Mag je van de AVG een foto met kenteken van een parkeerovertreder Twitteren?

| AE 11273 | Privacy, Uitingsvrijheid | 22 reacties

Via Twitter: mag je van de AVG een foto met leesbaar kenteken op Twitter plaatsen om zo een verkeersovertreding te tonen? In dit geval ging het om een persoon die parkeerde op een gehandicaptenplaats, zonder een vergunning daarvoor te hebben. “Wie kent de eigenaar van deze auto ? Hij mag onze #invalideparkeerkaart hebben als hij ook de #HuntingtonsDisease van mijn man erbij neemt.” aldus de Twitteraar, inclusief hashtags van de locatie. En dus het kenteken herkenbaar. Daar kwamen -naast vele steunbetuigingen- ook een aantal kritische noten: mag dat wel van de AVG? Een kenteken is immers een persoonsgegeven, en zo schend je die persoon zijn privacy onnodig.

Ja, onnodig, want je had ook aangifte kunnen doen. Op de foto was zelfs al een parkeerboete te zien (380 euro, zo laat ik me vertellen) dus deze eigenaar is al gestraft. Wat is dan nog de toegevoegde waarde van alles herkenbaar op Twitter zetten?

Volgens mij is “toegevoegde” hierin een foute term. Het gaat niet om iets toevoegen, iets erbij doen. Een publicatie als deze zie ik als een meningsuiting, een schandaal(tje) aan de kaak stellen dat in dit geval ongetwijfeld een veel voorkomende ergernis van de Twitteraar is. Je mening geven is niet iets dat je “bij” andere dingen doet, of alleen maar mag doen als je geen andere opties meer hebt. Je uitingsvrijheid is een grondrecht, en dat mag je inzetten wanneer je wilt.

Binnen de grenzen van de wet natuurlijk, en de AVG is een wet die ook geldt bij journalistieke uitingen. Weliswaar zijn een aantal zaken niet van toepassing (zoals het inzage- en correctierecht en het recht te worden vergeten, en de registerplicht) maar ook bij een journalistieke verwerking moet je een grondslag hebben en zorgvuldig te werk gaan, zo staat in de AVG. Effectief komen die regels neer op hetzelfde kader als waar journalistieke uitingen altijd al aan getoetst werden. Het is niet zo dat de AVG de vrijheid van meningsuiting inperkt, dat je sinds 25 mei 2018 minder mag zeggen dan voorheen.

Maar ben je wel journalistiek bezig eigenlijk? Ja, is het korte antwoord. Ook als particulier die los staat van een of ander persmedium. Dat is vaste jurisprudentie, iedereen mag zich journalist noemen. Het gaat er niet om of je een perskaart hebt, maar of het relevant om te melden is wat je doet. Feiten, meningen of ideeën aan het publiek bekend maken, dat is de definitie.

Daar staat tegenover dat de Autoriteit Persoonsgegevens heeft gezegd dat je alleen journalistiek publiceert als je aan vier eisen voldoet:

  1. Objectieve informatieverzameling
  2. Regelmatige bezigheid
  3. Maatschappelijke strekking
  4. Recht van repliek
Waar deze eisen op gebaseerd zijn, weet ik echter niet. In de AVG staan ze in ieder geval niet, noch in de jurisprudentie over wat een journalistieke verwerking is of wanneer sprake is van een legitieme meningsuiting. In Nederland kennen we bijvoorbeeld dat recht van repliek helemaal niet, het is vaste prik dat je als journalist geen weerwoord hoeft op te nemen voor een rechtmatige perspublicatie. Ik vermoed dat de AP hier het criterium “verwerking voor journalistieke doeleinden” en de uitwerking van de grondslag “legitiem belang [bij publicatie]” samenvoegt voor het gemak.

