Trouw: politie houdt van 9 miljoen mensen automatisch levensgebeurtenissen bij

| AE 13481 | Regulering | 11 reacties

Iedereen met wie de politie ooit contact heeft gehad, staat in de computer. Dat bracht Trouw onlangs (via). De gegevens zijn afkomstig uit de Basis Registratie Personen (BRP) en worden automatisch door politie opgevraagd. De politie verzamelt zo informatie over onder anderen verdachten, slachtoffers, getuigen of mensen die ooit een aangifte hebben gedaan. Dit gebeurt al jaren (al in 2015 waren er zorgen) maar de politie lijkt niet van zins te stoppen. Huh.

De gegevens worden nooit verwijderd, zelfs niet na het overlijden van een persoon. Dat meldt Tweakers erbij. De politie volgt op deze manier steeds meer mensen en bewaart zo ook onnodig informatie die niet langer van belang is voor een bepaalde zaak. Een woordvoerder van de politie reageert naar Trouw met “Voor het gebruik en actueel houden van die gegevens hebben we een juridische grondslag.”

Dat zal de Wet politiegegevens zijn, want artikel 4 lid 1 daarvan bepaalt dat de politie ervoor moet zorgen dat persoonsgegevens in hun bestanden “juist en nauwkeurig” zijn. Ben je dus met iemand bezig, dan is verdedigbaar dat je via de BRP bijhoudt of die persoon verhuist.

Dit is alleen niet hetzelfde als van alle personen die ooit met de politie spraken (het gaat ook over getuigen en mensen die een keer 0900-8844 bellen)  continu de gegevens actualiseren. Want diezelfde Wpg bepaalt ook

De verwerkingsverantwoordelijke treft de nodige maatregelen opdat politiegegevens worden verwijderd of vernietigd zodra zij niet langer noodzakelijk zijn voor het doel waarvoor zij zijn verwerkt of dit door enige wettelijke bepaling wordt vereist.
Als iemand ooit een melding deed van bijvoorbeeld een ongeval of een inmiddels geseponeerd strafbaar feit, dan is er geen reden meer om die gegevens te houden. En als je ze al wil houden voor het geval dat, dan is er geen reden om van die persoon de BPR gegevens er steeds weer bij te pakken. Een historisch dossier is precies dat.

Voor mij zit de verklaring uiteindelijk in de laatste alinea bij Security.nl:

Dat de situatie nog altijd niet is aangepast komt volgens de politie doordat het om grote logge applicaties gaat die niet zomaar zijn uit te zetten.
Het zou me inderdaad helemaal niets verbazen als de applicatie zo gebouwd is dat deze alle betrokkenen uit het eigen bestand synchroniseert met de BRP, en dat er geen selectieknopje is of filter voor “alleen iedereen in actieve dossiers” of “alleen indien betrokkene verdachte” of iets dergelijks. Maar goed: “We hebben zelf de conclusie getrokken dat we met minder gegevens toe kunnen, en daar werken we aan”, aldus Henk Geveke van de korpsleiding.

Arnoud

 

Molenbeek voert belasting in op zelfscankassa’s, mag dat in Nederland?

| AE 13459 | Regulering | 41 reacties

nosheep / Pixabay

Supermarkten in Sint-Jans-Molenbeek zullen dit jaar een belasting van 5.600 euro moeten ophoesten per zelfscankassa, las ik bij het Vlaamse Bruzz. Dit als ontmoedigingsbeleid, omdat zelfscankassa’s “gevolgen hebben voor de sociale samenhang in wijken waar veel ouderen wonen, omdat er geen contact is tussen klanten en werknemers.” Wat redelijk klinkt, maar wel bij velen de vraag opriep: mag je dat wel doen als gemeente, regels stellen aan de automatisering van een privaat bedrijf?

Een gemeente is bevoegd regels te stellen aan de huishouding van de gemeente (art. 124 Grondwet). De Gemeentewet werkt dit verder uit, maar de kern is dus dat een gemeente in grote lijnen veel vrijheid heeft in wat er wel en niet mag. De ene gemeente zal bijvoorbeeld inzetten op een ouderwets gezellig centrum met een leuke toestroom van dagjesmensen, de ander gaat voor rust en orde, enzovoorts. Dat is dus helemaal prima.

Uiteraard zitten daar grenzen aan. Juristen noemen dat de boven- en ondergrens. De bovengrens is waar hogere regelgeving geldt, met name de wetten uit Den Haag dus. Een gemeente mag niet zelf bepalen dat bij haar de maximumsnelheid in de bebouwde kom 100 km/uur is, omdat de Wegenverkeerswet daar al 50 als maximum stelt. (Verlagen tot 30 of woonerven aanwijzen mag wel, omdat de Wvw dat toestaat).

