Centrale Database Taxivervoer: zo voorkom je boetes onder de CDT-regelgeving
De nieuwe CDT-regelgeving vervangt vanaf juli 2025 de Boordcomputer Taxi en verandert hoe toezicht in de taxibranche wordt geregeld. In dit artikel lees je wat de gevolgen zijn voor taxiondernemers, hoe je je goed voorbereidt én waarom privacy en informatiebeveiliging belangrijker zijn dan ooit. Met praktische tips en concrete handvatten ben je straks helemaal klaar voor de nieuwe eisen.
Bradley Luijten is adviseur bij CertificeringsAdvies Nederland. "Als Adviseur Informatiebeveiliging met een bedrijfskundige achtergrond, beschik ik over gevarieerde kennis van zowel technische als zakelijke aspecten".
bradley@certificeringsadvies.nlVanaf 1 juli 2025 gaat de verwachte nieuwe wetgeving rondom taxivervoer in: de Centrale Database Taxivervoer (CDT). Deze nieuwe aanpak vervangt de huidige Boordcomputer Taxi (BCT) en bijbehorende kaarten. Het doel? Toezicht op de sector verbeteren én slimmer organiseren. De Inspectie Leefomgeving en Transport (ILT) houdt toezicht op de naleving. Voor taxibedrijven betekent dit: zorg dat je administratie op orde is. Is dat niet het geval, dan liggen boetes op de loer. Ook voor toeleveranciers in de keten, zoals softwareleveranciers, heeft dit impact. Systemen die gebruikt worden voor ritregistratie dienen te voldoen aan allerlei regelgeving op gebied van informatiebeveiliging.
In dit artikel zetten we uiteen:
- Wat de CDT-regelgeving is;
- Hoe de overgangsregeling werkt;
- Wie CDT-plichtig is;
- Hoe de CDT zich verhoudt met de AVG, NIS2-richtlijn;
- Welke rol ISO 27001 hierin speelt.
Wat is de CDT-regelgeving?
Door inwerkingtreding van de CDT-regelgeving, ofwel de Centrale Database Taxivervoer wet, zijn taxivervoerders verplicht om taxivervoergegevens aan te leveren bij een centrale database van het ILT, ofwel de Inspectie Leefomgeving en Transport.
Wat is de Inspectie Leefomgeving en Transport (ILT)?
De Inspectie Leefomgeving en Transport houdt toezicht op het taxivervoer. Doel daarvan is veilig personenvervoer en eerlijke concurrentie bevorderen. Nadruk ligt daarbij op naleven van arbeids- en rusttijden.
Met de komst van de Centrale Database Taxivervoer (CDT) zet de ILT een grote stap richting slimmer toezicht in de taxibranche. Door samen te werken met ICT-partijen en ondernemers uit de sector, ontstaat er een systeem dat niet alleen efficiënter werkt, maar ook beter aansluit op de eisen van deze tijd. En de privacy die blijft geborgd. Voor taxiondernemers betekent dit meer flexibiliteit en een eerlijker speelveld. Zo draagt de CDT bij aan eerlijke concurrentie binnen de branche.
Enkele feiten op een rij:
- Voordat de Centrale Database Taxivervoer (CDT) echt van start kan, moeten overheden eerst de privacyrisico’s in kaart brengen. Dat gebeurt via een Data Protection Impact Assessment (DPIA). Zo’n onderzoek is grondig en kost tijd. Daarom is de oorspronkelijke ingangsdatum van de CDT doorgeschoven naar juli 2025.
- In de tussentijd blijft de ILT niet stilzitten. Samen met ICT-dienstverleners en taxiondernemers wordt er hard gewerkt aan de techniek achter de CDT. Eind 2024 vond er een tweede praktijktoets plaats. Daarbij is gekeken of het systeem technisch goed werkt en of de hele informatieketen klopt.
- Voor taxiondernemers zonder Boordcomputer Taxi (BCT) biedt de nieuwe regelgeving ruimte: zij kunnen hun vervoersgegevens ook digitaal aanleveren bij de ILT. Hoe vaak en op welke manier dat moet gebeuren, ligt vast in duidelijke voorwaarden.
