Onderzoeker: automobilisten eenvoudig te volgen via populaire parkeerapps

| AE 13579 | Ondernemingsvrijheid, Privacy, Security | 24 reacties

Meer dan een kwart van alle auto’s is eenvoudig te traceren door middel van populaire parkeerapps zoals EasyPark, Q-Park, Indigo Neo, Interparking en APCOA, zo stelt de Belgische beveiligingsonderzoeker Inti De Ceukelaire op basis van eigen onderzoek. Dat meldde Security.nl onlangs. Bij al die apps kun je gemakkelijk kentekens toevoegen, maar zonder controle of je er houder van bent. Zo kun je dus vervolgens parkeeracties van die auto’s inzien. Inti maakte ook een opt-out.

De kern van het onderzoek is verbazingwekkend simpel. Vrijwel iedere parkeerapp biedt de mogelijkheid meerdere kentekens toe te voegen, waarbij geen enkele controle volgt of je daar houder van bent, of dat de eigenaar van die auto het goed vond. Een legitieme reden kan zijn dat je een buurman of vaste klant wilt laten parkeren via jouw app, maar je kunt zo ook mensen stalken (het nummerbord van je ex of die man/vrouw die je laatst klemreed bij de afrit Nieuwegein).

Natuurlijk werkt dat alleen als je vervolgens ook een parkeeractie uitvoert, pas dan zie je (ter controle) de straat of parkeergarage waar de auto is. Door sessies van 1 seconde te doen, voorkwam de onderzoeker dat de slachtoffers zouden zien dat ze al geparkeerd staan (als ze bijvoorbeeld dezelfde app hebben, of doordat de slagbomen opengaan zonder betalen).

Een gebrek bij kentekens is dat je geen verificatie kunt doen, zoals bij 06-nummers of e-mailadressen wel kan. Een systeem dat werkt op basis van kentekens (zoals parkeerapps) heeft dus fundamenteel dit probleem, en daar is geen oplossing voor behalve de RDW zo gek krijgen dat ze brieven gaan sturen naar de kentekenhouder wanneer een app deze wil registreren. (Ik zie dat niet gebeuren.)

De Ceukelaire merkt op dat parkeersessies een onschatbare bron van informatie prijsgeven over bestuurders. “Aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen. Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen.”
Het onderzoek werd overigens netjes uitgevoerd op kentekens van vrijwilligers die wel eens wilden weten of ze werkelijk getrackt konden worden.

Arnoud

Mag je van de AVG een foto met kenteken van een parkeerovertreder Twitteren?

| AE 11273 | Privacy, Uitingsvrijheid | 22 reacties

Via Twitter: mag je van de AVG een foto met leesbaar kenteken op Twitter plaatsen om zo een verkeersovertreding te tonen? In dit geval ging het om een persoon die parkeerde op een gehandicaptenplaats, zonder een vergunning daarvoor te hebben. “Wie kent de eigenaar van deze auto ? Hij mag onze #invalideparkeerkaart hebben als hij ook de #HuntingtonsDisease van mijn man erbij neemt.” aldus de Twitteraar, inclusief hashtags van de locatie. En dus het kenteken herkenbaar. Daar kwamen -naast vele steunbetuigingen- ook een aantal kritische noten: mag dat wel van de AVG? Een kenteken is immers een persoonsgegeven, en zo schend je die persoon zijn privacy onnodig.

Ja, onnodig, want je had ook aangifte kunnen doen. Op de foto was zelfs al een parkeerboete te zien (380 euro, zo laat ik me vertellen) dus deze eigenaar is al gestraft. Wat is dan nog de toegevoegde waarde van alles herkenbaar op Twitter zetten?

Volgens mij is “toegevoegde” hierin een foute term. Het gaat niet om iets toevoegen, iets erbij doen. Een publicatie als deze zie ik als een meningsuiting, een schandaal(tje) aan de kaak stellen dat in dit geval ongetwijfeld een veel voorkomende ergernis van de Twitteraar is. Je mening geven is niet iets dat je “bij” andere dingen doet, of alleen maar mag doen als je geen andere opties meer hebt. Je uitingsvrijheid is een grondrecht, en dat mag je inzetten wanneer je wilt.

Binnen de grenzen van de wet natuurlijk, en de AVG is een wet die ook geldt bij journalistieke uitingen. Weliswaar zijn een aantal zaken niet van toepassing (zoals het inzage- en correctierecht en het recht te worden vergeten, en de registerplicht) maar ook bij een journalistieke verwerking moet je een grondslag hebben en zorgvuldig te werk gaan, zo staat in de AVG. Effectief komen die regels neer op hetzelfde kader als waar journalistieke uitingen altijd al aan getoetst werden. Het is niet zo dat de AVG de vrijheid van meningsuiting inperkt, dat je sinds 25 mei 2018 minder mag zeggen dan voorheen.

Maar ben je wel journalistiek bezig eigenlijk? Ja, is het korte antwoord. Ook als particulier die los staat van een of ander persmedium. Dat is vaste jurisprudentie, iedereen mag zich journalist noemen. Het gaat er niet om of je een perskaart hebt, maar of het relevant om te melden is wat je doet. Feiten, meningen of ideeën aan het publiek bekend maken, dat is de definitie.

