Moet je bij een rit door België je dashcam registreren bij de overheid?

| AE 11835 | Regulering | 9 reacties

Autobezitters die een dashcam in hun voertuig hebben geïnstalleerd moeten rekening met de privacyregels houden. Dat las ik bij Security.nl vorige week. De Belgische politie voelde zich geroepen automobilisten met dashcam uit te leggen wat de AVG daarover zegt; mij is niet duidelijk waarom gezien ook in België handhaving van die wet niet onder het strafrecht valt en de politie daar dus niet over gaat. Maar opmerkelijk was wel dat je in België je bewakingscamera verplicht moet registreren, en dat dat ook geldt voor dashcams. En naar de letter ook voor Nederlanders die door België rijden met dashcam, wat nog een leuke wordt nu de site waar je de registratie moet doen, alleen werkt voor Belgen met een eID.

Dat het maken van elektronische video-opnamen van mensen onder de AVG valt, is volgens mij geen verrassing. Gelukkig gaat dat specifiek bij dashcams meestal vanzelf goed, omdat je je dan kunt beroepen op de uitzondering voor strikt persoonlijk of huishoudelijk gebruik. Maar, zo merkt de Belgische politie op, als je van plan bent die beelden aan je verzekeraar of advocaat te geven in verband met een aanrijding of iets dergelijks, dan val je buiten die uitzondering en moet je dus gewoon volledig voldoen.

Dáár kijk ik wel een beetje van op, omdat het mij nog steeds huishoudelijk voorkomt dat ik mijn advocaat een procedure laat starten of mijn verzekeraar laat zien dat een ongeval niet mijn schuld was. Helaas is er bar weinig jurisprudentie over deze term. Ja, de Rynes-zaak met die bewakingscamera die ook de openbare weg filmde. Daar was het criterium dat de verwerking buiten de privésfeer van de verantwoordelijke raakte, maar dat helpt niet héél erg. Want is mijn rechtszaak een privéaangelegenheid?

Belangrijker is wel dat in België er een aparte wet is die eist dat je bewakingscamera’s registreert (de Camerawet), en dat -wederom aldus de politie- dashcams daar ook onder vallen. En dat lijkt te kloppen, die wet regelt ook mobiele bewakingscamera’s. Maar daar twijfel ik (oké, ik ben geen Belgisch jurist) over want een bewakingscamera heeft tot doel “de bewaking en het toezicht van [] plaatsen” en dat is niet waar je een dashcam voor inzet. Dat gaat om bewaking van een rijdend voertuig.

Dus daarom zou ik zeggen dat een dashcam er niet onder valt. Dat gezegd hebbende, een agent zit zelden te wachten op spitsvondige juristerij, zeker als die erop neer komt dat zijn baas verkeerde informatie heeft verstrekt. Dan zit je nog wel even bij de zwaantjes. Ik zou het dus niet doen.

Arnoud

Arnoud

Als Google zegt dat je langs een crime scene fietste, ben je dan verdachte?

| AE 11827 | Regulering | 12 reacties

Een fietser in Florida werd als verdachte van een inbraak aangemerkt omdat Google had gezien dat hij ten tijde van de inbraak een paar keer langs het huis was gefietst. Dat meldde NBC News onlangs. De politie had bij Google kennelijk locatiegegevens van mensen in de buurt opgevraagd (een geofence warrant), en deze meneer was eruit gesprongen omdat hij drie maal in een uur langs het huis was gekomen. Na enige herrie van zijn advocaat lijkt de zaak te zijn ingetrokken, maar opmerkelijk blijft het. En zeker gezien het enorm toegenomen gebruik van dergelijke omgekeerde sleepnetten is het een gevaarlijke ontwikkeling.

De politie in de VS maakt steeds vaker gebruik van geo-fence warrants, een bevel aan partijen als Google om locatiedata van alle gebruikers van hun diensten in de buurt van een plaats delict af te geven. Het idee is dat de dader waarschijnlijk ook wel een Android telefoon bij zich had (alleen good guys hebben een iPhone, immers) en dan kun je dus in de aangetroffen sporen gaan zoeken naar wie de dader was.

Inderdaad, dat heeft als nadeel dat je dus aanneemt dat de dader er wel tussen zal zitten. En dan gaat het dus mis als je zo’n toevallige passant als deze fietser aantreft. Hij fietste daar als deel van zijn fitnessroutine, en het huis lag nu eenmaal zo op de route dat hij er drie keer vlak langs kwam. Maar ja, dat valt dan wel op als je er naar kijkt met de blik van de dader willen vinden.

