Onderzoeker: automobilisten eenvoudig te volgen via populaire parkeerapps

Meer dan een kwart van alle auto’s is eenvoudig te traceren door middel van populaire parkeerapps zoals EasyPark, Q-Park, Indigo Neo, Interparking en APCOA, zo stelt de Belgische beveiligingsonderzoeker Inti De Ceukelaire op basis van eigen onderzoek. Dat meldde Security.nl onlangs. Bij al die apps kun je gemakkelijk kentekens toevoegen, maar zonder controle of je er houder van bent. Zo kun je dus vervolgens parkeeracties van die auto’s inzien. Inti maakte ook een opt-out.

De kern van het onderzoek is verbazingwekkend simpel. Vrijwel iedere parkeerapp biedt de mogelijkheid meerdere kentekens toe te voegen, waarbij geen enkele controle volgt of je daar houder van bent, of dat de eigenaar van die auto het goed vond. Een legitieme reden kan zijn dat je een buurman of vaste klant wilt laten parkeren via jouw app, maar je kunt zo ook mensen stalken (het nummerbord van je ex of die man/vrouw die je laatst klemreed bij de afrit Nieuwegein).

Natuurlijk werkt dat alleen als je vervolgens ook een parkeeractie uitvoert, pas dan zie je (ter controle) de straat of parkeergarage waar de auto is. Door sessies van 1 seconde te doen, voorkwam de onderzoeker dat de slachtoffers zouden zien dat ze al geparkeerd staan (als ze bijvoorbeeld dezelfde app hebben, of doordat de slagbomen opengaan zonder betalen).

Een gebrek bij kentekens is dat je geen verificatie kunt doen, zoals bij 06-nummers of e-mailadressen wel kan. Een systeem dat werkt op basis van kentekens (zoals parkeerapps) heeft dus fundamenteel dit probleem, en daar is geen oplossing voor behalve de RDW zo gek krijgen dat ze brieven gaan sturen naar de kentekenhouder wanneer een app deze wil registreren. (Ik zie dat niet gebeuren.)

De Ceukelaire merkt op dat parkeersessies een onschatbare bron van informatie prijsgeven over bestuurders. “Aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen. Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen.”
Het onderzoek werd overigens netjes uitgevoerd op kentekens van vrijwilligers die wel eens wilden weten of ze werkelijk getrackt konden worden.

Arnoud

Mag je van de AVG een foto met kenteken van een parkeerovertreder Twitteren?

Via Twitter: mag je van de AVG een foto met leesbaar kenteken op Twitter plaatsen om zo een verkeersovertreding te tonen? In dit geval ging het om een persoon die parkeerde op een gehandicaptenplaats, zonder een vergunning daarvoor te hebben. “Wie kent de eigenaar van deze auto ? Hij mag onze #invalideparkeerkaart hebben als hij ook de #HuntingtonsDisease van mijn man erbij neemt.” aldus de Twitteraar, inclusief hashtags van de locatie. En dus het kenteken herkenbaar. Daar kwamen -naast vele steunbetuigingen- ook een aantal kritische noten: mag dat wel van de AVG? Een kenteken is immers een persoonsgegeven, en zo schend je die persoon zijn privacy onnodig.

Ja, onnodig, want je had ook aangifte kunnen doen. Op de foto was zelfs al een parkeerboete te zien (380 euro, zo laat ik me vertellen) dus deze eigenaar is al gestraft. Wat is dan nog de toegevoegde waarde van alles herkenbaar op Twitter zetten?

Volgens mij is “toegevoegde” hierin een foute term. Het gaat niet om iets toevoegen, iets erbij doen. Een publicatie als deze zie ik als een meningsuiting, een schandaal(tje) aan de kaak stellen dat in dit geval ongetwijfeld een veel voorkomende ergernis van de Twitteraar is. Je mening geven is niet iets dat je “bij” andere dingen doet, of alleen maar mag doen als je geen andere opties meer hebt. Je uitingsvrijheid is een grondrecht, en dat mag je inzetten wanneer je wilt.

