Mogen ze over je auto met nummerbord praten op een forum?

nummerborden.pngEen lezer vroeg me:

Is het toegestaan dat derden je kenteken op een openbaar forum plaatsen samen met datum en tijdstip dat men je gespot heeft? Dat kan dan zijn om over je auto te praten, of om je uit te maken voor wegmisbruiker.

Een kenteken is te zien als een persoonsgegeven als het te herleiden is tot de eigenaar van de auto. Op zich is dat niet eenvoudig, want je moet langs de RDW om die gegevens te krijgen, of toevallig op internet bijvoorbeeld een “auto te koop”-advertentie vinden. Het Cbp houdt daarom tegenwoordig een slag om de arm:

Kentekens van motorvoertuigen zijn persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer. Zij kunnen immers tenaamstelling van het kenteken zonder bijzondere inspanning te weten komen. Voor personen die geen toegang hebben tot de tenaamstellingsgegevens uit het kentekenregister, zijn kentekens geen persoonsgegevens indien redelijkerwijs ook niet te verwachten valt dat die gegevens langs een omweg (eventueel door derden) zullen worden herleid. Het hangt dus van de context van het gebruik af of het wel of niet gaat om persoonsgegevens.

Dit standpunt verbaast me nu in de Richtsnoeren persoonsgegevens op internet nog vrij eenvoudig kentekens als persoonsgegevens werden aangemerkt. Mij leek dat ook altijd erg logisch; hoewel niet iedereen bij de RDW kan, is het niet uit te sluiten dat je via een andere route ook die gegevens kunt koppelen. Bovendien – en daar gaat het uiteindelijk om volgens mij – betreft het kenteken in het kader van een discussie over de bestuurder een gegeven over één persoon, waarmee het haast per definitie een persoonsgegeven is. Net zoals je MAC-adres en locatie een persoonsgegeven is.

Een persoonsgegeven publiceren mag alleen als je dat onder de Wet bescherming persoonsgegevens kunt rechtvaardigen. Toestemming is de meest gehoorde rechtvaardiging, maar die is er in dit geval niet.

In principe kom je dan uit bij de restcategorie van de eigen dringende noodzaak. Je zegt dan, ik kan geen toestemming vragen, ik heb een legitiem belang en daarvoor is het een absolute noodzaak dat ik dit gegeven publiceer, bovendien heb ik zo veel mogelijk rekening gehouden met de privacy van de persoon over wie het gaat.

Het legitiem belang zou hem hier zitten in die discussie, dat is immers een beroep op de vrijheid van meningsuiting. In principe is dat al snel gerechtvaardigd, tenzij de discussie niet meer is dan belachelijk maken en afzeiken zonder enige werkelijke discussie of debat. “Deze auto is een wegmisbruiker” zou ik al net aan de goede kant van de grens vinden zitten, als de beelden dat duidelijk laten zien.

Alleen dat rekening houden met de privacy, wat moet je daar dan mee? Ik denk dat dat er toch al snel op neerkomt dat het nummerbord uitgeblurd moet worden. Dat is immers niet echt nodig voor de discussie over wegen misbruiken of om je mening over de auto te geven, positief of negatief. Natuurlijk, met nummerbord kunnen anderen de auto herkennen, maar hoe relevant is dat?

Arnoud

25 reacties

  1. Wat mij opvalt is dat men met dit soort zaken (kentekens, IP adressen, Mac adressen en dergelijke) vaak een beetje dubbel omgaat. Aan de ene kant roepen we “Mijn IP is naar mij te herleiden dus dat mag je niet tracken” en om vervolgens heel verontwaardigd te stellen “Het feit dat mijn IP betrokken is geweest bij auteursrechtenschending bewijst niet dat ik dat heb gedaan”. Of zoals het hier beschreven voorbeeld vs “Het feit dat mijn kenteken op die dag op dat tijdstip sneller ging dan toegestaan bewijst niet dat ik dat ben geweest”. Nu is dat laatste juridisch opgelost, maar het blijft enigszins hypocriet overkomen.