Het lastige is, het is openbare data – ook in Nederland kun je dit als politie denk ik wel opvragen binnen de huidige regels van Strafvordering. Het gaat er vooral om wat je ermee doet, hoe je die data interpreteert. En het lijkt mij heel lastig om daar echt objectief naar te kijken, zeker wanneer je al een gek patroon hebt dat je vaker hebt gezien bij daders.

Natuurlijk is het te weinig om iemand echt te veroordelen op basis van één getuigenverklaring, namelijk dat Google zei dat je er was. Maar het kan wel genoeg zijn, zo’n verklaring in combinatie met wat opvallends dat daaruit op te maken is, om je als verdachte aan te merken en dan nader onderzoek te doen. En dat kan behoorlijk invasief zijn – je apparatuur wordt doorgelicht, mogelijk je huis doorzocht, jij een nachtje in detentie en/of verhoor. Ook al blijkt dan achteraf dat de verdenking onterecht was, je zult er nog lang last van hebben.

Arnoud

Je zou denken dat die rechtszaak over SyRI niet nodig was geweest, zo logisch was die uitspraak (maar wel heel lang)

| AE 11759 | Regulering | 33 reacties

Het computersysteem dat de overheid gebruikt om fraude te ontdekken, schendt de privacy. Dat meldde NRC in de langverwachte SyRI uitspraak van de rechtbank Den Haag. Die wijst de inzet van SyRI door het UWV af omdat er geen onderbouwde noodzaak is. Logische uitspraak, zou je zeggen. Maar het is wel een héle dikke lap vonnis die men neerlegt: ik heb nog nooit 118 overwegingen gezien om een eis toe te wijzen.

SyRI is bedoeld voor gemeenten om fraude met sociale voorzieningen op te sporen. Dat gebeurt door gegevens van burgers uit allerlei overheidsdatabases te koppelen. Via een algoritme komen vervolgens risicoprofielen en personen met een verhoogd risico op fraude naar voren. Grof gezegd: als in het weekend je waterverbruik hoger is dan normaal en je staat als alleenstaand bekend, dan ben je een mogelijke fraudeur, pardon een risico want kennelijk woont je partner in het weekend bij jou. Dus dan krijg je een onderzoek en moet je aantonen dat je in het weekend gewoon graag in bad gaat. (Let op dat jij de bewijslast hebt want jij moet alle relevante feiten melden, dus ook bewijzen dat je alles hebt gemeld. Ja dit is raar.)

Om als overheid de privacy van de burger te mogen inperken (“legaal schenden”), zet de wet (artikel 8 EVRM) een aantal grenzen. De eerste lijkt de makkelijkste: er moet een wet zijn die bepaalt wanneer dit mag, waarom en tot hoe ver dan. Die wet maken kostte onze overheid nog even tijd, maar hij kwam er dan toch in 2014 als een wijziging in de Wet SUWI. Deze bepaalt dat “risicomeldingen” kunnen worden gedaan binnen een samenwerkingsverband, op basis van data die een aantal samenwerkende instanties tot hun beschikking hebben.

Maar met een wet ben je er niet. Die wet moet ook een legitiem doel dienen. Daar is de rechtbank vrij snel klaar mee: fraudebestrijding is legitiem want dat kost ons allen veel geld. Zo’n 150 miljoen euro, en daar achteraan willen is legitiem. (Als de rechtbank had gezegd dat dat slechts 0,2 procent van het totaal aan uitkeringen is, dan had dat zo raar geklonken. En ik laat u tussen deze haakjes achter met de constatering “Het gemiddelde fraudebedrag per uitkering is 17 euro.”)

Oké, kennelijk legitiem dus. Maar dan komt de laatste en grootste horde: noodzakelijkheid, proportionaliteit en subsidiariteit in het licht van de doelen die de wet dient. Dit is een hele mond vol, zeg maar het juridisch equivalent van een virtual inheritance base class constructor. En juristen worden daar altijd net zo zenuwachtig van als programmeurs. Maar concreet, er moet sprake zijn van een ‘fair balance’ tussen de doelen van de SyRI-wetgeving en de inbreuk op het privéleven die de wetgeving oplevert.

De grote pijn bij SyRI zit hem hier. Met name wreekt zich dat je niet kunt zien wanneer je een verhoogd risico bent, of waarom dan precies. De wet vermeldt dat niet maar laat dat aan de implementatie over (“specificatie: het doet wat het doet”). Verder dan “je krijgt punten voor iedere risicofactor en er zijn modellen die factoren herleiden tot een signalering” lijkt men niet te zijn gekomen qua uitleg. En dat is bepaald vervelend, zeker als je bedenkt dat je met een systeem als dit juist mensen treft die toch al in een zwakke positie zitten én met wetgeving te maken hebben waarvan het niet frauderen bepaald geen sinecure is. (Had ik al gezegd dat vergeten door te geven dat je moeder 3 weken komt logeren een vorm van fraude is?) Daarmee ontbreken dus de benodigde waarborgen om fouten te voorkomen of de gevolgen daarvan in te kunnen perken.