Binnen de grenzen van de wet natuurlijk, en de AVG is een wet die ook geldt bij journalistieke uitingen. Weliswaar zijn een aantal zaken niet van toepassing (zoals het inzage- en correctierecht en het recht te worden vergeten, en de registerplicht) maar ook bij een journalistieke verwerking moet je een grondslag hebben en zorgvuldig te werk gaan, zo staat in de AVG. Effectief komen die regels neer op hetzelfde kader als waar journalistieke uitingen altijd al aan getoetst werden. Het is niet zo dat de AVG de vrijheid van meningsuiting inperkt, dat je sinds 25 mei 2018 minder mag zeggen dan voorheen.

Maar ben je wel journalistiek bezig eigenlijk? Ja, is het korte antwoord. Ook als particulier die los staat van een of ander persmedium. Dat is vaste jurisprudentie, iedereen mag zich journalist noemen. Het gaat er niet om of je een perskaart hebt, maar of het relevant om te melden is wat je doet. Feiten, meningen of ideeën aan het publiek bekend maken, dat is de definitie.

Daar staat tegenover dat de Autoriteit Persoonsgegevens heeft gezegd dat je alleen journalistiek publiceert als je aan vier eisen voldoet:

  1. Objectieve informatieverzameling
  2. Regelmatige bezigheid
  3. Maatschappelijke strekking
  4. Recht van repliek
Waar deze eisen op gebaseerd zijn, weet ik echter niet. In de AVG staan ze in ieder geval niet, noch in de jurisprudentie over wat een journalistieke verwerking is of wanneer sprake is van een legitieme meningsuiting. In Nederland kennen we bijvoorbeeld dat recht van repliek helemaal niet, het is vaste prik dat je als journalist geen weerwoord hoeft op te nemen voor een rechtmatige perspublicatie. Ik vermoed dat de AP hier het criterium “verwerking voor journalistieke doeleinden” en de uitwerking van de grondslag “legitiem belang [bij publicatie]” samenvoegt voor het gemak.

Arnoud

Waarom is een IP-adres een persoonsgegeven en een kenteken niet?

Een lezer vroeg me:

Regelmatig lees ik dat IP-adressen als persoonsgegevens worden gezien, omdat ze tot een persoon (de gebruiker van de computer waar dat adres aan toegekend is) herleidbaar zijn. Dat klopt in theorie, maar je hebt daar de internetprovider voor nodig en die zal zonder gerechtelijk bevel niet meewerken, toch? Maar bij kentekens is de situatie hetzelfde en daarvan zegt de toezichthouder dat het géén persoonsgegevens zijn voor jou of mij, alleen voor de RDW. Waarom dat onderscheid?
Dit onderscheid is inderdaad lastig uit te leggen, maar gelukkig verdwijnt het met de AVG: beide gegevens zijn vanaf 25 mei gewoon keihard persoonsgegevens voor iedereen, punt.

Ik denk dat het onderscheid vooral om historische redenen zo gegroeid zijn. Bij invoering van de Wbp is gezegd dat kentekens alleen voor de RDW persoonsgegevens zijn. Dit was namelijk de klassieke opvatting: een gegeven is alleen persoonsgegeven voor wie de persoon kan identificeren, en gewone mensen kunnen dat niet. Omdat juristen graag de wet en dit soort parlementaire stukken overschrijven in leerboeken, is de opvatting “kenteken alleen voor RDW persoonsgegeven” gemeengoed geworden. (Zei hij cynisch.)

De discussie over IP-adressen is van recenter datum en veel meer een open vraag gebleven. Onze toezichthouder was er altijd stellig in: ja, in principe wel. Daar was de nodige kritiek op, met terechte vraagtekens overigens. Pas zeer recent (oktober 2016) is er een definitieve uitspraak gekomen: ja, in principe wel. Er is immers een mogelijkheid tot identificatie van de gebruiker, en dat daarvoor een gerechtelijk bevel nodig is, is een praktijkdetail maar theoretisch niet relevant. Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus.

Maar zoals gezegd, eigenlijk is de discussie achterhaald want de AVG (of GDPR) kent een nieuwe definitie van het begrip ‘identificeerbaar’ bij persoonsgegevens:

als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;
Die ‘online identificator’ kan natuurlijk prima het IP-adres van de persoon zijn. En het nieuwe is dan dat de AVG zegt dat je iemand geïdentificeerd hébt. Dus niet “deze persoon is te herkennen door NAW-gegevens op te vragen voor het IP-adres 192.168.1.1” maar “deze persoon héét 192.168.1.1”. Het doet er dan dus niet meer toe of je ook nog andere identificerende gegevens te pakken kunt krijgen en hoe moeilijk dat is. (Update 2 maart 2023: behalve natuurlijk de datum en tijd waarop het aan jou toegekend is, want morgen kan een IP-adres naar iemand andes wijzen.)

