ICT-jurist Arnoud Engelfriet geeft elke week antwoord op een interessante vraag over beveiliging, recht en privacy. Heb jij een vraag? Stuur hem naar juridischevraag@security.nl.
Vraag: ik woon naast een drukke sluiproute in mijn dorp en wil graag statistieken maken van het autoverkeer dat langs rijdt. Ik wil daartoe met een webcam uit mijn slaapkamerraam auto's fotograferen en de kentekens herkennen. De beelden gooi ik meteen weg, de kentekens sla ik op zodat ik statistieken kan maken over regelmatige passanten versus eenmalig verkeer etcetera. Ik publiceer de kentekens nergens maar ga de statistieken wel rapporteren aan de gemeente. Mag dat?
Antwoord: Kentekens van auto's worden in Nederland in principe gezien als persoonsgegevens. Ze zijn immers (via het RDW-register of soms andere bronnen) te herleiden tot een natuurlijk persoon, de eigenaar van de auto. Natuurlijk zullen sommige kentekens op bedrijfsnamen staan - dat zijn dan geen persoonsgegevens - maar de overgrote meerderheid van de auto's is privé-eigendom. Je moet kentekens dus behandelen als persoonsgegevens tenzij je zeker weet dat er geen privéauto's tussen zullen zitten.
De toezichthouder houdt een slag om de arm door te zeggen dat het om de context gaat: het zijn "geen persoonsgegevens indien redelijkerwijs ook niet te verwachten valt dat die gegevens langs een omweg (eventueel door derden) zullen worden herleid". Maar volgens mij is die context er al heel snel, zeker als het gaat om auto's in een bepaalde dorpswijk die daar vaker langskomen. Anderen uit die wijk zullen die snel kunnen herkennen.
Persoonsgegevens dus. Dat betekent dat het gebruik er van te rechtvaardigen moet zijn onder de Wbp. Dat komt hier neer op een belangenafweging: hoe groot is het belang van de vraagsteller bij zijn statistieken, en hoe ernstig is de privacyschending van de passanten? En, aanvullend, kan de vraagsteller iets doen om de privacyschending te beperken?
Een veelgebruikte truc is bijvoorbeeld de kentekens direct na herkenning te hashen. Weliswaar zijn het dan nog steeds persoonsgegevens, maar de privacyimpact is veel kleiner (met een goede hashfunctie). Het idee is immers dat een derde die de hashes heeft, ze niet kan terugrekenen naar de originele kentekens. In de praktijk zijn daar trucs voor, maar hashen lijkt nog steeds acceptabel bij de privacytoezichthouder (zoals bij deze zaak).
Verder heeft de vraagsteller al een paar goede stappen genomen. Hij gaat de kentekens niet publiceren maar alleen geaggregeerde informatie (15% van de auto's rijdt dagelijks heen en terug door mijn wijk, 80% van de auto's doet dat minstens één keer per week). Dat zijn geen persoonsgegevens. Hij moet alleen de kentekens niet opslaan, zodat de kans op een datalek verkleind wordt.
Het enige dat nog misgaat, is dat er geen informatie wordt verstrekt aan de auto-eigenaren dat hun persoonsgegevens op deze manier worden verwerkt. Ik heb alleen geen idee hoe dat zou moeten gebeuren. Een groot bord langs de weg lijkt me lastig te realiseren (nog even afgezien van vergunningen die daarvoor nodig zouden zijn), maar hoe anders?
Arnoud Engelfriet is ICT-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.