Hier gaat het om de ondergrens:

De ondergrens markeert het moment dat gemeentelijke voorschriften in (te) sterke mate treden in de ‘bijzondere belangen der ingezetenen’ en daarmee niet langer in het belang van de gemeente geacht kunnen worden te zijn. … de maatregel moet een relevantie hebben voor de door de gemeente te dienen (openbare) belangen.
Men citeert het arrest ‘Anticonceptivaverordening’ uit 1962, waarin een gemeente (Bergen op Zoom) verbood dat winkels anticonceptiva aanboden. Dat had niets met openbare belangen te maken, maar ging uitsluitend om wat mensen privé thuis doen zeg maar. (Regels over onzedelijkheid in het openbaar mogen natuurlijk wel, maar dat staat dan los van of men het veilig of onveilig doet.)

De vraag is dus hier – als we het in Nederlands recht duiden – of het zo moeilijk maken van zelfscankassa’s een openbaar belang dient of alleen de belangen van ingezetenen, de ondernemers van die supermarkten, raakt. De gemeente noemt twee redenen: de lokale werkgelegenheid (zelfscankassa’s vereisen minder personeel) en de sociale cohesie (ouderen en laagopgeleiden zullen minder vaak naar de supermarkt gaan, want zelfscankassa’s zijn afschrikwekkend).

Zelf vind ik die tweede wel een redelijke kanshebber, omdat sociale cohesie ook raakt aan de openbare orde. Werkgelegenheid is ook een belangrijke maar vind ik minder direct relevant bij dit argument. Maar in Nederland lijkt er minder aandacht te zijn voor de problemen rond zelfscankassa’s dus ik ben benieuwd of hier ooit een verordening tegen komt.

Arnoud

Gemeente Enschede naar rechter wegens AVG-boete Autoriteit Persoonsgegevens

| AE 13443 | Ondernemingsvrijheid, Regulering | 9 reacties

De gemeente Enschede stapt naar de rechter wegens de AVG-boete van 600.000 euro die de Autoriteit Persoonsgegevens vorig jaar wegens wifi-tracking oplegde. Dat meldde Security.nl vorige week. In april 2021 kreeg de gemeente de boete omdat zij “wifitracking gebruikte in de binnenstad op een manier die niet mag.” Weliswaar was het niet de intentie van Enschede om mensen te volgen, maar het kon gewoon gebeuren bij lang genoeg tellen. De wethouder: “Het feit dat de AP die suggestie wel heeft gewekt in haar boetebesluit en in haar media-uitingen, vindt het college van Enschede zeer kwalijk”.

Bij wifi-tracking wordt het signaal van mobiele telefoons gebruikt om groepen mensen in de gaten te houden. In de praktijk gebruiken bedrijven deze techniek bijvoorbeeld in en rond winkelcentra of andere (semi-)openbare plekken. Meestal gaat het dan om via Bluetooth verkregen gegevens, maar ook Wifi signalen kunnen worden gebruikt om tot een identifier te komen.

De kern is dat je vervolgens telt op basis van die identifiers, maar dat zo’n identifier tegelijk ook een persoonsgegeven is dat ook nog eens gebruikt kan worden om iemand te volgen. Dit omdat het gebruikte algoritme om van telefoongegevens tot de identifier te komen altijd hetzelfde resultaat gaf bij dezelfde telefoon. En ja, als je dat gedurende bijna twee jaar allemaal vastlegt dan gaat er iets mis:

De AP heeft vervolgens vastgesteld dat er uit de langetermijntabel van na 1 januari 2019 duidelijke leefpatronen te destilleren zijn. Gezien de regelmatigheid van de patronen kan redelijkerwijs worden geconcludeerd dat de bij het patroon horende registraties toebehoren aan één mobiel apparaat. De leefpatronen kunnen bijvoorbeeld iemands woon- of werkplek prijsgeven, maar ook gevoeligere gegevens zoals bezoeken aan medische instellingen.
Natuurlijk had de gemeente alleen het doel om algemene cijfers over drukte vast te stellen, zodat je bijvoorbeeld weet wanneer je de straatvegers kunt sturen (als het rustig is) of dranghekken (waar het straks niet rustig is) om eens een paar onschuldige toepassingen te noemen. Ik zou ook niet direct weten wat ik als wethouder zou moeten met gedetailleerde logs over al mijn burgers en hun wandelpaden in het centrum.

De boosheid van de gemeente verrast me een beetje. Het lijkt erop dat hier zich het vage concept ‘persoonsgegeven’ wreekt. Dat zijn natuurlijk gegevens waarmee iemand identificeerbaar is, maar dat is niet hetzelfde als weten wie iemand is. Beter gezegd: het serienummer van je mobiele telefoon is natuurlijk niet hetzelfde als de naam in je identiteitskaart. Volgens de AVG zijn beide echter gelijk – identificatoren. Enschede wist met haar systeem natuurlijk totaal niet welke namen er bij die passanten hoorden, en ik geloof graag dat het kwalijk is om te horen dat je dat wél zou doen. Wat de AP zegt, is dat ze dat serienummer niet mochten bijhouden, en dat is natuurlijk iets anders.

