Waarom is een IP-adres een persoonsgegeven en een kenteken niet?

| AE 10365 | Privacy | 28 reacties

Een lezer vroeg me:

Regelmatig lees ik dat IP-adressen als persoonsgegevens worden gezien, omdat ze tot een persoon (de gebruiker van de computer waar dat adres aan toegekend is) herleidbaar zijn. Dat klopt in theorie, maar je hebt daar de internetprovider voor nodig en die zal zonder gerechtelijk bevel niet meewerken, toch? Maar bij kentekens is de situatie hetzelfde en daarvan zegt de toezichthouder dat het géén persoonsgegevens zijn voor jou of mij, alleen voor de RDW. Waarom dat onderscheid?

Dit onderscheid is inderdaad lastig uit te leggen, maar gelukkig verdwijnt het met de AVG: beide gegevens zijn vanaf 25 mei gewoon keihard persoonsgegevens voor iedereen, punt.

Ik denk dat het onderscheid vooral om historische redenen zo gegroeid zijn. Bij invoering van de Wbp is gezegd dat kentekens alleen voor de RDW persoonsgegevens zijn. Dit was namelijk de klassieke opvatting: een gegeven is alleen persoonsgegeven voor wie de persoon kan identificeren, en gewone mensen kunnen dat niet. Omdat juristen graag de wet en dit soort parlementaire stukken overschrijven in leerboeken, is de opvatting “kenteken alleen voor RDW persoonsgegeven” gemeengoed geworden. (Zei hij cynisch.)

De discussie over IP-adressen is van recenter datum en veel meer een open vraag gebleven. Onze toezichthouder was er altijd stellig in: ja, in principe wel. Daar was de nodige kritiek op, met terechte vraagtekens overigens. Pas zeer recent (oktober 2016) is er een definitieve uitspraak gekomen: ja, in principe wel. Er is immers een mogelijkheid tot identificatie van de gebruiker, en dat daarvoor een gerechtelijk bevel nodig is, is een praktijkdetail maar theoretisch niet relevant. Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus.

Maar zoals gezegd, eigenlijk is de discussie achterhaald want de AVG (of GDPR) kent een nieuwe definitie van het begrip ‘identificeerbaar’ bij persoonsgegevens:

als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Die ‘online identificator’ kan natuurlijk prima het IP-adres van de persoon zijn. En het nieuwe is dan dat de AVG zegt dat je iemand geïdentificeerd hébt. Dus niet “deze persoon is te herkennen door NAW-gegevens op te vragen voor het IP-adres 192.168.1.1” maar “deze persoon héét 192.168.1.1”. Het doet er dan dus niet meer toe of je ook nog andere identificerende gegevens te pakken kunt krijgen en hoe moeilijk dat is.

Arnoud

Mag je verkeershufters op Youtube zetten die gevaarlijk in de sneeuw rijden?

| AE 10039 | Privacy, Uitingsvrijheid | 18 reacties

Mag je beelden maken van gevaarlijk rijgedrag en dat op sociale media publiceren? De vraag kwam de afgelopen dagen vaak langs. De afgelopen dagen sneeuwde het zo hard dat code rood werd uitgeroepen: ga liever niet de weg op, tenzij het echt moet. Maar natuurlijk heb je mensen die zichzelf Max Verstappen wanen en gewoon stevig doorrijden, al dan niet naast een school of over het fietspad. Dat wordt even zo natuurlijk massaal gefilmd en onder afkeurend commentaar op internet gezet. Mag dat?

Hoofdregel is dat je mag filmen op de openbare weg wat en wie je wilt. Dat is onderdeel van de vrije nieuwsgaring. Maar wanneer je die beelden gaat publiceren of aan anderen geven, moet je een afweging maken of de reden van publicatie of verstrekking wel opweegt tegen de privacy, en wat je eventueel kunt doen om het privacyaspect te beperken.

De bekendste maatregel die je kunt nemen, is mensen onherkenbaar maken. Denk aan het nummerbord of iemands hoofd uitblurren, of misschien even opletten dat niet zijn huisnummer en straatnaam in beeld komen. Je zou ook uit kunnen zoomen zodat die informatie onleesbaar wordt. In principe is je pulicatie daarna legaal, omdat je dan geen privacygevoelige informatie meer publiceert. (Ga je erbij zetten “Wie weet wie dit is” dan wordt het natuurlijk weer wél een privacyprobleem.)

En ja, ook kentekens vallen onder de privacywet. Deze zijn immers aan personen – de auto-eigenaren – te linken. Dat de RDW-database geheim is, doet daarbij niet ter zake. Waar het om gaat, is of die koppeling redelijkerwijs te maken is.