“Het is niet alleen advies, maar ook kennisdeling en meedenken. Dat maakt het waardevol.”
Jochem Eerden – Processionals
Is er een overgangsregeling voor de CDT?
Naast de ontwikkeling van de technische kant van de CDT, is er ook een wetswijziging nodig voor de nieuwe regelgeving. Het nieuwe CDT-systeem is in juli 2025 beschikbaar. Er geldt vanaf dan een overgangsperiode tot januari 2028. Taxiondernemingen en -chauffeurs krijgen in die periode de tijd om over te stappen naar het nieuwe systeem.
Welke organisaties zijn CDT-plichtig?
De nieuwe CDT-regels zijn straks verplicht voor iedereen die actief is in het taxivervoer. Dit betekent dat je ritgegevens moet aanleveren aan de Centrale Database Taxivervoer. De verplichting geldt onder andere voor:
- Taxibedrijven: Alle bedrijven die taxidiensten aanbieden, zoals taxicentrales;
- Chauffeurs: Zelfstandige taxichauffeurs die hun diensten aanbieden via platforms of als onderdeel van een taxibedrijf;
- Vervoersdiensten: Bedrijven die gespecialiseerd zijn in personenvervoer en andere regionale vervoerders
Bovenstaande organisaties moeten voor 1 juli 2025 hun taxivervoergegevens, waaronder ook persoonsgegevens van de chauffeur, automatisch en direct aanleveren bij de centrale database. Organisaties die hun data niet op orde hebben met het oog op de CDT, riskeren boetes.
Compliance en informatiebeveiliging, hoe zit dat?
Organisaties die CDT-plichtig zijn komen daardoor ook in aanraking met Europese wetgevingen zoals de Algemene Verordening Gegevensbescherming (AVG) en de Cyberbeveiligingswet, welke ook bekend staat als de NIS2-richtlijn. Beide richtlijnen zijn in relatie tot de CDT-regelgeving relevant, met name voor taxibedrijven die straks ritgegevens moeten registreren en aanleveren.
De AVG-wet en de CDT-regelgeving
De CDT-regelgeving verplicht taxibedrijven om ritgegevens centraal te registreren. Daarbij worden persoonsgegevens verwerkt, denk aan:
- NAW-gegevens van klanten;
- Gegevens van de chauffeur;
- Locatie- en tijdsdata van ritten;
- Kentekeninformatie.
Dit beteken dus automatisch dat de AVG-wet hierop van toepassing is. De AVG-wet eist onder andere:
- Transparantie over gegevensverzameling en waarom;
- Dat er een rechtsgeldige grondslag voor is;
- Dat er treffende beveiligingsmaatregelen getroffen worden;
- Dat men in staat is gegevens correct te bewaren, delen of verwijderen;
- Dat verwerkersovereenkomsten worden gesloten met leveranciers van bijvoorbeeld software of derden die een rol spelen in de dataverwerking.
Wanneer de AVG-eisen niet worden nageleefd riskeren, in dit geval taxivervoerbedrijven, hoge boetes van de Autoriteit Persoonsgegevens (AP). Hoe voldoe je dan aan die AVG? Hieronder enkele praktische tips:
- Breng je gegevensverwerkingen in kaart
Maak een overzicht van alle persoonsgegevens die je verwerkt. Noteer waarvoor je ze gebruikt en hoe lang je ze bewaart. - Zorg voor duidelijk beleid
Stel een helder privacybeleid en een privacyverklaring op. Laat hiermee zien hoe je omgaat met gegevens van klanten en medewerkers. - Beveilig je systemen goed
Gebruik sterke wachtwoorden, versleutel gevoelige informatie en zorg dat je software altijd up-to-date is. - Train je team
Zorg dat iedereen in je organisatie weet wat de regels zijn en hoe je veilig met persoonsgegevens omgaat. Bewustzijn is key. - Respecteer de privacyrechten
Regel het goed voor betrokkenen: bied inzage in hun gegevens en geef ze de mogelijkheid om gegevens te corrigeren of te laten verwijderen.