Arnoud

Waarom is een IP-adres een persoonsgegeven en een kenteken niet?

| AE 10365 | Privacy | 28 reacties

Een lezer vroeg me:

Regelmatig lees ik dat IP-adressen als persoonsgegevens worden gezien, omdat ze tot een persoon (de gebruiker van de computer waar dat adres aan toegekend is) herleidbaar zijn. Dat klopt in theorie, maar je hebt daar de internetprovider voor nodig en die zal zonder gerechtelijk bevel niet meewerken, toch? Maar bij kentekens is de situatie hetzelfde en daarvan zegt de toezichthouder dat het géén persoonsgegevens zijn voor jou of mij, alleen voor de RDW. Waarom dat onderscheid?

Dit onderscheid is inderdaad lastig uit te leggen, maar gelukkig verdwijnt het met de AVG: beide gegevens zijn vanaf 25 mei gewoon keihard persoonsgegevens voor iedereen, punt.

Ik denk dat het onderscheid vooral om historische redenen zo gegroeid zijn. Bij invoering van de Wbp is gezegd dat kentekens alleen voor de RDW persoonsgegevens zijn. Dit was namelijk de klassieke opvatting: een gegeven is alleen persoonsgegeven voor wie de persoon kan identificeren, en gewone mensen kunnen dat niet. Omdat juristen graag de wet en dit soort parlementaire stukken overschrijven in leerboeken, is de opvatting “kenteken alleen voor RDW persoonsgegeven” gemeengoed geworden. (Zei hij cynisch.)

De discussie over IP-adressen is van recenter datum en veel meer een open vraag gebleven. Onze toezichthouder was er altijd stellig in: ja, in principe wel. Daar was de nodige kritiek op, met terechte vraagtekens overigens. Pas zeer recent (oktober 2016) is er een definitieve uitspraak gekomen: ja, in principe wel. Er is immers een mogelijkheid tot identificatie van de gebruiker, en dat daarvoor een gerechtelijk bevel nodig is, is een praktijkdetail maar theoretisch niet relevant. Voor iedereen die IP-adressen verwerkt, geldt dus dat ze persoonsgegevens zijn. En ook voor kentekens dus.

Maar zoals gezegd, eigenlijk is de discussie achterhaald want de AVG (of GDPR) kent een nieuwe definitie van het begrip ‘identificeerbaar’ bij persoonsgegevens:

als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

Die ‘online identificator’ kan natuurlijk prima het IP-adres van de persoon zijn. En het nieuwe is dan dat de AVG zegt dat je iemand geïdentificeerd hébt. Dus niet “deze persoon is te herkennen door NAW-gegevens op te vragen voor het IP-adres 192.168.1.1” maar “deze persoon héét 192.168.1.1”. Het doet er dan dus niet meer toe of je ook nog andere identificerende gegevens te pakken kunt krijgen en hoe moeilijk dat is.

Arnoud

Mag je verkeershufters op Youtube zetten die gevaarlijk in de sneeuw rijden?

| AE 10039 | Privacy, Uitingsvrijheid | 18 reacties

Mag je beelden maken van gevaarlijk rijgedrag en dat op sociale media publiceren? De vraag kwam de afgelopen dagen vaak langs. De afgelopen dagen sneeuwde het zo hard dat code rood werd uitgeroepen: ga liever niet de weg op, tenzij het echt moet. Maar natuurlijk heb je mensen die zichzelf Max Verstappen wanen en gewoon stevig doorrijden, al dan niet naast een school of over het fietspad. Dat wordt even zo natuurlijk massaal gefilmd en onder afkeurend commentaar op internet gezet. Mag dat?

Hoofdregel is dat je mag filmen op de openbare weg wat en wie je wilt. Dat is onderdeel van de vrije nieuwsgaring. Maar wanneer je die beelden gaat publiceren of aan anderen geven, moet je een afweging maken of de reden van publicatie of verstrekking wel opweegt tegen de privacy, en wat je eventueel kunt doen om het privacyaspect te beperken.

De bekendste maatregel die je kunt nemen, is mensen onherkenbaar maken. Denk aan het nummerbord of iemands hoofd uitblurren, of misschien even opletten dat niet zijn huisnummer en straatnaam in beeld komen. Je zou ook uit kunnen zoomen zodat die informatie onleesbaar wordt. In principe is je pulicatie daarna legaal, omdat je dan geen privacygevoelige informatie meer publiceert. (Ga je erbij zetten “Wie weet wie dit is” dan wordt het natuurlijk weer wél een privacyprobleem.)