Daar staat tegenover dat de Autoriteit Persoonsgegevens heeft gezegd dat je alleen journalistiek publiceert als je aan vier eisen voldoet:

  1. Objectieve informatieverzameling
  2. Regelmatige bezigheid
  3. Maatschappelijke strekking
  4. Recht van repliek
Waar deze eisen op gebaseerd zijn, weet ik echter niet. In de AVG staan ze in ieder geval niet, noch in de jurisprudentie over wat een journalistieke verwerking is of wanneer sprake is van een legitieme meningsuiting. In Nederland kennen we bijvoorbeeld dat recht van repliek helemaal niet, het is vaste prik dat je als journalist geen weerwoord hoeft op te nemen voor een rechtmatige perspublicatie. Ik vermoed dat de AP hier het criterium “verwerking voor journalistieke doeleinden” en de uitwerking van de grondslag “legitiem belang [bij publicatie]” samenvoegt voor het gemak.

Arnoud

Waarom is een IP-adres een persoonsgegeven en een kenteken niet?

| AE 10365 | Privacy | 28 reacties

Een lezer vroeg me:

Regelmatig lees ik dat IP-adressen als persoonsgegevens worden gezien, omdat ze tot een persoon (de gebruiker van de computer waar dat adres aan toegekend is) herleidbaar zijn. Dat klopt in theorie, maar je hebt daar de internetprovider voor nodig en die zal zonder gerechtelijk bevel niet meewerken, toch? Maar bij kentekens is de situatie hetzelfde en daarvan zegt de toezichthouder dat het géén persoonsgegevens zijn voor jou of mij, alleen voor de RDW. Waarom dat onderscheid?
Dit onderscheid is inderdaad lastig uit te leggen, maar gelukkig verdwijnt het met de AVG: beide gegevens zijn vanaf 25 mei gewoon keihard persoonsgegevens voor iedereen, punt.

Ik denk dat het onderscheid vooral om historische redenen zo gegroeid zijn. Bij invoering van de Wbp is gezegd dat kentekens alleen voor de RDW persoonsgegevens zijn. Dit was namelijk de klassieke opvatting: een gegeven is alleen persoonsgegeven voor wie de persoon kan identificeren, en gewone mensen kunnen dat niet. Omdat juristen graag de wet en dit soort parlementaire stukken overschrijven in leerboeken, is de opvatting “kenteken alleen voor RDW persoonsgegeven” gemeengoed geworden. (Zei hij cynisch.)

De discussie over IP-adressen is van recenter datum en veel meer een open vraag gebleven. Onze toezichthouder was er altijd stellig in: ja, in principe wel. Daar was de nodige kritiek op, met terechte vraagtekens overigens. Pas zeer recent (oktober 2016) is er een definitieve uitspraak gekomen: ja, in principe wel. Er is immers een mogelijkheid tot identificatie van de gebruiker, en dat daarvoor een gerechtelijk bevel nodig is, is een praktijkdetail maar theoretisch niet relevant. Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus.

Maar zoals gezegd, eigenlijk is de discussie achterhaald want de AVG (of GDPR) kent een nieuwe definitie van het begrip ‘identificeerbaar’ bij persoonsgegevens:

als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Die ‘online identificator’ kan natuurlijk prima het IP-adres van de persoon zijn. En het nieuwe is dan dat de AVG zegt dat je iemand geïdentificeerd hébt. Dus niet “deze persoon is te herkennen door NAW-gegevens op te vragen voor het IP-adres 192.168.1.1” maar “deze persoon héét 192.168.1.1”. Het doet er dan dus niet meer toe of je ook nog andere identificerende gegevens te pakken kunt krijgen en hoe moeilijk dat is. (Update 2 maart 2023: behalve natuurlijk de datum en tijd waarop het aan jou toegekend is, want morgen kan een IP-adres naar iemand andes wijzen.)

Arnoud

Mag je verkeershufters op Youtube zetten die gevaarlijk in de sneeuw rijden?

| AE 10039 | Privacy, Uitingsvrijheid | 18 reacties

Mag je beelden maken van gevaarlijk rijgedrag en dat op sociale media publiceren? De vraag kwam de afgelopen dagen vaak langs. De afgelopen dagen sneeuwde het zo hard dat code rood werd uitgeroepen: ga liever niet de weg op, tenzij het echt moet. Maar natuurlijk heb je mensen die zichzelf Max Verstappen wanen en gewoon… Lees verder

Mag een appartementencomplex werken met kentekenherkenning?

| AE 9659 | Privacy | 35 reacties

Een lezer vroeg me: De vereniging van eigenaren van mijn appartementencomplex wil gaan werken met kentekenherkennning bij de poort. Alleen bewoners en vooraf aangemelde bezoekers kunnen dan nog automatisch naar binnen, de rest moet aanbellen. En van iedere bezoeker worden naam, kenteken en in- en uitrijtijden vastgelegd. Hoe zit dat juridisch? Het is natuurlijk toegestaan… Lees verder

Mag ik statistieken maken van het verkeer door mijn straat?

| AE 8534 | Privacy | 21 reacties

lezer vroeg me: Ik woon naast een drukke sluiproute in mijn dorp en wil graag statistieken maken van het autoverkeer dat langs rijdt. Ik wil daartoe met een webcam uit mijn slaapkamerraam auto’s fotograferen en de kentekens herkennen. De beelden gooi ik meteen weg, de kentekens sla ik op zodat ik statistieken kan maken over… Lees verder

Mag Debtscan kentekens van willekeurige auto’s fotograferen?

| AE 5857 | Privacy | 54 reacties

Het CBP doet onderzoek naar het kentekenscannend bedrijf Debtscan, las ik bij Webwereld. Het bedrijf werkt met scanauto’s die kentekens detecteren aan de hand van infraroodbeelden, om zo auto’s van mensen met executeerbare schulden op te sporen. Nu zijn kentekens persoonsgegevens dus dat roept de vraag op, mag dat zomaar? (En ja ik weet dat… Lees verder