Dan is er ook nog de NIS2-richtlijn, welke in Nederland de Cyberbeveiligingswet (Cbw) heet. Deze richtlijn focust op het verhogen van de digitale weerbaarheid van organisaties die essentiële of belangrijke diensten leveren. Wanneer we dat in het CDT-perspectief zetten, dan dienen organisaties die gebruik maken van digitale systemen voor ritregistratie aantoonbaar te maken dat hun IT-systemen voldoende beveiligd zijn. De NIS2 stelt o.a. eisen aan:
- Risicobeheer van informatiesystemen;
- Incidentrespons;
- Beveiliging van de toeleveringsketen, zoals leveranciers;
- Rapportageverplichting bij beveiligingsincidenten.
Wanneer, door taxibedrijven, gegevens digitaal aangeleverd worden via software of platforms, zoals apps die direct gekoppeld zijn aan de ILT, dan moeten deze systemen voldoen aan de NIS2-eisen. Hier ligt dus een belangrijke rol voor de softwareleverancier, maar indirect ook voor de taxibedrijven zelf. Hoe ga je om met voldoen aan de Cyberbeveiligingswet? Hieronder een aantal te doorlopen stappen:
- Breng risico’s in beeld
Start met een risicoanalyse. Daarmee ontdek je waar je kwetsbaarheden zitten en wat je grootste digitale risico’s zijn. - Maak een incidentresponsplan
Wees voorbereid op een cyberaanval. Zorg dat je weet wat je moet doen als het misgaat – en test dat plan regelmatig. - Denk aan continuïteit
Stel een noodplan op. Hoe zorg je dat je dienstverlening doorgaat als systemen uitvallen of gehackt worden? - Check je leveranciers
Werk je met externe partijen? Dan wil je zeker weten dat zij óók hun cyberveiligheid op orde hebben. Leg afspraken vast en blijf toetsen. - Blijf jezelf controleren
Regelmatige audits helpen je om scherp te blijven. Zo weet je zeker dat je aan de wet voldoet én blijf je continu verbeteren.
ISO 27001 speelt een sleutelrol in voldoen aan CDT-regelgeving!
Dan komt ISO 27001, dé internationaal erkende standaard voor informatiebeveiliging, om de hoek kijken. Hoe zit dat precies? ISO 27001 kan een sleutelrol spelen in het voldoen aan de eisen die voortkomen uit:
- CDT-regelgeving;
- De AVG;
- De Cyberbeveiligingswet (Cbw), of NIS2-richtlijn.
ISO 27001 helpt organisaties, zoals taxibedrijven of toeleveranciers daarvan, om grip te krijgen op de informatieveiligheid van (persoons)gegevens die verwerkt worden en opgeslagen worden; een essentieel punt met de komst van de CDT. De CDT verplicht taxibedrijven om ritgegevens digitaal te registreren en aan te leveren aan de ILT. Deze data moet:
- Betrouwbaar zijn;
- Beveiligd opgeslagen en verstuurd worden;
- Toegankelijk zijn voor autoriteiten (maar niet voor ongeautoriseerden).
ISO 27001 biedt uitkomst bij dit alles! De norm hanteert een gestructureerde aanpak voor informatiebeveiliging. Onder andere op facetten als risicobeoordeling, toegangscontrole, encryptie, back-up beleid etc. De ISO 27001 standaard helpt organisaties om risico’s met betrekking tot de beveiliging van gegevens te beheren en mitigeren. Voor een CDT-plichtige organisatie is ISO 27001 een krachtig hulpmiddel om aan de CDT te voldoen om op die manier de beschikbaarheid, integriteit en vertrouwelijkheid (BIV) van verzamelde vervoersgegevens te garanderen. Enkele voordelen op een rij:
- Sterkere verdediging tegen cyberaanvallen
ISO 27001 helpt je om kwetsbaarheden in je systemen op te sporen én aan te pakken. Zo verklein je de kans op datalekken of een hack. - Meer vertrouwen van klanten en partners
Met een ISO 27001-certificaat laat je zien dat je informatiebeveiliging serieus neemt. Dat geeft vertrouwen, zowel binnen als buiten je organisatie. - Voldoen aan wet- en regelgeving
Of het nu gaat om de CDT, de AVG of de NIS2: ISO 27001 helpt je om aan alle eisen te voldoen. Geen verrassingen, geen juridische risico’s. - Efficiënter werken
Een goed ingericht Information Security Management System (ISMS) zorgt voor duidelijkheid en structuur. Dat maakt je organisatie productiever. - Voorkom boetes en reputatieschade
Door aan te tonen dat je voldoet aan de eisen, voorkom je niet alleen sancties, maar ook imagoschade.