  2. Het heet niet voor niets een “kenteken”. Een teken dus waarmee je iets kunt kennen, in dit geval een auto. Daar hoort vrij vaak toch een specifiek persoon bij. En ook al is het dan niet altijd makkelijk om overige persoonsgegevens te achterhalen maakt dat een kenteken niet minder een persoonsgegeven.

  3. De volgende stap is dat gewone gebruikers samen kunnen werken om dit soort dingen te loggen. Little Brother meets big data:

    http://arstechnica.com/business/2015/12/new-open-source-license-plate-reader-software-lets-you-make-your-own-hot-list/

    Dit soort dingen is moeilijk tegen te houden. Er is zoveel data, er zijn zoveel camera’s, en veel is in handen van particulieren. Wat als die allemaal de handen in elkaar slaan? Klinkt als de hel voor privacyliefhebbers maar wat als slimme auto’s bijvoorbeeld kunnen samenwerken met de politie om hardrijders, gestolen wagens of voortvluchtigen te spotten? Dit is slechts een voorbeeld, maar je kan er tientallen bedenken. Zoals altijd kan je technologie goed gebruiken, en slecht gebruiken. Ik hoop enkele dat ze niet het kind met het badwater weggooien.

    1. Uiteindelijk is Little Brother nog een stukje enger dan Big Brother: Little Brother is praktisch niet via wetgeving en/of democratische processen in te perken. Interessante bijkomstigheid van Little Brother is wel dat de overheid net zo goed “slachtoffer” wordt: politie-agenten, rechters en politici zullen nauwlettend in de gaten worden gehouden. Niet dat dat overigens veel oplevert: je krijgt dan een systeem waarbij iedereen vast zit in een collectieve houdgreep van surveillance, in plaats van dat er een elite is die de dans ontspringt.

      En denk ook aan dit:

      In a Society in which there is no law, and in theory no compulsion, the only arbiter of behaviour is public opinion. But public opinion, because of the tremendous urge to conformity in gregarious animals, is less tolerant than any system of law. When human beings are governed by “thou shalt not”, the individual can practise a certain amount of eccentricity: when they are supposedly governed by “love” or “reason”, he is under continuous pressure to make him behave and think in exactly the same way as everyone else.

      — George Orwell, “Politics vs. Literature: An Examination of Gulliver’s Travels,” 1946

      Voordeel is wel dat zo’n grote kracht een grote tegenkracht zal genereren: mensen zullen steeds meer belang gaan hechten aan privacy-beschermende maatregelen. Hopelijk zal die behoefte omgezet kunnen worden in concrete maatregelen: de mentaliteit van “ik heb niets te verbergen” en “wie iets heeft te verbergen is verdacht” zal hier dodelijk zijn, en zal resulteren in een maatschappij waarin het niet prettig leven is.

      Waar zich dat concreet in vertaalt bij nummerborden is moeilijk in te schatten. Misschien is het beter als we accepteren dat mensen zonder nummerbord rond gaan rijden?

  4. Als ik een bericht op een forum zie dat kenteken 48-FG-AS een wegmisbruiker is, dan is dat voor mij dus geen persoonsgegeven omdat ik dat kenteken niet zelf kan herleiden tot een persoon, ik heb immers geen toegang tot die registers. Echter, al zou ik het wel kunnen herleiden tot een persoon, dan is dat nog steeds niet een heel relevant gegeven, want ook al weet ik dat het hier om J. Jansen gaat, dan is dat nog steeds niet heel spannend, ik ken hem of haar echter niet. Pas als ik dat kenteken zou herkennen, omdat ik het bijvoorbeeld op de parkeerplaats op kantoor zie staan, dan weet ik ineens, zonder dat ik in de gegevens van de RDW hoef te kijken, om wie het gaat. Daarmee wordt het ineens een relevant gegeven, en is het wat mij betreft ineens een inbreuk op de privacy van collega Jansen, het hele bedrijf weet immers dat deze collega als wegmisbruiker wordt gezien.

