4.4.1 Afspraken: Engagementen van alle actoren - Data

Opmerking 1: Het is onduidelijk van het minimumniveau van (technische) interoperabiliteit inhoudt. Dit moet duidelijker omschreven zijn wat de concrete verwachtingen zijn. Opmerking 2: We pleiten ervoor dat de Vlaamse Overheid de nodige middelen ter beschikking zet om aanbieders van deelmobiliteit zowel inhoudelijk als financieel te ondersteunen bij de technische integratie met MaaS-systemen alsook de compatibiliteit met de OSLO-standaarden (en eventuele andere technische standaarden). Opmerking 3: Voor deelsystemen moet de minimale dataset niet enkel uit real-time info bestaan, maar ook over toekomstige info. Sommige aanbieders werken immers met het systeem dat voertuigen tot zelfs een aantal maanden in de toekomst kunnen geboekt worden. Die data is vanzelfsprekend belangrijk voor MaaS-aanbieders. Nu staat real-time tussen haakjes, maar voor de duidelijkheid lijkt het ons goed om dit nog even te benoemen.

Het in kaart brengen van de customer journey is een heel goed idee. De vraag is onder wiens verantwoordelijkheid het valt om de end-to-end customer journey in kaart te brengen? De overheid, MaaS aanbieder of publieke vervoersmaatschappij?

Under the draft, “(real-time) location data” is to be considered personal data of a sensitive nature and may also qualify as “special categories of personal data” to the extent they reveal passenger’s political opinions, religious beliefs, sexual orientation, etc (Article 9 GDPR). The framework should therefore recognise that MaaS providers, acting as data controllers, are under no obligation to share users’ location data. Mandating 3rd party data access/use is unlikely to meet the principles of necessity and proportionality. Furthermore, MaaS providers may share location data providing that passengers and drivers have given their consent (Articles 4, 7, 9). 3rd parties must also stop the processing as soon as users have withdrawn their consent, either on the MaaS provider’s platform, or directly from the third party controller (Article 14(2)(d)). Finally, this data governance scheme should not be understood as an exercise of users’ right to data portability under GDPR.

De gegevens die nodig zijn voor een minimale dataset zijn verschillend afhankelijk van de vervoersaanbieder (bv. (realtime) locatiegegevens zijn nuttig voor deelsteps, niet voor openbaar vervoer).

Hubs (e.g. P+R, K+R) spelen een grote rol bij MaaS. Deze moeten in kaart gebracht en beschikbaar zijn als datasets.

Vanaf het moment dat de vervoeraanbieder een dienst moet leveren aan een reiziger, is er per definitie een contractuele relatie tussen de reiziger en de vervoeraanbieder. Data uitwisseling moet gebeuren in functie van wat noodzakelijk is voor de uitvoering van de overeenkomst tussen de reiziger en de vervoersaanbieder. De noodzakelijke gegevens die worden gedeeld kunnen wijzigen wanneer de overeenkomst tussen de reizigers en de vervoersaanbieder wijzigt (e.g. nieuwe inzichten inzake fraude-preventie, klantenondersteuning, beschikbaarheid nieuwe technologie, etc.).

All providers of passenger mobility services should have to ensure that essential, up-to-date data on its services is available from an open interface in a standard, easy to edit, and computer-readable format. All service providers need to have access to all tickets and payment systems of transport services for road and rail passengers via API’s.

“mits toestemming van deze persoon en mits dit doelmatig is voor het doel dat de vervoerder of overheid er mee heeft”. Deze bepaling kan niet op deze manier behouden blijven. Momenteel staat er dat er steeds toestemming moet zijn van de reiziger ('EN'). Het tweede deel van de zin (na 'EN') lijkt zelfs niet te kloppen. Beter om naar de AVG te verwijzen en nog geen verwerkingsgrond te gaan bepalen. Er zijn verschillende opties die afhankelijk van de concrete situatie van toepassing kunnen zijn. Momenteel is er nog te weinig zicht op de concrete gegevensuitwisseling om hier al uitspraken over te doen. Door in deze tekst al een concrete verwerkingsgrond te willen opnemen, gaan de partijen zich onnodig vast zetten. Er kan volstaan worden met: "MaaS aanbieders kunnen persoonsgebonden data verstrekken aan de vervoersaanbieders en overheden in overeenstemming met de bepalingen van de Algemene Verordening Gegevensbescherming (AVG)."

Het ontwerpkader stelt als principe voorop dat vervoersaanbieders alle relevante digitale producten binnen redelijke termijn ter beschikking stellen van MaaS-aanbieders. Het is niet duidelijk welke producten dan wel relevant zijn voor MaaS-aanbieders (en welke niet) of wie die relevantie bepaalt. Daarnaast stimuleert dit de vervoersaanbieders niet om hun niet-digitale producten te digitaliseren en is er géén duidelijke streefdatum voorop gezet.

Er is nog te weinig geweten over de manier waarop de samenwerking zal verlopen tussen verschillende partijen, welke gegevens er gedeeld worden, etc. om al uitspraken te doen over wie wanneer de rol van data controller heeft. Beter lijkt het om in het algemeen op te nemen dat bij het verwerken van persoonsgegevens zowel de vervoersaanbieders, Maas-aanbieders (en overheden) de bepalingen van de AVG (de Algemene Verordening Gegevensbescherming, de Nederlandse afkorting voor GDPR) naleven.