AP waarschuwt voor 'function creep' bij geplande centrale taxirittendatabase

De Autoriteit Persoonsgegevens waarschuwt het Nederlandse kabinet voor een database waarin taxiritten worden opgeslagen. Het kabinet wil zo'n database voor veiligheidstoezicht, maar omdat de database gegevens bevat over exacte locaties, zijn er privacyrisico's en is er gevaar voor function creep.

De Autoriteit Persoonsgegevens 'heeft bezwaar' tegen die database, schrijft de privacytoezichthouder in een brief aan staatssecretaris van Infrastructuur en Waterstaat Chris Jansen. Het kabinet wil het Besluit personenvervoer en het Arbeidstijdenbesluit aanpassen om een 'centrale database taxivervoer' aan te leggen. Het kabinet had advies gevraagd aan de AP over die database, waarover de AP nu negatief oordeelt.

De zogeheten Centrale Databank Taxitoezicht is bedoeld om het werk van de Inspectie voor de Leefomgeving en Transport makkelijker te maken. De ILT houdt nu toezicht op de arbeids- en rusttijden van taxichauffeurs. Dat gebeurt aan de hand van data die op dit moment nog wordt opgeslagen op de boordcomputer in taxi's. Dat betekent dat de ILT voor een controle fysiek bij een taxi moet zijn om de boordcomputer uit te lezen. Volgens het kabinet en de ILT heeft die manier van werken 'niet geleid tot de beoogde ‘verwezenlijking van een verbreed en verbeterd toezicht op de naleving van de regels omtrent taxivervoer door bestuurders'. Het kabinet en de ILT willen daarom een centrale database waarin informatie uit de boordcomputer realtime wordt opgenomen en door de inspectie kan worden uitgelezen.

De Autoriteit Persoonsgegevens noemt dat idee disproportioneel. In de database worden bijvoorbeeld locatiegegevens verzameld van iedere individuele rit. Dat kan ertoe leiden dat er 'bijzondere persoonsgegevens' worden verzameld naast reguliere persoonsgegevens, stelt de AP. Bijzondere persoonsgegevens zijn data over iemands gezondheid, etniciteit, seksuele geaardheid of politieke of religieuze opvattingen. De overheid heeft bij het meten van de privacyimpact geen rekening gehouden met die gegevens, waarvoor strengere waarborgen gelden.

De privacytoezichthouder noemt de inbreuk 'bijzonder ernstig'. Het is bovendien niet nodig de exacte locaties te verzamelen, stelt de AP. De overheid stelt dat dat moet om een ritprijs te bepalen, maar volgens de AP gebeurt dat op basis van een opstaptarief en de gereden afstand en duur van een rit. Volgens de AP is het ook mogelijk dezelfde onderzoeksdoelen te behalen door bijvoorbeeld minder nauwkeurige locatiegegevens te gebruiken of de toegang tot gegevens te beperken.

Functioncreep

De overheid en de ILT hebben daarnaast ook te weinig rekening gehouden met zogenaamde functioncreep. Die term betekent dat een middel met een bepaald doel wordt ingezet, maar op een later moment ook voor andere doelen kan gaan gelden. De AP waarschuwt dat op een later moment mogelijk de politie, Belastingdienst of gemeenten toegang zouden willen krijgen tot de gegevens, bijvoorbeeld om uitkeringsfraude aan te pakken. Verder heeft de overheid onvoldoende gekeken naar de risico's voor wanneer de gegevens in verkeerde handen vallen.

Meer geld

Opvallend is dat de AP ook haar eigen werkdruk aanhaalt. "Aannemelijk is dat het concept de AP zal nopen tot beperkte extra inzet", stelt de toezichthouder. Die wijst er specifiek op dat er daarom extra budget beschikbaar zou moeten komen. Die waarschuwing is opvallend, omdat dat zelden in specifieke wetsadviezen verschijnt. Wel klaagt de Nederlandse privacybewaker al jaren over onderbezetting en een gebrek aan adequate financiering. De AP zegt dat er voorafgaand aan de wetsinvoering moet worden overlegd met de staatssecretaris van Rechtsbescherming. Die gaat over het budget van de toezichthouder.

