Tag: Nummerbord

About Nummerbord

Subscribe Feeds

Onderzoeker: automobilisten eenvoudig te volgen via populaire parkeerapps

Geplaatst op in Ondernemingsvrijheid, Privacy, Security, 24 reacties

Meer dan een kwart van alle auto’s is eenvoudig te traceren door middel van populaire parkeerapps zoals EasyPark, Q-Park, Indigo Neo, Interparking en APCOA, zo stelt de Belgische beveiligingsonderzoeker Inti De Ceukelaire op basis van eigen onderzoek. Dat meldde Security.nl onlangs. Bij al die apps kun je gemakkelijk kentekens toevoegen, maar zonder controle of je er houder van bent. Zo kun je dus vervolgens parkeeracties van die auto’s inzien. Inti maakte ook een opt-out.

De kern van het onderzoek is verbazingwekkend simpel. Vrijwel iedere parkeerapp biedt de mogelijkheid meerdere kentekens toe te voegen, waarbij geen enkele controle volgt of je daar houder van bent, of dat de eigenaar van die auto het goed vond. Een legitieme reden kan zijn dat je een buurman of vaste klant wilt laten parkeren via jouw app, maar je kunt zo ook mensen stalken (het nummerbord van je ex of die man/vrouw die je laatst klemreed bij de afrit Nieuwegein).

Natuurlijk werkt dat alleen als je vervolgens ook een parkeeractie uitvoert, pas dan zie je (ter controle) de straat of parkeergarage waar de auto is. Door sessies van 1 seconde te doen, voorkwam de onderzoeker dat de slachtoffers zouden zien dat ze al geparkeerd staan (als ze bijvoorbeeld dezelfde app hebben, of doordat de slagbomen opengaan zonder betalen).

Een gebrek bij kentekens is dat je geen verificatie kunt doen, zoals bij 06-nummers of e-mailadressen wel kan. Een systeem dat werkt op basis van kentekens (zoals parkeerapps) heeft dus fundamenteel dit probleem, en daar is geen oplossing voor behalve de RDW zo gek krijgen dat ze brieven gaan sturen naar de kentekenhouder wanneer een app deze wil registreren. (Ik zie dat niet gebeuren.)

De Ceukelaire merkt op dat parkeersessies een onschatbare bron van informatie prijsgeven over bestuurders. “Aan de hand van de parkeerduur, locatie en tijd kan je afleiden wat de persoon daar komt doen. Zo zijn er tijdens het onderzoek personen gelokaliseerd nabij kantoorruimten, winkelcentra, concertzalen, sportcomplexen, casino’s en ziekenhuizen.”
Het onderzoek werd overigens netjes uitgevoerd op kentekens van vrijwilligers die wel eens wilden weten of ze werkelijk getrackt konden worden.

Arnoud

Mag ik statistieken maken van het verkeer door mijn straat?

Geplaatst op in Privacy, 21 reacties

nummerborden.png lezer vroeg me:

Ik woon naast een drukke sluiproute in mijn dorp en wil graag statistieken maken van het autoverkeer dat langs rijdt. Ik wil daartoe met een webcam uit mijn slaapkamerraam auto’s fotograferen en de kentekens herkennen. De beelden gooi ik meteen weg, de kentekens sla ik op zodat ik statistieken kan maken over regelmatige passanten versus eenmalig verkeer et cetera. Ik publiceer de kentekens nergens maar ga de statistieken wel rapporteren aan de gemeente. Mag dat?

Kentekens van auto’s worden in Nederland in principe gezien als persoonsgegevens. Ze zijn immers (via het RDW-register of soms andere bronnen) te herleiden tot een natuurlijk persoon, de eigenaar van de auto. Natuurlijk zullen sommige kentekens op bedrijfsnamen staan – dat zijn dan geen persoonsgegevens – maar de overgrote meerderheid van de auto’s is privé-eigendom. Je moet kentekens dus behandelen als persoonsgegevens tenzij je zeker weet dat er geen privéauto’s tussen zullen zitten.