Arnoud

Mag je verkeershufters op Youtube zetten die gevaarlijk in de sneeuw rijden?

Mag je beelden maken van gevaarlijk rijgedrag en dat op sociale media publiceren? De vraag kwam de afgelopen dagen vaak langs. De afgelopen dagen sneeuwde het zo hard dat code rood werd uitgeroepen: ga liever niet de weg op, tenzij het echt moet. Maar natuurlijk heb je mensen die zichzelf Max Verstappen wanen en gewoon stevig doorrijden, al dan niet naast een school of over het fietspad. Dat wordt even zo natuurlijk massaal gefilmd en onder afkeurend commentaar op internet gezet. Mag dat?

Hoofdregel is dat je mag filmen op de openbare weg wat en wie je wilt. Dat is onderdeel van de vrije nieuwsgaring. Maar wanneer je die beelden gaat publiceren of aan anderen geven, moet je een afweging maken of de reden van publicatie of verstrekking wel opweegt tegen de privacy, en wat je eventueel kunt doen om het privacyaspect te beperken.

De bekendste maatregel die je kunt nemen, is mensen onherkenbaar maken. Denk aan het nummerbord of iemands hoofd uitblurren, of misschien even opletten dat niet zijn huisnummer en straatnaam in beeld komen. Je zou ook uit kunnen zoomen zodat die informatie onleesbaar wordt. In principe is je pulicatie daarna legaal, omdat je dan geen privacygevoelige informatie meer publiceert. (Ga je erbij zetten “Wie weet wie dit is” dan wordt het natuurlijk weer wél een privacyprobleem.)

En ja, ook kentekens vallen onder de privacywet. Deze zijn immers aan personen – de auto-eigenaren – te linken. Dat de RDW-database geheim is, doet daarbij niet ter zake. Waar het om gaat, is of die koppeling redelijkerwijs te maken is.

Vind je dat een specifiek persoon echt met naam en toenaam (of gezicht) moet worden genoemd, dan kun je natuurlijk publiceren zonder blur. Maar wanneer die persoon het daarmee oneens is, dan kan hij een rechtszaak aanspannen en rectificatie, weghalen en een schadeclaim vorderen. Die laatste is niet ondenkbaar, ook niet als op de beelden een verkeersovertreding te zien is. Naar Nederlands recht verlies je niet je volledige privacy enkel omdat je een gevaarlijke verkeerssituatie creëert. En daarbij komt dat rechters allergisch zijn voor alles dat riekt naar eigenrichting. Ik zou dat dus afraden.

De beelden mag je te allen tijde aan de politie geven als je denkt dat de verkeersovertreding strafbaar is, en bij gevaarlijk rijgedrag is dat eigenlijk altijd het geval (artikel 5 Wegensverkeerswet overtreden is strafbaar als overtreding). De privacy van de gefilmde personen doet er op dat moment even minder toe, omdat de politie een eigen afweging maakt over wat ze mogen met de beelden.

Ik zie ook mensen beelden aan televisieprogramma’s of vloggers geven. Dat mag ook, omdat die organisaties ook zelf een afweging (moeten) maken over nieuwswaarde versus privacy. Zij zijn zelf aansprakelijk als ze niet goed blurren terwijl dat wel had gemoeten. Natuurlijk zou het ‘slachtoffer’ bij jou verhaal kunnen komen halen omdat jij die beelden zomaar opstuurt en hij daar veel last van krijgt. Dus ook dit zou ik zelf niet doen zonder de beelden zelf al te blurren.

(Vanaf 25 mei krijgen we een nieuwe, strengere privacywet die ook het vastleggen van fotografische en filmbeelden reguleert. Maar ook onder die AVG of GDPR geldt dat het mag wanneer je een adequate privacyafweging maakt.)

Arnoud

Mag een appartementencomplex werken met kentekenherkenning?