Een advies van de AP is in theorie niet bindend, maar betekent in de praktijk wel dat de overheid een nieuw voorstel moet doen. Dat houdt in dat het kabinet opnieuw de risico's in kaart moet brengen en naar de invulling van de database moet kijken. De overheid heeft de optie om dat niet te doen, maar dan kan de AP overgaan tot een onderzoek en daar mogelijk een boete voor geven.

Door Tijs Hofmans

Nieuwscoördinator

28-11-2024 • 14:10

37

Submitter: wildhagen

Lees meer

Reacties (37)

Sorteer op:

Weergave:

Hoe is dit anders dan wat Über, Bolt en consorten doen? Die slaan toch ook alle ritgegevens op?

Alleen al uit hoofde van veiligheid vind ik er veel voor pleiten om alle ritgegevens van taxivervoer vast te leggen. Inclusief de gegevens van de chaufeur (en ja, graag met vingerafdruk authenticatie).

[Reactie gewijzigd door masterfragger op 28 november 2024 15:24]

Het is een zeer wezenlijk verschil. Deze commerciële diensten slaan deze data op met goedkeuring van jou als gebruiker en goedkeuring van de chauffeur die zich aan heeft gemeld voor deze diensten. Wil je die data niet delen, dan heb je de keuze om die dienst niet te gebruiken.

Het voorstel gaat over het wettelijk verplicht stellen van het delen van alle data van een boordcomputer in real-time. Oftewel, je wordt verplicht om ten alle tijden de rit- en locatiegegevens van een taxi te delen met een overheidsinstantie.

Je kan dit vergelijken met het niveau dat iemand die in de ziektewet zit permanent zijn locatie moet delen met het UWV, zodat ze kunnen vaststellen dat jij niet stiekem tóch allerlei dingen kan doen. Het is een maatregel die nergens op slaat en ontzettend ver gaat voor een vrij simpele doelstelling: het handhaven van de werktijden wet.
Drie aanvullingen op deze uitstekende samenvatting met bijna perfect voorbeeld.

-Er is in het ontwerp sprake van één centrale database bij de overheid (i.t.t. meerdere aanbieders apart)
-Groter risico op & bij function creep; nu is het ILT, straks de Belastingdienst, dan Duo. Geanonimiseerde data inzetten is dan geen optie, wel voor vergelijkbare commerciële aanbieders.
-Dit is niet tegen fraude (zoals UWV voorbeeld), maar voor veiligheid passagiers en medeweggebruikers.
Dit is plan van de overheid, heeft niet zoveel te maken met wat bedrijven zelf doen met data. Behalve dan dat daar net zo goed wet- en regelgeving omheen zit die gevolgd dient te worden.

En ik hoor graag op welke concrete manier de veiligheid beter wordt van dit soort registratie. (Zelfs als het veiliger wordt, moet het allemaal wel proportioneel zijn...)
Niet, en ik kan het niet zo snel vinden, maar ik herinner me een kranteartikel waarbij de baas van óf Uber of Lyft dreigde de ritjes van politici naar hun geheime adresjes openbaar te maken las ze niet inbonden met het reguleren.
Dus datgene waar de AP op wijst is inderdaad een duidelijke problematiek (die al bekend was).
EDIT Gevonden
Hier: https://www.buzzfeednews....ork-executive-for-privacy

[Reactie gewijzigd door ronaldvr op 29 november 2024 17:26]

Ik zou toch iets terughoudender zijn als het gaat om je rechten in te leveren in ruil voor "veiligheid"
Het ILT moet dat prima kunnen controleren zonder exacte gegevens, privacy technisch lijkt me dit zo zwaar ongewenst...

Ze moeten zoals @Tk55 al zegt de minimale informatie ontvangen:

- Rit met of zonder persoon
- Duur van rit
- Afstand van rit
- Starttijd van rit
- Eindtijd van rit

Meer heb je niet nodig zoals exacte locatie gegevens. Dat is het verzamelen van data omdat het kan, niet omdat het nodig is zodat de controle uitgevoerd kan worden.....
Sterker nog, je hoeft alleen maar te weten hoelang een auto rijdt en hoelang deze stilstaat als het alleen maar gaat om de arbeids- en rusttijd. Ze hoeven uberhaupt niet te weten wáár.
ja, kan iemand uitleggen waarom ze überhaupt locatie informatie nodig denken te hebben? Is dat in te kunnen controleren of er niet gesjoemeld wordt, zoals dat met de analoge tachograaf vaak gebeurt? Omdat rijtijden inclusief gps locatie minder makkelijk te verzinnen is?