De toezichthouder houdt een slag om de arm door te zeggen dat het om de context gaat: het zijn “geen persoonsgegevens indien redelijkerwijs ook niet te verwachten valt dat die gegevens langs een omweg (eventueel door derden) zullen worden herleid”. Maar volgens mij is die context er al heel snel, zeker als het gaat om auto’s in een bepaalde dorpswijk die daar vaker langskomen. Anderen uit die wijk zullen die snel kunnen herkennen.

Persoonsgegevens dus. Dat betekent dat het gebruik er van te rechtvaardigen moet zijn onder de Wbp. Dat komt hier neer op een belangenafweging: hoe groot is het belang van de vraagsteller bij zijn statistieken, en hoe ernstig is de privacyschending van de passanten? En, aanvullend, kan de vraagsteller iets doen om de privacyschending te beperken?

Een veelgebruikte truc is bijvoorbeeld de kentekens direct na herkenning te hashen. Weliswaar zijn het dan nog steeds persoonsgegevens, maar de privacyimpact is veel kleiner (met een goede hashfunctie). Het idee is immers dat een derde die de hashes heeft, ze niet kan terugrekenen naar de originele kentekens. In de praktijk zijn daar trucs voor, maar hashen lijkt nog steeds acceptabel bij de privacytoezichthouder (zoals bij deze zaak).

Verder heeft de vraagsteller al een paar goede stappen genomen. Hij gaat de kentekens niet publiceren maar alleen geaggregeerde informatie (15% van de auto’s rijdt dagelijks heen en terug door mijn wijk, 80% van de auto’s doet dat minstens één keer per week). Dat zijn geen persoonsgegevens. Hij moet alleen de kentekens niet opslaan, zodat de kans op een datalek verkleind wordt.

Het enige dat nog misgaat, is dat er geen informatie wordt verstrekt aan de auto-eigenaren dat hun persoonsgegevens op deze manier worden verwerkt. Ik heb alleen geen idee hoe dat zou moeten gebeuren. Een groot bord langs de weg lijkt me lastig te realiseren (nog even afgezien van vergunningen die daarvoor nodig zouden zijn), maar hoe anders?

Arnoud

Mag Debtscan kentekens van willekeurige auto’s fotograferen?

Geplaatst op in Privacy, 55 reacties

nummerborden.pngHet CBP doet onderzoek naar het kentekenscannend bedrijf Debtscan, las ik bij Webwereld. Het bedrijf werkt met scanauto’s die kentekens detecteren aan de hand van infraroodbeelden, om zo auto’s van mensen met executeerbare schulden op te sporen. Nu zijn kentekens persoonsgegevens dus dat roept de vraag op, mag dat zomaar? (En ja ik weet dat het Cbp-onderzoek over net iets anders gaat dan het scannen an sich.)

Debtscan is in haar FAQ vrij stellig: dit mogen wij gewoon, openbare ruimte. En ergens valt daar ook wat voor te zeggen. Men zoekt in opdracht van deurwaarders naar auto’s van mensen die een schuld hebben waarvoor ze bij vonnis (civielrechtelijk) veroordeeld zijn tot betaling. De deurwaarder mag dan beslag leggen op die auto, maar moet dan wel weten waar die auto fysiek is. De Debtscanscans geven deurwaarders die informatie.

Nu zou je zeggen dat “die auto staat daar” toch geen problematische informatie is, maar heel formeel zijn kentekens persoonsgegevens. Ze zijn immers te herleiden tot de eigenaar van de auto. Zeker voor een deurwaarder. En wie persoonsgegevens verwerkt, moet zich aan de Wbp houden. Ja, ook als die persoonsgegevens in de openbare ruimte te zien zijn en ook als de handeling waarmee je ze verkrijgt op zich legaal is (een foto op de openbare weg). Zo rolt de Wbp nu eenmaal.

Dat Debtscan de gegevens niet bewaart, maakt niet uit. Het enkele verzamelen is óók al een verwerking volgens de wet. En omdat die verwerking digitaal verloopt, valt die verwerking daarmee onder de Wbp.