Een lezer vroeg me:

De vereniging van eigenaren van mijn appartementencomplex wil gaan werken met kentekenherkennning bij de poort. Alleen bewoners en vooraf aangemelde bezoekers kunnen dan nog automatisch naar binnen, de rest moet aanbellen. En van iedere bezoeker worden naam, kenteken en in- en uitrijtijden vastgelegd. Hoe zit dat juridisch?

Het is natuurlijk toegestaan om de toegang tot je complex te reguleren. Alleen wanneer je gaat werken met kentekens, dan loop je tegen de privacywetgeving (nu de Wbp, vanaf 25 mei de AVG) aan. Kentekens worden namelijk gezien als persoonsgegevens, zeker in gevallen wanneer je ze concreet kunt koppelen aan de identiteit van bewoners of bezoekers.

Gelukkig verbiedt de wet niet categorisch het gebruik van persoonsgegevens om de toegang tot een pand of terrein te reguleren. Het mag, maar je bent aan een aantal regels gebonden. De belangrijkste eis is dat je kunt motiveren waarom je voor dit middel hebt gekozen. Kun je niet werken met sleutels en een bel bijvoorbeeld? Is er echt geen andere oplossing?

Daarnaast moet duidelijk zijn uitgewerkt wat er gebeurt met de vastgelegde gegevens. Waarom die, en niet minder? Wie heeft er toegang toe en onder welke voorwaarden? Hoe lang worden ze bewaard, en waarom kan het niet eerder weg. Wat gebeurt er mee? Komen alle kentekens op een bord in de hal, of blijft het bij de portier?

Beveiliging is natuurlijk ook van belang. Hoe worden de gegevens afgeschermd voor ongeautoriseerde toegang, welke logging is ingevoerd en wie heeft daar toegang toe. Afgeleid daarvan, wat gebeurt er met datalekken. Hoe wordt daarop gemonitord en wie gaat een datalek aanmelden en de betrokkenen informeren?

Het is dus vooral een kwestie van zaken goed motiveren en op schrift stellen. Dat reglement is ook nodig, je moet mensen informeren over het waarom en hoe. En het waarom is het belangrijkste.

Arnoud

Mag ik statistieken maken van het verkeer door mijn straat?

nummerborden.png lezer vroeg me:

Ik woon naast een drukke sluiproute in mijn dorp en wil graag statistieken maken van het autoverkeer dat langs rijdt. Ik wil daartoe met een webcam uit mijn slaapkamerraam auto’s fotograferen en de kentekens herkennen. De beelden gooi ik meteen weg, de kentekens sla ik op zodat ik statistieken kan maken over regelmatige passanten versus eenmalig verkeer et cetera. Ik publiceer de kentekens nergens maar ga de statistieken wel rapporteren aan de gemeente. Mag dat?

Kentekens van auto’s worden in Nederland in principe gezien als persoonsgegevens. Ze zijn immers (via het RDW-register of soms andere bronnen) te herleiden tot een natuurlijk persoon, de eigenaar van de auto. Natuurlijk zullen sommige kentekens op bedrijfsnamen staan – dat zijn dan geen persoonsgegevens – maar de overgrote meerderheid van de auto’s is privé-eigendom. Je moet kentekens dus behandelen als persoonsgegevens tenzij je zeker weet dat er geen privéauto’s tussen zullen zitten.

De toezichthouder houdt een slag om de arm door te zeggen dat het om de context gaat: het zijn “geen persoonsgegevens indien redelijkerwijs ook niet te verwachten valt dat die gegevens langs een omweg (eventueel door derden) zullen worden herleid”. Maar volgens mij is die context er al heel snel, zeker als het gaat om auto’s in een bepaalde dorpswijk die daar vaker langskomen. Anderen uit die wijk zullen die snel kunnen herkennen.

Persoonsgegevens dus. Dat betekent dat het gebruik er van te rechtvaardigen moet zijn onder de Wbp. Dat komt hier neer op een belangenafweging: hoe groot is het belang van de vraagsteller bij zijn statistieken, en hoe ernstig is de privacyschending van de passanten? En, aanvullend, kan de vraagsteller iets doen om de privacyschending te beperken?