    Wat ik hiermee wil zeggen, is dat kentekens eigenlijk alleen een interessant gegeven zijn voor mensen die de houder kennen, en het daarmee dus wel degelijk een privacyinbreuk kan opleveren.

    Stel nu dat ik een maand lang kentekens ga opschrijven van alle auto’s die ik tegenkom in een straat waar veel prostitutie plaatsvindt. Vervolgens begin ik een website waarop mensen kunnen checken of de auto van hun partner daar is gezien (en tegen betaling natuurlijk ook tijd en frequentie kunnen opvragen, ik zie een businesscase). Dan publiceer ik dus nog steeds geen persoonsgegevens, en niemand koppelt die gegevens aan de RDW. Er vindt slechts een soort reverse matching plaats, en alleen de mensen die wéten wat het kenteken van een bepaald persoon is, kunnen hier iets mee. Is dit helemaal binnen de wet, volgens bovenstaand artikel?

    1. Jouw businesscase voldoet niet aan de eisen die het CPB heeft gesteld. Jij zorgt er namelijk wel voor dat derden het kunnen herleiden en daarom zal je de eigen noodzaak aan moeten tonen en zo veel mogelijk rekening moeten houden met de privacy van die persoon. Aangezien jouw hele case gebaseerd is op het schenden van die privacy, denk ik niet dat het een kans maakt.

    2. Ik denk dat dat valt onder de “[indien] redelijkerwijs ook niet te verwachten valt dat die gegevens langs een omweg (eventueel door derden) zullen worden herleid.” Je weet hier dat derden -jouw bezoekers- die herleiding gaan doen, dus daarmee zijn die kentekens voor jou persoonsgegevens geworden.

      1. Dat geldt feitelijk voor alle kentekens. Als ik toch dat van een collega herken, dan is het ‘herkennen’ ineens ‘langs een omweg herleiden’. Daarmee zijn alle publicaties van kentekens, voor een select groepje mensen altijd een persoonsgegeven, en dus niet zomaar gepubliceerd mogen worden. De case die ik hier eerder noemde is natuurlijk ook belachelijk, maar het was meer om aan te geven dat het binnen de definitie die Arnoud in het artikel aanhaalt, nog zou passen.

  5. Als het doel is gedrag te signaleren/discussieren (bijv. een wegmisbruiker) en dus een persoon te identificeren is het duidelijk dat het kenteken een persoonsgegeven is, immers we hebben geen zelfrijdende auto’s, dus het gaat om de bestuurder. Als het gaat om over het voertuig te praten (bijv. een forum), dan is het kenteken geen persoonsgegeven (en vaak ook geen relevant gegeven meer)

  6. Natuurlijk, met nummerbord kunnen anderen de auto herkennen, maar hoe relevant is dat?

    Het kenteken is relevant als je meldingen van incidenten wilt matchen zodat je notoire wegmisbruikers met meerdere meldingen wilt kunnen herkennen.

      1. De politie spoort misschien 1% op van het hufterige gedrag van auromobilisten. Met de dashcams worden straks dagelijks duizenden voorbeelden van asociale bestuurders geüpload en dan zal je veelplegers, bijvoorbeeld bumberklevers, vaak tegenkomen.

        1. En dan geef je die filmpjes aan de politie en die zal dan wel doen wat in een rechtsstaat passend is gezien het budget en de prioriteiten en de maatschappelijke relevantie etc.

          Waarschijnlijk zal die niets doen, maar dat geeft je nog niet het recht om dan maar zelf actie te ondernemen. Want waarschijnlijk is het gedrag niet onwettig, maar wel asociaal en ergerlijk.

          1. Want waarschijnlijk is het gedrag niet onwettig, maar wel asociaal en ergerlijk.

            Het meeste asociale weggedrag is ook vaak verboden. Denk aan bumperkleven, rechts inhalen, doorrijden onder een rood kruis enz enz. Het kan mogelijk echter best legitiem zijn om een site te maken die dergelijk weggedrag van andere weggebruikers signaleert. Vergelijk met bijvoorbeeld de sites waar oplichters worden benoemd.