Het belangrijkste verweer lijkt te zijn geweest dat SyRI ‘slechts’ een indicatie geeft en nog lang geen vonnis. Dat mag zo zijn, maar in de praktijk krijg je natuurlijk gewoon een onderzoek op je dak, en mede vanwege die omgekeerde bewijslast én de weinig juridisch onderlegde mensen die je dan treft, pakt dat dus erg vervelend uit. Oh ja, en meer dan de helft van de signaleringen was vals positief, als ik het zo snel even lees. Dan was dus een muntje opgooien “audit of niet” een stuk effectiever én legaler geweest.

Ik ga nu even iets doen waar ik vrolijk van word want ik merk dat bloggen over dít stuk faal-ict bepaald onprettig voelt. Ik heb niet snel dat ik echt bóós van het onrecht word.

Arnoud

Natuurlijk is dat Clearview hartstikke illegaal in Europa

| AE 11736 | Privacy, Regulering | 10 reacties

Het Amerikaanse bedrijf Clearview AI heeft via het verzamelen van openbare online informatie een database van zeker drie miljard foto’s aangelegd. Dat meldde BNR onlangs. Daarmee helpt het bedrijf volgens The New York Times autoriteiten om verdachte personen te identificeren. Wat vele lezers de vraag deed stellen, mag dat zomaar in Europa ook, dat je… Lees verder

Huh, afpersen is niet verboden als je dreigt met openbaarmaking?

| AE 11711 | Privacy, Regulering | 16 reacties

Af en toe kom je gekke zaken tegen als je op ‘internet’ zoekt op Rechtspraak.nl. Zo ook deze zaak over een relatief simpele afpersing zo lijkt het: een man breekt in bij een bedrijf, kopieert persoonsgegevens en eist bitcoins anders zal hij deze openbaar maken. Je zou zeggen dat dat strafbaar is, en omdat hij… Lees verder

Beter blijf je van je telefoon en WhatsApp af als de ACM binnenvalt

| AE 11666 | Regulering, Security | 20 reacties

De Autoriteit Consument & Markt (ACM) heeft aan een bedrijf een boete van 1.84 miljoen euro opgelegd omdat ze een onderzoek van de ACM heeft belemmerd. Dat meldde de toezichthouder onlangs. Medewerkers van het bedrijf dat wordt onderzocht voor het maken van concurrentievervalsende afspraken, hebben WhatsApp groepen verlaten en chats gewist tijdens een inval van… Lees verder

Wat gaan we in het mededingingsrecht doen met de internetplatforms?

| AE 11662 | Regulering | 7 reacties

De laatste maanden zeker, maar misschien al de laatste paar jaar proef ik steeds meer politieke wil om de grote internetplatforms te reguleren. Die zijn te groot, te eigenzinnig en te onbereikbaar voor ‘gewone’ juridische maatregelen. Dat verrast wel een beetje na vele jaren waarin die platforms alles mochten zonder enige begrenzing, maar misschien gaat… Lees verder

Nederlandse regering kan providers verplichten netwerkapparatuur te vervangen

| AE 11652 | Regulering | 9 reacties

De Nederlandse regering heeft een Algemene Maatregel van Bestuur gepubliceerd waarmee zij providers kan verplichten bepaalde netwerkapparatuur uit hun netwerk te halen. Dat meldde Tweakers vorige week. De AMvB bevat de bevoegdheid om een bedrijf aan te merken als ‘verdacht’ (zeg maar even) en dus niet gewenst om aan Nederlandse providers apparatuur of dienstverlening te… Lees verder

Cannabistelers kunnen een bankrekening krijgen, blockchainondernemers nu ook?

| AE 11626 | Ondernemingsvrijheid, Regulering | 6 reacties

ABN Amro moet onderneming Project C, een beoogd deelnemer aan het wietteeltexperiment van de overheid, alsnog een zakelijke bankrekening geven. Dat meldde RTL Z vorige week. De rechtbank Amsterdam vonniste dat de bank zich niet kan beroepen op contractsvrijheid en het algemene beeld dat wietbedrijven een integriteitsrisico onder de Wft vormen. Daarmee kan Project C… Lees verder