Een veelgebruikte truc is bijvoorbeeld de kentekens direct na herkenning te hashen. Weliswaar zijn het dan nog steeds persoonsgegevens, maar de privacyimpact is veel kleiner (met een goede hashfunctie). Het idee is immers dat een derde die de hashes heeft, ze niet kan terugrekenen naar de originele kentekens. In de praktijk zijn daar trucs voor, maar hashen lijkt nog steeds acceptabel bij de privacytoezichthouder (zoals bij deze zaak).

Verder heeft de vraagsteller al een paar goede stappen genomen. Hij gaat de kentekens niet publiceren maar alleen geaggregeerde informatie (15% van de auto’s rijdt dagelijks heen en terug door mijn wijk, 80% van de auto’s doet dat minstens één keer per week). Dat zijn geen persoonsgegevens. Hij moet alleen de kentekens niet opslaan, zodat de kans op een datalek verkleind wordt.

Het enige dat nog misgaat, is dat er geen informatie wordt verstrekt aan de auto-eigenaren dat hun persoonsgegevens op deze manier worden verwerkt. Ik heb alleen geen idee hoe dat zou moeten gebeuren. Een groot bord langs de weg lijkt me lastig te realiseren (nog even afgezien van vergunningen die daarvoor nodig zouden zijn), maar hoe anders?

Arnoud

Mogen ze over je auto met nummerbord praten op een forum?

nummerborden.pngEen lezer vroeg me:

Is het toegestaan dat derden je kenteken op een openbaar forum plaatsen samen met datum en tijdstip dat men je gespot heeft? Dat kan dan zijn om over je auto te praten, of om je uit te maken voor wegmisbruiker.

Een kenteken is te zien als een persoonsgegeven als het te herleiden is tot de eigenaar van de auto. Op zich is dat niet eenvoudig, want je moet langs de RDW om die gegevens te krijgen, of toevallig op internet bijvoorbeeld een “auto te koop”-advertentie vinden. Het Cbp houdt daarom tegenwoordig een slag om de arm:

Kentekens van motorvoertuigen zijn persoonsgegevens voor degenen die toegang hebben tot het kentekenregister van de Rijksdienst voor het Wegverkeer. Zij kunnen immers tenaamstelling van het kenteken zonder bijzondere inspanning te weten komen. Voor personen die geen toegang hebben tot de tenaamstellingsgegevens uit het kentekenregister, zijn kentekens geen persoonsgegevens indien redelijkerwijs ook niet te verwachten valt dat die gegevens langs een omweg (eventueel door derden) zullen worden herleid. Het hangt dus van de context van het gebruik af of het wel of niet gaat om persoonsgegevens.

Dit standpunt verbaast me nu in de Richtsnoeren persoonsgegevens op internet nog vrij eenvoudig kentekens als persoonsgegevens werden aangemerkt. Mij leek dat ook altijd erg logisch; hoewel niet iedereen bij de RDW kan, is het niet uit te sluiten dat je via een andere route ook die gegevens kunt koppelen. Bovendien – en daar gaat het uiteindelijk om volgens mij – betreft het kenteken in het kader van een discussie over de bestuurder een gegeven over één persoon, waarmee het haast per definitie een persoonsgegeven is. Net zoals je MAC-adres en locatie een persoonsgegeven is.

Een persoonsgegeven publiceren mag alleen als je dat onder de Wet bescherming persoonsgegevens kunt rechtvaardigen. Toestemming is de meest gehoorde rechtvaardiging, maar die is er in dit geval niet.

In principe kom je dan uit bij de restcategorie van de eigen dringende noodzaak. Je zegt dan, ik kan geen toestemming vragen, ik heb een legitiem belang en daarvoor is het een absolute noodzaak dat ik dit gegeven publiceer, bovendien heb ik zo veel mogelijk rekening gehouden met de privacy van de persoon over wie het gaat.

Het legitiem belang zou hem hier zitten in die discussie, dat is immers een beroep op de vrijheid van meningsuiting. In principe is dat al snel gerechtvaardigd, tenzij de discussie niet meer is dan belachelijk maken en afzeiken zonder enige werkelijke discussie of debat. “Deze auto is een wegmisbruiker” zou ik al net aan de goede kant van de grens vinden zitten, als de beelden dat duidelijk laten zien.