  7. Een kenteken op een auto lijkt me niet veel anders dan de naam van een boot of het huisnummer op een huis. Ik heb wel eens een fraaie voordeur gefotografeerd en daarbij het huisnummer weggepoetst. Maar was dat nodig en staat er niet gewoon een naam bij op een naambordje. En als mensen dat zo nadrukkelijk aan hun huis hangen moet je daar dan omzichtig mee omgaan? Zo niet dan ook niet voor autokentekens of namen van schepen. Die laatsten worden door bepaalde groepen door de hele wereld op het internet gevolgd.

    1. Wat heb je aan een huisnummer als je straat- en plaatsnaam niet weet? Het ophangen van een kentekenplaat aan je auto is wettelijk verplicht, maar misschien kunnen we het parlement overtuigen die verplichting uit privacyoverwegingen in te trekken. 😉

  8. Met alles wat je erover schrijft wordt voor mij de vraag nijpender hoe ik kan nu precies kan vaststellen wanneer een gegeven een persoonsgegeven is. Ik ben daarom erg blij met de uitgebreide toelichting van het CBP.

    Mijn twijfels worden nog niet helemaal weggenomen.

    De toelichting begint met uit de wet te citeren: Een persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

    Maar de definitie die in mijn hoofd zit is: een gegeven is een persoonsgegeven als het te herleiden is tot een persoon. En dat blijkt inderdaad zoals het CBP het begrip uitlegt. Want ze schrijven: als je dat herleiden niet kunt doen, of het onevenredig veel moeite kost, is er geen sprake van een persoonsgegeven.

    Ik heb hier twee problemen mee.

    Ten eerste dat dat m.i. dus niet is wat de wet zegt. Ik hoop dat de mening van het CBP over wat de wet zegt door rechters als leidend wordt beschouwd, zodat hier geen discussie over ontstaat.

    Ten tweede dat of een gegeven een persoonsgegeven is dan heel duidelijk geen eigenschap is van dat gegeven alleen. Dat zegt het citaat dat je aanhaalt over kentekens ook heel duidelijk: als ik geen middelen heb om van een kenteken de eigenaar te identificeren is een kenteken voor mij geen persoonsgegeven. Maar dan zijn MAC-adressen dat dus ook niet altijd. Dat hangt dan af van wat ik verder nog over die MAC-adressen weet of eenvoudig te weten kan komen. Als ik bijvoorbeeld een log bijhoud welk MAC-adres wanneer op een netwerk verschijnt en verdwijnt, en ik heb een lijst die MAC-adressen aan personen koppelt, en geen manier om die lijst uit te breiden, zijn de verbindingen in mijn log alleen persoonsgegevens voor zover de desbetreffende MAC-adressen in mijn lijst voorkomen. Maar als iemand mij een andere lijst geeft en uitlegt dat de eerste lijst onzin was, of als ik de log geef aan iemand met een heel andere lijst, kan ineens een heel ander en misschien wel veel groter deel van de log persoonsgegevens bevatten.

    Wat heeft dit voor consequenties voor mijn verplichtingen ten opzichte van het opslaan, bewaren en doorgeven van gegevens? Moet ik niet even zorgvuldig met gegevens omgaan die persoonsgegevens kunnen worden als met gegevens die het al zijn?

    Het is me niet duidelijk wat het CBP daarvan vindt. Het standaardvoorbeeld is Google Analytics en andere tracking cookies: de beheerder van de site kan aan die gegevens vaak niet zien welke persoon de browser zit te bedienen, maar Google, Facebook enz. kunnen dat vaak wel – en ze krijgen die gegevens alleen omdat de beheerder dat faciliteert. Je dekt dat als sitebeheerder dan juridisch af door met ze overeen te komen dat ze dat herleiden niet zullen doen en ook anderen niet laten doen; als ze die belofte vervolgens niet houden (en dat lijkt me wel zo ongeveer gegarandeerd) is het niet jouw probleem.

    Heb ik dat zo goed begrepen?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.