Stappenplan: wat moet een CDT-plichtige organisatie doen?
Hieronder een stappenplan wat een CDT-plichtige organisatie kan volgen:
- Implementatie van ISMS: Ontwikkel en implementeer een ISMS volgens de ISO 27001-standaard.
- Certificering: Laat het ISMS auditen door een onafhankelijke certificeringsinstantie om ISO 27001-certificering te verkrijgen.
- Continu verbeteren: Voer interne audits en managementreviews uit om de effectiviteit van het ISMS te waarborgen.
Door deze stappen te volgen, kunnen CDT-plichtige organisaties niet alleen voldoen aan de nieuwe regelgeving, maar ook de veiligheid en betrouwbaarheid van hun gegevensbeheer verbeteren.
Het is te begrijpen dat je als CDT-plichtige organisatie veel op je af ziet komen en door de bomen het bos mogelijk niet meer ziet. Waar moet je starten? Wat moet je doen? In dat geval biedt CertificeringsAdvies Nederland (CAN) uitkomst! Onze gespecialiseerde informatiebeveiligingsadviseurs weten precies hoe ze om moeten gaan met dit soort vraagstukken en hebben veel ervaring bij implementaties van o.a. ISO 27001 en voldoen aan eisen en wet- en regelgeving op gebied van informatiebeveiliging. Zij nemen je stap voor stap bij de hand en kijken samen met je organisatie wat er moet gebeuren om compliant en toekomstbestendig te zijn!
CAN is er voor de hele keten!
Organisaties die digitale diensten leveren aan taxiorganisaties hebben te maken met gevoelige informatie, zoals klantgegevens en betalingsinformatie. Het is essentieel dat deze informatie goed beveiligd wordt om te voldoen aan wettelijke eisen en om het vertrouwen van klanten te behouden. Certificeringsadvies Nederland (CAN) kan organisaties op pragmatische wijze begeleiden bij het gehele proces. Dit omvat bijvoorbeeld:
- het uitvoeren van een risicoanalyse;
- het opstellen van een informatiebeveiligingsbeleid;
- het creëren van bewustzijn programma’s;
- het implementeren van beveiligingsmaatregelen;
- Het voorbereiden op audits;
- Etc.
Moet jouw organisatie voldoen aan eisen vanuit de CDT, AVG, NIS2 en/of andere wet- en regelgeving? Of wil je concreet met ISO 27001 aan de slag? In alle gevallen biedt CAN een oplossing. Onze adviseurs kunnen je zowel coachend als uitvoerend begeleiden bij dit soort vraagstukken. Zo helpen we je voldoen aan de eisen en zorgen we er samen voor dat de informatiebeveiliging op een hoog niveau is en blijft. Meer informatie? Neem gerust contact met ons op of vraag direct een offerte aan!
Bradley Luijten is adviseur bij CertificeringsAdvies Nederland. "Als Adviseur Informatiebeveiliging met een bedrijfskundige achtergrond, beschik ik over gevarieerde kennis van zowel technische als zakelijke aspecten".
bradley@certificeringsadvies.nl
Voldoen aan de CDT-eisen?
Voorkom boetes en voldoe aan de eisen!
- Al 500+ organisaties gingen je voor
- Je databeveiliging op orde
- Voldoe aan wet- en regelgeving