Debtscan moet dus een wettelijke grondslag onder de Wbp hebben. Is die er? Volgens twee door de Telegraaf geciteerde juristen die ik toch vrij hoog heb zitten, behoort dit niet te kunnen onder de Wbp. Maar dat is wel héél principieel.

Debtscan is er in hun FAQ vrij kort over:

Debtscan krijgt deze gegevens aangeleverd van de opdrachtgevers. Deze gegevens mogen in het kader van het specifieke doel (opsporen van voertuigen), aan debstscan worden verstrekt.

Dat doel van opsporen zou je kunnen uitleggen als “eigen dringende noodzaak die zwaarder weegt dan privacy”. Het argument is dan dat de deurwaarder weinig keus heeft anders dan overal rondkijken waar toch die auto is waar hij beslag op mag leggen, dat de debiteur voor dat kenteken tóch al weinig privacy heeft en bovendien gezien dat vonnis gewoon die auto moet laten beslaan dus hoezo privacybezwaar. Of wellicht “goede uitvoering van de overeenkomst”, want incasso naar aanleiding van wanbetalen valt onder die grond dus waarom executeren van een vonnis dan niet?

Debtscan zou nog kunnen zeggen dat ze slechts ‘bewerker’ is: ze handelt in opdracht van de deurwaarder en díe bepaalt welke auto’s er moeten worden opgespoord. Maar dat gaat niet 100% op, want Debtscan verzamelt niet alleen persoonsgegevens van de auto’s van de deurwaardersdoelwitten maar van álle auto’s die ze zien. En voor díe gegevens kun je je afvragen wat de noodzaak is om ze te verzamelen. Die mensen hebben geen schuld, laat staan een vonnis waarin ze tot betaling verplicht zijn. Dus wat moet dat?

Tegelijk: hoe moet het anders? Je kunt geen auto’s van wanbetalers opsporen zonder alle auto’s te bekijken en te constateren of de auto in je bestand staat. Als dát een wijziging van de Wet bescherming persoonsgegevens vereist, dan is dat een bug in die wet.

Arnoud

Een nummerbord op Youtube

Geplaatst op in Privacy, 10 reacties

nummerborden.pngEen lezer vroeg me:

Ik heb een camera in de auto waarmee ik opvallende verkeerssituaties vastleg. De opvallendste situaties deel ik via Youtube. Mag dat? De gefilmde bestuurders zijn niet (herkenbaar) in beeld, maar de kentekens wel. Ik weet dat ze bij Wegmisbruikers (SBS6) alle kentekens wel onleesbaar maken, maar dat gaat altijd om mensen die bekeurd worden.

De camera zit trouwens geklemd tussen de hoofdsteun en de bijrijdersstoel, maar ik overweeg nu een nieuwe camera te kopen die ik met een zuignap aan de voorruit kan hangen. Maakt dat nog uit?

Elk opzettelijk filmen of fotograferen van personen met een aangebrachte camera in de openbare ruimte is verboden, tenzij dit vooraf duidelijk is aangekondigd (art. 441b Wetboek van Strafrecht). De wetgever bedoelde hiermee “elke vorm van min of meer permanent installeren” van de camera. Het lijkt mij dat het klemmen tussen de hoofdstoel of met een zuignap aan de voorruit ophangen daar niet onder valt, maar met een schroef aan het dak vastmaken zeker wel.

Artikel 441b verbiedt je om met zo’n camera personen te filmen, dat wil zeggen opnames te maken waarbij mensen herkenbaar in beeld komen. Als je erop let dat dit niet gebeurt, en in ieder geval bij beelden de mensen onherkenbaar maakt, dan moet dit geen probleem zijn.

Ik zou echter toch adviseren om ook kentekens onherkenbaar te maken. Dat doet Wegmisbruikers vanwege de privacywetgeving: via kentekens zijn mensen alsnog te herkennen, en op grond van de Wet Bescherming Persoonsgegevens moet je die gegevens dan onherkenbaar maken. Die regel geldt niet alleen voor verdachten maar ook (juist?) voor gewone mensen die ineens in beeld komen.

