Via Reddit:
Een tijdje geleden is er een nieuwe slagboom geplaatst bij mijn appartementencomplex. … Tot mijn verbazing zag ik bij het resetten van de tag die ik gebruik om in- en uit te rijden, dat al mijn in- en uitrijmomenten per appartementnummer worden bijgehouden en opgeslagen. Ik vraag me af of dit eigenlijk wel is toegestaan en of ik hier bezwaar tegen kan maken.Slagbomen bij parkeerterreinen van een appartementencomplex zijn niet ongebruikelijk. Niemand zit te wachten op buitenstaanders die een eigen (vaak apart betaalde) plek inpikt. En je wilt een makkelijk systeem, dus dan kom je bij de tag die je tegen de lezer houdt.
Bij het bouwen van zo’n systeem is een loggingmodule die per tag de in- en uitrijtijden noteert haast triviaal. Ik zou het haast gek vinden als de slagboombeheerapp geen mogelijkheid heeft om te zien wanneer tag X naar binnen ging.
De vraagsteller heeft tegelijkertijd wel een punt dat voor de VVE de “waarom” vraag essentieel is. Leuk dat het kan, maar moet dat bij ons ook echt aan staan?
We hebben het vaker over toegangssystemen en VVE’s gehad.
[M]et badges [kun je] veel fijnmaziger toegang regelen: wel de hoofdingang en de deur van appartement 3, maar verder niets. En je kunt zelfs bijhouden welke badge wanneer is gebruikt, wat handig is als er schade of andere ongeregeldheden zich hebben voorgedaan.Een dergelijke motivatie zal er hier ook moeten komen. En daarbij is “je weet nooit of dit nodig is dus we houden het maar bij” echt te weinig. De noodzaak moet expliciet geformuleerd en gemotiveerd.
Ik kan in het algemeen geen noodzaak formuleren om te loggen wanneer iedere bewoner (tag) in- en uitrijdt. Of je naar binnen mag, is ergens geconfigureerd. Maar dat lost zichzelf op: je tag werkt of niet. Misschien is het handig om mislukte pogingen terug te kunnen zien maar zelfs dat vraag ik me af.
Arnoud
In aanvulling op of het wordt opgeslagen: vraag twee is wie er in welke gevallen bij kan en of dat wordt gelogd. Als alleen beheerderX van de leverancier het alleen kan inzien in opdracht van voorzitter VVE en dat die inzage incl. opgegeven reden is te zien door alle VVE-leden, dan zijn de privacy-risico’s beperkt.
Het beperken van inzage is een mitigerende maatregel, maar maakt een verwerking niet op magische wijze rechtmatig.
Vind je niet dat die mitigerende maatregel voldoende is om de belangenafweging onder sub f in het voordeel van de VvE te laten uitvallen?
Ik denk niet bij voorbaat dat het pertinent onmogelijk is (maar niet het punt dat ik poogde te maken, namelijk dat er niet automatisch een grondslag is als of omdat er een maatregel is om de impact voor de betrokkene te beperken – de grondslag kan er wel zijn).
Er is hopelijk nagedacht over doelbinding en minimale gegevensverwerking. Daarvan uitgaande is er kennelijk een doel én een noodzaak. Dan kun (en wil) je de mitigerende maatregel meenemen in de belangenafweging. Zonder notie van de noodzaak is het lastig oordelen of de f-grond überhaupt kan.
Mijn werkgever kan voor entree tot parkeerterrein en pand en tussendeuren in het pand volstaan met wel/geen toegang zonder te loggen wie waar en wanneer is geweest (en al dan niet toegang heeft gehad). Ik zie zo snel niet een échte noodzaak waarom dat voor een parkeerplek anders zou zijn.
Als een eigenaar diens pas kwijt raakt, is het in het belang van alle bewoners om te kunnen vaststellen of er wel of geen oneigenlijk gebruik gemaakt is van die verloren pas. Dus daar zou je zeker wel een motivatie voor kunnen opstellen.
Mag dit “wel of niet” is dus denk ik te zwart-wit, en het voelt logischer om uit te komen op “hoe lang slaan we het op, en welke waarborgen brengen we aan om de log te kunnen raadplegen”.
De pas blokkeren natuurlijk. Wat is de toegevoegde waarde om te weten dat hij gisteren om 15:07 gebruikt is?
Als een eigenaar de pas kwijt is wordt die geblokkeerd zodat er geen oneigenlijk gebruik kan plaatsvinden.
Als het nog niet is ontdekt, wat is dan het probleem met oneigenlijk gebruik? Blijkbaar veroorzaakt de misbruiker dan geen overlast, anders was het wel ontdekt. Ik geen argument om de privacy aan te tasten voor iets wat mogelijk heel misschien tot ‘iets wazigs’ kan leiden wat ongewenst is.