Er is ook nog iets met afgeknipte MAC adressen waardoor men denk ik wilde anonimiseren, maar dat ging niet helemaal goed want de resultaten konden nog steeds gekoppeld worden. Ik denk omdat het aantal Enschedeërs met dezelfde MAC prefixen op dezelfde tijden in de zelfde buurt erg klein is.

Arnoud

Minister stuurt wetsvoorstel dat doxing strafbaar moet maken naar Tweede Kamer

| AE 13453 | Regulering | 10 reacties

De Nederlandse minister van Justitie en Veiligheid Dilan Ye?ilgöz-Zegerius heeft een wetsvoorstel dat doxing strafbaar moet stellen, naar de Tweede Kamer gestuurd. Dat meldde Tweakers vorige week. Doxing is de wat merkwaardige internetterm voor “iemands identiteit achterhalen”, waarbij het eigenlijk altijd gaat, zoals het wetsvoorstel zegt, om het gebruik van persoonsgegevens voor intimiderende doeleinden. De maximale… Lees verder

Britse waakhond start onderzoek naar overname Activision Blizzard door Microsoft

| AE 13445 | Regulering | 7 reacties

De Competition and Markets Authority (CMA) is een onderzoek gestart naar Microsofts overname van Activision Blizzard, las ik bij Tweakers. Tot die overname ter waarde van 68,7 miljard dollar werd in februari besloten, maar vanwege de grootte van beide bedrijven op de game-markt startten diverse markttoezichthouders een onderzoek. Naast de Amerikaanse Federal Trade Commission dus ook… Lees verder

Man krijgt drie jaar cel voor grootschalige datahandel

| AE 13381 | Regulering, Security | 1 reactie

Een 35-jarige man uit Heerenveen is dinsdag veroordeeld tot drie jaar cel, las ik bij Nu.nl. Hij verkocht op internet lijsten met niet openbaar beschikbare persoonsgegevens, die door criminelen misbruikt konden worden voor verschillende vormen van fraude. Bij de strafmaat zit ook hennepbezit en witwassen van 70k, maar toch: dat zie je niet vaak, persoonsgegevenshandel…. Lees verder

OM wil makkelijker gegevens van resellers Nederlandse hosters hebben

| AE 13378 | Regulering | 23 reacties

Het Openbaar Ministerie wil dat het makkelijker wordt om klantgegevens en andere informatie op te vragen van bedrijven die serverruimte in Nederland doorverhuren. Dat las ik bij Security.nl. Men citeert hightechcrime-officier Esther Baars in OM-bedrijfsblad Opportuun die signaleert dat cybercriminelen vaak servers van Nederlandse datacentra gebruiken met tussenkomst van een reseller. Optreden daartegen vereist een rechtshulpverzoek, terwijl… Lees verder

Oh ja, dat Parkeerwekker bestond dus nog, maar in hoger beroep niet meer

| AE 13364 | Regulering | 14 reacties

Weet u nog, Parkeerwekker? De app waarmee gebruikers scanauto’s van een gemeentelijke parkeerdiensten konden detecteren, en zo snel de parkeerapp aanzetten omdat ze giechel giechel “waren vergeten” deze aan te zetten. En ja schandalig scanauto’s zijn in strijd met de AVG dus eigenlijk beschermen we de grondrechten hahaha. Het Hof Amsterdam vond het allemaal niet… Lees verder

Een Instagram account kun je niet verbeurd verklaren

| AE 13361 | Regulering | 6 reacties

Is een Instagram-account een voorwerp dat vatbaar is voor verbeurdverklaring? Met die retorische vraag opent een persbericht van de Hoge Raad, en naar goed journalistiek gebruik is het antwoord evident: nee. In een strafzaak tegen verkopers van namaakmerkkleding werden onder meer twee Instagram-accounts in beslag genomen, omdat met die accounts mensen werden verlokt om de nepkleding… Lees verder

Rechter beveelt politie in te loggen op WhatsApp-account overleden slachtoffer

| AE 13326 | Regulering, Security | 3 reacties

De rechter-commissaris in Den Haag heeft de politie bevolen om in te loggen op het WhatsApp- en Google-account van een overleden slachtoffer en zo de WhatsApp-communicatie en Google Takeout veilig te stellen voor zover die gegevens relevant zijn voor het onderzoek. Dat las ik bij Security.nl. Opmerkelijk, want de wet voorziet niet in een specifieke… Lees verder