Arnoud<br/> Foto afkomstig van Worldlicenseplates.com.

Portretrecht en privacy voor geparkeerde auto’s

Geplaatst op in Privacy, 17 reacties

Diverse lezers, die voorzover ik kan zien niets met elkaar te maken hebben, mailden me vorige week met min of meer dezelfde vraag over portretrecht. Doorhalen wat niet van toepassing is:

In onze [straat, buurt] [rijden, parkeren] veel mensen nogal onveilig. Door al die fout geparkeerde auto’s [ontstaat veel verkeershinder, lopen overstekende kinderen gevaar, kunnen fietsers er nauwelijks nog langs]. Nu hadden wij bedacht om deze verkeerssituatie [met, zonder] de verantwoordelijke personen te fotograferen en die foto’s [op een plakbord, op school, in het wijkcentrum, op een website] te plaatsen om aandacht te vragen voor dit probleem. Het gaat ons er [niet, niet direct] om om mensen aan de schandpaal te nagelen. We willen alleen dat [mensen gaan, de gemeente gaat] inzien dat het zo niet langer kan. Maar mag zo’n actie eigenlijk wel van [het portretrecht, de privacywet]?

Fotograferen van mensen en auto’s in je omgeving mag gewoon. Het is publicatie die problematisch kan zijn. De mensen kunnen dan hun portretrecht inroepen. Portretrecht geldt zodra mensen herkenbaar in beeld zijn. Zou je dus mensen alleen onherkenbaar op de foto’s hebben, dan is er geen probleem met portretrecht. Let er wel op dat mensen soms ook herkenbaar zijn zonder dat je hun gezicht ziet. Iemand kan een opvallend kapsel hebben of herkenbare kleding (“die vrouw met de korte rokjes en het rode haar”).

Voor auto’s geldt geen portretrecht. Daar kan wel weer de Wet Bescherming Persoonsgegevens spelen. Een foto van een auto kan te herleiden zijn tot de eigenaar. Daarmee is het tonen van zo’n foto mogelijk een inbreuk op diens privacy.

Nummerborden afplakken kan daartegen helpen, maar het is geen perfecte oplossing. In zo’n beperkte omgeving als een buurt of straat weten mensen ook vaak wie de eigenaar is als het nummerbord afgeplakt is. Als er maar 1 moeder is met een Smart (of een Hummer), weet iedereen meteen wie dat is als je die Smart laat zien. Ook zonder nummerbord en zonder haar op de foto. Of wat te denken van de bakker die zijn kind met de bedrijfsauto afzet.

De inbreuk op de privacy kan te rechtvaardigen zijn omdat je een verkeersprobleem aan de orde wilt stellen. Het zal dan afhangen van de context waarin de foto wordt getoond. Als je foto’s van diverse situaties laat zien, met hooguit één of twee keer een bepaalde auto, dan lijkt me dat geen probleem.

Ga je één auto of eigenaar er uit lichten, dan is het nog maar de vraag of dat mag. Heeft die ene eigenaar het verdiend om zo in het zonnetje (koplamp?) gezet te worden? Dat riekt naar eigenrichting, zeker als nog helemaal niet vaststaat dat die persoon werkelijk verantwoordelijk is voor de overlast. Herkenbare foto’s tonen van verdachten is vrijwel altijd een inbreuk op hun privacy.

Ook zal meespelen hoe veel mensen de foto’s zien. Bij die school zou men de foto’s op een ouderavond kunnen laten zien aan de parkerende ouders. Dat is een heel wat beperktere groep dan het publiek van een website, en daarom zou dat eerder mogen dan foto’s met naam en toenaam op een website.

Kortom, dit mag [wel, niet, misschien].

Weten jullie nog buitengerechtelijke oplossingen voor parkeerproblemen? Het liefst legaal.

Arnoud