Alleen dat rekening houden met de privacy, wat moet je daar dan mee? Ik denk dat dat er toch al snel op neerkomt dat het nummerbord uitgeblurd moet worden. Dat is immers niet echt nodig voor de discussie over wegen misbruiken of om je mening over de auto te geven, positief of negatief. Natuurlijk, met nummerbord kunnen anderen de auto herkennen, maar hoe relevant is dat?

Arnoud

Mag Debtscan kentekens van willekeurige auto’s fotograferen?

nummerborden.pngHet CBP doet onderzoek naar het kentekenscannend bedrijf Debtscan, las ik bij Webwereld. Het bedrijf werkt met scanauto’s die kentekens detecteren aan de hand van infraroodbeelden, om zo auto’s van mensen met executeerbare schulden op te sporen. Nu zijn kentekens persoonsgegevens dus dat roept de vraag op, mag dat zomaar? (En ja ik weet dat het Cbp-onderzoek over net iets anders gaat dan het scannen an sich.)

Debtscan is in haar FAQ vrij stellig: dit mogen wij gewoon, openbare ruimte. En ergens valt daar ook wat voor te zeggen. Men zoekt in opdracht van deurwaarders naar auto’s van mensen die een schuld hebben waarvoor ze bij vonnis (civielrechtelijk) veroordeeld zijn tot betaling. De deurwaarder mag dan beslag leggen op die auto, maar moet dan wel weten waar die auto fysiek is. De Debtscanscans geven deurwaarders die informatie.

Nu zou je zeggen dat “die auto staat daar” toch geen problematische informatie is, maar heel formeel zijn kentekens persoonsgegevens. Ze zijn immers te herleiden tot de eigenaar van de auto. Zeker voor een deurwaarder. En wie persoonsgegevens verwerkt, moet zich aan de Wbp houden. Ja, ook als die persoonsgegevens in de openbare ruimte te zien zijn en ook als de handeling waarmee je ze verkrijgt op zich legaal is (een foto op de openbare weg). Zo rolt de Wbp nu eenmaal.

Dat Debtscan de gegevens niet bewaart, maakt niet uit. Het enkele verzamelen is óók al een verwerking volgens de wet. En omdat die verwerking digitaal verloopt, valt die verwerking daarmee onder de Wbp.

Debtscan moet dus een wettelijke grondslag onder de Wbp hebben. Is die er? Volgens twee door de Telegraaf geciteerde juristen die ik toch vrij hoog heb zitten, behoort dit niet te kunnen onder de Wbp. Maar dat is wel héél principieel.

Debtscan is er in hun FAQ vrij kort over:

Debtscan krijgt deze gegevens aangeleverd van de opdrachtgevers. Deze gegevens mogen in het kader van het specifieke doel (opsporen van voertuigen), aan debstscan worden verstrekt.

Dat doel van opsporen zou je kunnen uitleggen als “eigen dringende noodzaak die zwaarder weegt dan privacy”. Het argument is dan dat de deurwaarder weinig keus heeft anders dan overal rondkijken waar toch die auto is waar hij beslag op mag leggen, dat de debiteur voor dat kenteken tóch al weinig privacy heeft en bovendien gezien dat vonnis gewoon die auto moet laten beslaan dus hoezo privacybezwaar. Of wellicht “goede uitvoering van de overeenkomst”, want incasso naar aanleiding van wanbetalen valt onder die grond dus waarom executeren van een vonnis dan niet?

Debtscan zou nog kunnen zeggen dat ze slechts ‘bewerker’ is: ze handelt in opdracht van de deurwaarder en díe bepaalt welke auto’s er moeten worden opgespoord. Maar dat gaat niet 100% op, want Debtscan verzamelt niet alleen persoonsgegevens van de auto’s van de deurwaardersdoelwitten maar van álle auto’s die ze zien. En voor díe gegevens kun je je afvragen wat de noodzaak is om ze te verzamelen. Die mensen hebben geen schuld, laat staan een vonnis waarin ze tot betaling verplicht zijn. Dus wat moet dat?

Tegelijk: hoe moet het anders? Je kunt geen auto’s van wanbetalers opsporen zonder alle auto’s te bekijken en te constateren of de auto in je bestand staat. Als dát een wijziging van de Wet bescherming persoonsgegevens vereist, dan is dat een bug in die wet.

Arnoud