Internetrecht door Arnoud Engelfriet

Meer dan een kwart van alle auto’s is eenvoudig te traceren door middel van populaire parkeerapps zoals EasyPark, Q-Park, Indigo Neo, Interparking en APCOA, zo stelt de Belgische beveiligingsonderzoeker Inti De Ceukelaire op basis van eigen onderzoek. Dat meldde Security.nl onlangs. Bij al die apps kun je gemakkelijk kentekens toevoegen, maar zonder controle of je er houder van bent. Zo kun je dus vervolgens parkeeracties van die auto’s inzien. Inti maakte ook een opt-out.

De kern van het onderzoek is verbazingwekkend simpel. Vrijwel iedere parkeerapp biedt de mogelijkheid meerdere kentekens toe te voegen, waarbij geen enkele controle volgt of je daar houder van bent, of dat de eigenaar van die auto het goed vond. Een legitieme reden kan zijn dat je een buurman of vaste klant wilt laten parkeren via jouw app, maar je kunt zo ook mensen stalken (het nummerbord van je ex of die man/vrouw die je laatst klemreed bij de afrit Nieuwegein).

Natuurlijk werkt dat alleen als je vervolgens ook een parkeeractie uitvoert, pas dan zie je (ter controle) de straat of parkeergarage waar de auto is. Door sessies van 1 seconde te doen, voorkwam de onderzoeker dat de slachtoffers zouden zien dat ze al geparkeerd staan (als ze bijvoorbeeld dezelfde app hebben, of doordat de slagbomen opengaan zonder betalen).

Een gebrek bij kentekens is dat je geen verificatie kunt doen, zoals bij 06-nummers of e-mailadressen wel kan. Een systeem dat werkt op basis van kentekens (zoals parkeerapps) heeft dus fundamenteel dit probleem, en daar is geen oplossing voor behalve de RDW zo gek krijgen dat ze brieven gaan sturen naar de kentekenhouder wanneer een app deze wil registreren. (Ik zie dat niet gebeuren.)

De Ceukelaire merkt op dat parkeersessies een onschatbare bron van informatie prijsgeven over bestuurders. “Aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen. Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen.”

Arnoud

Via Twitter: mag je van de AVG een foto met leesbaar kenteken op Twitter plaatsen om zo een verkeersovertreding te tonen? In dit geval ging het om een persoon die parkeerde op een gehandicaptenplaats, zonder een vergunning daarvoor te hebben. “Wie kent de eigenaar van deze auto ? Hij mag onze #invalideparkeerkaart hebben als hij ook de #HuntingtonsDisease van mijn man erbij neemt.” aldus de Twitteraar, inclusief hashtags van de locatie. En dus het kenteken herkenbaar. Daar kwamen -naast vele steunbetuigingen- ook een aantal kritische noten: mag dat wel van de AVG? Een kenteken is immers een persoonsgegeven, en zo schend je die persoon zijn privacy onnodig.

Ja, onnodig, want je had ook aangifte kunnen doen. Op de foto was zelfs al een parkeerboete te zien (380 euro, zo laat ik me vertellen) dus deze eigenaar is al gestraft. Wat is dan nog de toegevoegde waarde van alles herkenbaar op Twitter zetten?

Volgens mij is “toegevoegde” hierin een foute term. Het gaat niet om iets toevoegen, iets erbij doen. Een publicatie als deze zie ik als een meningsuiting, een schandaal(tje) aan de kaak stellen dat in dit geval ongetwijfeld een veel voorkomende ergernis van de Twitteraar is. Je mening geven is niet iets dat je “bij” andere dingen doet, of alleen maar mag doen als je geen andere opties meer hebt. Je uitingsvrijheid is een grondrecht, en dat mag je inzetten wanneer je wilt.

Binnen de grenzen van de wet natuurlijk, en de AVG is een wet die ook geldt bij journalistieke uitingen. Weliswaar zijn een aantal zaken niet van toepassing (zoals het inzage- en correctierecht en het recht te worden vergeten, en de registerplicht) maar ook bij een journalistieke verwerking moet je een grondslag hebben en zorgvuldig te werk gaan, zo staat in de AVG. Effectief komen die regels neer op hetzelfde kader als waar journalistieke uitingen altijd al aan getoetst werden. Het is niet zo dat de AVG de vrijheid van meningsuiting inperkt, dat je sinds 25 mei 2018 minder mag zeggen dan voorheen.