Ik werk zelf in IT-security en daar vinden we het volstrekt normaal dat als credentials verloren zijn we checken of ze in de tussentijd gebruikt zijn; en niet stilzitten en denken “als we gehackt waren hadden we wel wat gehoord”. Ik zou niet weten waarom dat in het fysieke domein nou zoveel anders is.
Het middel is hier erger dan de kwaal. “We weten niet of iemand op jouw plek parkeerde na het verlies en voordat jij dat verlies meldde”. Tsja. Is dat erg? Moeten we daarvoor van alle tags alle registraties bijhouden?
Ik weet natuurlijk niet of dat in dit geval ook zo is, maar bij veel appartementencomplexen, gebruik je dezelfde tag voor inrijden en om in de gemeenschappelijke ruimten te komen. In dat geval zou ik als bewoner toch wel graag willen dat die registratie plaatsvindt.
Daarnaast is het invoeren van dergelijke systemen in appartementencomplexen, vrijwel altijd iets dat door de ALV is besloten en dus met consent van de bewoners.
Op zich kun je de logging voor een slagboom tot een parkeerplek natuurlijk anders inrichten dan logging tot (andere) gemeenschappelijke ruimtes, is het niet?
Hoe werkt consent (toestemming in de zin van de AVG) door een VvE aan een verwerkingsverantwoordelijke precies? Kunnen VvE-leden hun (vermeende of afgeleide) toestemming ook rechtstreeks bij de verantwoordelijke intrekken?
Welke schade kan met gestolen computer-credentials aangericht worden? Welke “schade” met een gestolen parkeertag?
Als de parkeertag toegang met de auto geeft tot een terrein dat zonder tag te voet toegankelijk is, zie ik als enig risico dat iemand de tag misbruikt om op het terrein te kunnen parkeren. Na blokkade is de zaak opgelost.
Gaat het om een toegangspas voor een gebouw, dat niet voor het publiek toegankelijk, dan wordt de afweging wel anders en kan het nodig zijn nader onderzoek te doen.
Enige wat ik nog kan verzinnen is of een tag dubbel gebruikt wordt. Tag1 gaat naar binnen en dan nog een keer zodat er twee autos op 1 tag binnen staan of de toch al volle parkeerplaats.
Kan ook door de software opgevangen worden en dan hoef je alleen de laatste actie te onthouden en resetten als de auto weer weg gaat. Staan ze binnen en gaan ze weer naar binnen dan log.
Maar dit gaat ervan uit dat in en uit met tag is. Vaak alleen tag in en lus detectie naar buiten.
Daarvoor hoef je alleen de status van een tag bij te houden, niet het tijdstip waarop die status is gewijzigd.
Ik heb een privé plek, maar de gemeente doet het onderhoud en toezicht. Het systeem dat ze gebruiken is hetzelfde als voor de betaalde garages. Ik vermoed dat ze dus automatisch onze geschiedenis bijhouden, omdat ze dat voor de betaalde garages moeten doen om de juiste kosten te berekenen.
Misschien moet ik ze binnenkort eens een AVG verzoek sturen welke data ze over me bijhouden.
Ik zie eigenlijk geen redenen om die informatie te loggen die opwegen tegen de bezwaren. Voor het bepalen hoeveel auto’s er staan (als je dat zou willen weten, maar hoe groot is zo’n parkeerplaats nu eenmaal) is gewoon een teller bijhouden voldoende. Specifiek koppelen aan een bepaalde bewoner geeft de VVE (en derden bij een eventueel datalek) inzicht in wanneer iemand normaal gesproken weg gaat en weer thuis komt. Dat op zichzelf is denk ik al ongewenst. Daarnaast is er een risico op misbruik van die gegevens; je kan een patroon van gedragingen vaststellen, zoals hoe laat iemand op werkdagen thuis komt of bepalen wanneer iemand vakantie heeft. Om het risico op misbruik zoals ongewenste ontmoetingen in de lift, inbraak, of stalking te voorkomen lijkt het me beter die informatie helemaal niet op te slaan.
Dat risico op een datalek kan je ook niet zomaar negeren; ik geloof dat de AP vorig jaar zo’n 40.000 meldingen heeft gekregen, en het werkelijk aantal ligt dan natuurlijk nog hoger. Als de VVE een eerlijke afweging zou maken zie ik niet welk argument zwaarder weegt dan deze risico’s.
Allereerst: de link naar het appartementnr is extreem problematisch en compleet onnodig.
Het enigste dat ik zie is het beperkte tijd bijhouden van de mislukte pogingen op tag basis. Alleen zie ik die niet voorkomen, behalve als er bijkomende restricties zijn. bv. tag X mag alleen binnenrijden na 18u.
Ik zie geen nut voor gelukte pogingen.