Vind je dat een specifiek persoon echt met naam en toenaam (of gezicht) moet worden genoemd, dan kun je natuurlijk publiceren zonder blur. Maar wanneer die persoon het daarmee oneens is, dan kan hij een rechtszaak aanspannen en rectificatie, weghalen en een schadeclaim vorderen. Die laatste is niet ondenkbaar, ook niet als op de beelden een verkeersovertreding te zien is. Naar Nederlands recht verlies je niet je volledige privacy enkel omdat je een gevaarlijke verkeerssituatie creëert. En daarbij komt dat rechters allergisch zijn voor alles dat riekt naar eigenrichting. Ik zou dat dus afraden.

De beelden mag je te allen tijde aan de politie geven als je denkt dat de verkeersovertreding strafbaar is, en bij gevaarlijk rijgedrag is dat eigenlijk altijd het geval (artikel 5 Wegensverkeerswet overtreden is strafbaar als overtreding). De privacy van de gefilmde personen doet er op dat moment even minder toe, omdat de politie een eigen afweging maakt over wat ze mogen met de beelden.

Ik zie ook mensen beelden aan televisieprogramma’s of vloggers geven. Dat mag ook, omdat die organisaties ook zelf een afweging (moeten) maken over nieuwswaarde versus privacy. Zij zijn zelf aansprakelijk als ze niet goed blurren terwijl dat wel had gemoeten. Natuurlijk zou het ‘slachtoffer’ bij jou verhaal kunnen komen halen omdat jij die beelden zomaar opstuurt en hij daar veel last van krijgt. Dus ook dit zou ik zelf niet doen zonder de beelden zelf al te blurren.

(Vanaf 25 mei krijgen we een nieuwe, strengere privacywet die ook het vastleggen van fotografische en filmbeelden reguleert. Maar ook onder die AVG of GDPR geldt dat het mag wanneer je een adequate privacyafweging maakt.)

Arnoud

Mag een appartementencomplex werken met kentekenherkenning?

| AE 9659 | Privacy | 35 reacties

Een lezer vroeg me:

De vereniging van eigenaren van mijn appartementencomplex wil gaan werken met kentekenherkennning bij de poort. Alleen bewoners en vooraf aangemelde bezoekers kunnen dan nog automatisch naar binnen, de rest moet aanbellen. En van iedere bezoeker worden naam, kenteken en in- en uitrijtijden vastgelegd. Hoe zit dat juridisch?

Het is natuurlijk toegestaan om de toegang tot je complex te reguleren. Alleen wanneer je gaat werken met kentekens, dan loop je tegen de privacywetgeving (nu de Wbp, vanaf 25 mei de AVG) aan. Kentekens worden namelijk gezien als persoonsgegevens, zeker in gevallen wanneer je ze concreet kunt koppelen aan de identiteit van bewoners of bezoekers.

Gelukkig verbiedt de wet niet categorisch het gebruik van persoonsgegevens om de toegang tot een pand of terrein te reguleren. Het mag, maar je bent aan een aantal regels gebonden. De belangrijkste eis is dat je kunt motiveren waarom je voor dit middel hebt gekozen. Kun je niet werken met sleutels en een bel bijvoorbeeld? Is er echt geen andere oplossing?

Daarnaast moet duidelijk zijn uitgewerkt wat er gebeurt met de vastgelegde gegevens. Waarom die, en niet minder? Wie heeft er toegang toe en onder welke voorwaarden? Hoe lang worden ze bewaard, en waarom kan het niet eerder weg. Wat gebeurt er mee? Komen alle kentekens op een bord in de hal, of blijft het bij de portier?

Beveiliging is natuurlijk ook van belang. Hoe worden de gegevens afgeschermd voor ongeautoriseerde toegang, welke logging is ingevoerd en wie heeft daar toegang toe. Afgeleid daarvan, wat gebeurt er met datalekken. Hoe wordt daarop gemonitord en wie gaat een datalek aanmelden en de betrokkenen informeren?

Het is dus vooral een kwestie van zaken goed motiveren en op schrift stellen. Dat reglement is ook nodig, je moet mensen informeren over het waarom en hoe. En het waarom is het belangrijkste.

Arnoud

Mag ik statistieken maken van het verkeer door mijn straat?

| AE 8534 | Privacy | 21 reacties

lezer vroeg me: Ik woon naast een drukke sluiproute in mijn dorp en wil graag statistieken maken van het autoverkeer dat langs rijdt. Ik wil daartoe met een webcam uit mijn slaapkamerraam auto’s fotograferen en de kentekens herkennen. De beelden gooi ik meteen weg, de kentekens sla ik op zodat ik statistieken kan maken over… Lees verder

Mag Debtscan kentekens van willekeurige auto’s fotograferen?

| AE 5857 | Privacy | 54 reacties

Het CBP doet onderzoek naar het kentekenscannend bedrijf Debtscan, las ik bij Webwereld. Het bedrijf werkt met scanauto’s die kentekens detecteren aan de hand van infraroodbeelden, om zo auto’s van mensen met executeerbare schulden op te sporen. Nu zijn kentekens persoonsgegevens dus dat roept de vraag op, mag dat zomaar? (En ja ik weet dat… Lees verder