Maar ben je wel journalistiek bezig eigenlijk? Ja, is het korte antwoord. Ook als particulier die los staat van een of ander persmedium. Dat is vaste jurisprudentie, iedereen mag zich journalist noemen. Het gaat er niet om of je een perskaart hebt, maar of het relevant om te melden is wat je doet. Feiten, meningen of ideeën aan het publiek bekend maken, dat is de definitie.

Daar staat tegenover dat de Autoriteit Persoonsgegevens heeft gezegd dat je alleen journalistiek publiceert als je aan vier eisen voldoet:

1. Objectieve informatieverzameling
2. Regelmatige bezigheid
3. Maatschappelijke strekking
4. Recht van repliek

Arnoud

Een lezer vroeg me:

Regelmatig lees ik dat IP-adressen als persoonsgegevens worden gezien, omdat ze tot een persoon (de gebruiker van de computer waar dat adres aan toegekend is) herleidbaar zijn. Dat klopt in theorie, maar je hebt daar de internetprovider voor nodig en die zal zonder gerechtelijk bevel niet meewerken, toch? Maar bij kentekens is de situatie hetzelfde en daarvan zegt de toezichthouder dat het géén persoonsgegevens zijn voor jou of mij, alleen voor de RDW. Waarom dat onderscheid?

Ik denk dat het onderscheid vooral om historische redenen zo gegroeid zijn. Bij invoering van de Wbp is gezegd dat kentekens alleen voor de RDW persoonsgegevens zijn. Dit was namelijk de klassieke opvatting: een gegeven is alleen persoonsgegeven voor wie de persoon kan identificeren, en gewone mensen kunnen dat niet. Omdat juristen graag de wet en dit soort parlementaire stukken overschrijven in leerboeken, is de opvatting “kenteken alleen voor RDW persoonsgegeven” gemeengoed geworden. (Zei hij cynisch.)

De discussie over IP-adressen is van recenter datum en veel meer een open vraag gebleven. Onze toezichthouder was er altijd stellig in: ja, in principe wel. Daar was de nodige kritiek op, met terechte vraagtekens overigens. Pas zeer recent (oktober 2016) is er een definitieve uitspraak gekomen: ja, in principe wel. Er is immers een mogelijkheid tot identificatie van de gebruiker, en dat daarvoor een gerechtelijk bevel nodig is, is een praktijkdetail maar theoretisch niet relevant. Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus.

Maar zoals gezegd, eigenlijk is de discussie achterhaald want de AVG (of GDPR) kent een nieuwe definitie van het begrip ‘identificeerbaar’ bij persoonsgegevens:

als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Arnoud

Mag je beelden maken van gevaarlijk rijgedrag en dat op sociale media publiceren? De vraag kwam de afgelopen dagen vaak langs. De afgelopen dagen sneeuwde het zo hard dat code rood werd uitgeroepen: ga liever niet de weg op, tenzij het echt moet. Maar natuurlijk heb je mensen die zichzelf Max Verstappen wanen en gewoon… Lees verder

Een lezer vroeg me: De vereniging van eigenaren van mijn appartementencomplex wil gaan werken met kentekenherkennning bij de poort. Alleen bewoners en vooraf aangemelde bezoekers kunnen dan nog automatisch naar binnen, de rest moet aanbellen. En van iedere bezoeker worden naam, kenteken en in- en uitrijtijden vastgelegd. Hoe zit dat juridisch? Het is natuurlijk toegestaan… Lees verder

lezer vroeg me: Ik woon naast een drukke sluiproute in mijn dorp en wil graag statistieken maken van het autoverkeer dat langs rijdt. Ik wil daartoe met een webcam uit mijn slaapkamerraam auto’s fotograferen en de kentekens herkennen. De beelden gooi ik meteen weg, de kentekens sla ik op zodat ik statistieken kan maken over… Lees verder

Een lezer vroeg me: Is het toegestaan dat derden je kenteken op een openbaar forum plaatsen samen met datum en tijdstip dat men je gespot heeft? Dat kan dan zijn om over je auto te praten, of om je uit te maken voor wegmisbruiker. Een kenteken is te zien als een persoonsgegeven als het te… Lees verder

Het CBP doet onderzoek naar het kentekenscannend bedrijf Debtscan, las ik bij Webwereld. Het bedrijf werkt met scanauto’s die kentekens detecteren aan de hand van infraroodbeelden, om zo auto’s van mensen met executeerbare schulden op te sporen. Nu zijn kentekens persoonsgegevens dus dat roept de vraag op, mag dat zomaar? (En ja ik weet dat… Lees verder