevens de melding van misbruik of fraude laten onderzoeken.

• 2 RDW kan periodiek bewijs opvragen van de ontvanger, waaruit blijkt dat deze nog steeds kan worden aangemerkt als nationale bevoegde autoriteit.

• 3 Bij gebruik van de informatie voor andere doeleinden, bij meldingen van onrechtmatig gebruik, misbruik of fraude, dan waarvoor deze is verstrekt (doelbinding) en/of het niet nakomen van deze voorwaarden en op andere wijze gestelde voorwaarden, of ernstig vermoeden daarvan, kan RDW de geautomatiseerde aansluiting op EUCARIS van de ontvanger voor bepaalde of onbepaalde tijd ongedaan maken. De ontvanger kan in dat geval uitsluitend handmatig aanvragen doen bij RDW.

De aanvrager en/of ontvanger van de informatie is aansprakelijk voor alle hem toe te rekenen handelingen die in strijd zijn met doel en strekking van deze voorwaarden. Bij de verstrekking van informatie is de ontvanger in ieder geval aansprakelijk voor alle handelingen vanaf het moment dat hij de informatie heeft ontvangen.

RDW is rechthebbende op alle intellectuele eigendomsrechten met betrekking tot door RDW ontwikkelde en ontworpen producten en software, die wordt gebruikt in het kader van de uitwisseling van voertuig- en rijbewijsgegevens via het systeem EUCARIS in de ruimste zin. Inbreuk op deze intellectuele eigendomsrechten is niet toegestaan.

Naast de hiervoor genoemde algemene voorwaarden (Hoofdstuk 3) zijn voor sommige nationale bevoegde autoriteiten specifieke voorwaarden van toepassing, waarin de activiteiten en verantwoordelijkheden zijn beschreven die samenhangen met het afhandelen van het certificaat. Deze specifieke aansluitvoorwaarden maken deel uit van deze voorwaarden en zijn aan de betreffende aanvragers bekend gemaakt (zie bijlage Beveiligde Toegang tot EUCARIS).

De aanvrager moet voldoen aan de volgende beveiligingsvoorwaarden:

• a. De aanvrager moet voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en/of het informatie beveiligingsniveau conform ISO27001.

• b. De aanvrager verklaart dat hij zijn personeel uitsluitend toegang tot EUCARIS verstrekt middels een actueel autorisatieregister.

• c. De vastgestelde beveiligingsmiddelen (bijvoorbeeld gebruikerscodes, wachtwoorden, certificaten ed.) die online toegang geven tot EUCARIS dienen adequaat te worden beschermd door de aanvrager. Ze mogen door de aanvrager nimmer ter beschikking worden gesteld aan onbevoegden.

• d. De aanvrager treft maatregelen die waarborgen dat de gegevens uit EUCARIS voor onbevoegden niet benaderbaar zijn via eventuele gerealiseerde of nog te realiseren verbindingen (zoals o.a. netwerkkoppelingen) en/of het inschakelen van derden.

• e. De aanvrager dient bij (vermeend) misbruik of compromittering van beveiligingsmiddelen die toegang geven tot EUCARIS alle mogelijke maatregelen te nemen deze beveiligingsmiddelen buiten bedrijf te stellen (blokkeren/intrekken) en RDW hiervan onverwijld op de hoogte te stellen via telefoonnummer 088008 7477.

• f. Ter beveiliging van de via EUCARIS uitgewisselde informatie moeten aanvragers zich eerst digitaal identificeren. Hiervoor gelden de aanvullende eisen vermeld in de Bijlage (Beveiligde Toegang tot EUCARIS) van deze voorwaarden.

Op basis van de in artikel 2 van deze voorwaarden genoemde wet- en regelgeving en deze voorwaarden gedane aanvragen om informatie en tot stand gekomen verstrekkingen, is het Nederlandse recht

onverminderd van toepassing.

Deze regeling treedt in werking met ingang van 1 januari 2024.

Dit besluit wordt aangehaald als: Verstrekkings- en gebruikersvoorwaarden EUCARIS 2023