En ja, ook kentekens vallen onder de privacywet. Deze zijn immers aan personen – de auto-eigenaren – te linken. Dat de RDW-database geheim is, doet daarbij niet ter zake. Waar het om gaat, is of die koppeling redelijkerwijs te maken is.

Vind je dat een specifiek persoon echt met naam en toenaam (of gezicht) moet worden genoemd, dan kun je natuurlijk publiceren zonder blur. Maar wanneer die persoon het daarmee oneens is, dan kan hij een rechtszaak aanspannen en rectificatie, weghalen en een schadeclaim vorderen. Die laatste is niet ondenkbaar, ook niet als op de beelden een verkeersovertreding te zien is. Naar Nederlands recht verlies je niet je volledige privacy enkel omdat je een gevaarlijke verkeerssituatie creëert. En daarbij komt dat rechters allergisch zijn voor alles dat riekt naar eigenrichting. Ik zou dat dus afraden.

De beelden mag je te allen tijde aan de politie geven als je denkt dat de verkeersovertreding strafbaar is, en bij gevaarlijk rijgedrag is dat eigenlijk altijd het geval (artikel 5 Wegensverkeerswet overtreden is strafbaar als overtreding). De privacy van de gefilmde personen doet er op dat moment even minder toe, omdat de politie een eigen afweging maakt over wat ze mogen met de beelden.

Ik zie ook mensen beelden aan televisieprogramma’s of vloggers geven. Dat mag ook, omdat die organisaties ook zelf een afweging (moeten) maken over nieuwswaarde versus privacy. Zij zijn zelf aansprakelijk als ze niet goed blurren terwijl dat wel had gemoeten. Natuurlijk zou het ‘slachtoffer’ bij jou verhaal kunnen komen halen omdat jij die beelden zomaar opstuurt en hij daar veel last van krijgt. Dus ook dit zou ik zelf niet doen zonder de beelden zelf al te blurren.

(Vanaf 25 mei krijgen we een nieuwe, strengere privacywet die ook het vastleggen van fotografische en filmbeelden reguleert. Maar ook onder die AVG of GDPR geldt dat het mag wanneer je een adequate privacyafweging maakt.)

Arnoud

Mag een appartementencomplex werken met kentekenherkenning?

| AE 9659 | Privacy | 35 reacties

Een lezer vroeg me: De vereniging van eigenaren van mijn appartementencomplex wil gaan werken met kentekenherkennning bij de poort. Alleen bewoners en vooraf aangemelde bezoekers kunnen dan nog automatisch naar binnen, de rest moet aanbellen. En van iedere bezoeker worden naam, kenteken en in- en uitrijtijden vastgelegd. Hoe zit dat juridisch? Het is natuurlijk toegestaan… Lees verder

Mag ik statistieken maken van het verkeer door mijn straat?

| AE 8534 | Privacy | 21 reacties

lezer vroeg me: Ik woon naast een drukke sluiproute in mijn dorp en wil graag statistieken maken van het autoverkeer dat langs rijdt. Ik wil daartoe met een webcam uit mijn slaapkamerraam auto’s fotograferen en de kentekens herkennen. De beelden gooi ik meteen weg, de kentekens sla ik op zodat ik statistieken kan maken over… Lees verder

Mag Debtscan kentekens van willekeurige auto’s fotograferen?

| AE 5857 | Privacy | 54 reacties

Het CBP doet onderzoek naar het kentekenscannend bedrijf Debtscan, las ik bij Webwereld. Het bedrijf werkt met scanauto’s die kentekens detecteren aan de hand van infraroodbeelden, om zo auto’s van mensen met executeerbare schulden op te sporen. Nu zijn kentekens persoonsgegevens dus dat roept de vraag op, mag dat zomaar? (En ja ik weet dat… Lees verder