[Reactie gewijzigd door ustinov op 29 november 2024 09:41]

En de informatie waar je hier om vraagt is nog met een (analoge) tachograaf te verkrijgen.

Dit is een enorm zwaar middel voor iets waar al 50 jaar een alternatieve oplossing voor is.
"Geen zorgen, we gaan het enkel gebruiken voor het beoogde doel"....
i2Paq's comment lijkt flauw- maar er zijn intussen wel hééél veel praktijkvoorbeelden waarbij onze overheid dit riep, maar vervolgens niet deed, integendeel. Dus terechte opmerking.
Het eerste waar ik het voor zou gaan gebruiken is voor controle op witwassen. Toegeven, ik reed nog voordat de boordcomputer werd ingevoerd, maar volgens mij blijft het nog steeds de ideale business daarvoor.

Als drugdealer mooi in de dikste bakken met mooie blauwe platen rond cruisen en ook nog weg kunnen komen met een minuutje op de stoep parkeren en dat soort grappen (in ieder geval in Groningen was de politie vrij relaxt en liet je gewoon je werk doen).
De privacytoezichthouder noemt de inbreuk 'bijzonder ernstig'. Het is bovendien niet nodig de exacte locaties te verzamelen, stelt de AP. De overheid stelt dat dat moet om een ritprijs te bepalen, maar volgens de AP gebeurt dat op basis van een opstaptarief en de gereden afstand en duur van een rit. Volgens de AP is het ook mogelijk dezelfde onderzoeksdoelen te behalen door bijvoorbeeld minder nauwkeurige locatiegegevens te gebruiken of de toegang tot gegevens te beperken.
Als ik het goed begrijp zit het als volgt:
1. De Inspectie voor de Leefomgeving en Transport wil beter kunnen controleren op arbeids- en rusttijden van taxichauffeurs.
2. Dit controleren is ingewikkeld, want er moet fysieke toegang zijn tot de boordcomputer van de gecontroleerde taxi.
3. De overheid bedenkt een systeem om alle data uit alle boordcomputers van alle taxi's te trekken.

Ik begrijp het doel: Betere controle, voor het welzijn van de werknemer.
Het probleem is echter dat het verzamelen van al deze data zijn doel compleet voorbij schiet. Om arbeids- en rusttijden te controleren heb je niet zoveel nodig: Wanneer was een rit, hoe lang duurde deze, hoeveel tijd zat er tussen, en hoe lang was de werkdag. Daar heb je geen locatiegegevens voor nodig.
(Natuurlijk rijdt een taxi soms met alleen de chauffeur, maar dat probeert elke taxidienst te minimaliseren).

Er is weer lekker niet goed over nagedacht. Of er is wel goed over nagedacht, en dat zou het alleen maar zorgwekkender maken.
Er zijn ook ritten die niet geregistreerd worden, lees cash afgerekend worden.
Dat verschil merkt de boordcomputer niet, of je nu wel of niet "op de meter" aan het rijden bent, je bent ook niet aan het rusten want de auto is in beweging.
Je taxi voor privédoeleinden gebruiken, zoals ff zelf op zaterdag naar de IKEA, boodschappen doen etc. mag ook niet, daar heb je echt een geel kenteken voor nodig want die blauwe platen hebben behalve een aantal voordelen ook een heel aantal beperkingen.
1984 Is een waarschuwing, geen handleiding.
We hebben een zonnestorm zoals in 1859 nodig om alle tot nu toe genomen maatregelen terug te draaien vrees ik....
Dat in de taxi-wereld het nodige gebeurd, dat het daglicht niet verdragen kan, is algemeen bekend. Snap het verhaal daarom wel. Aan de andere kant mag je ook niet alle over één kam scheren en gaat het best wel ver. Moeilijk moeilijk..
Dit heeft vrij weinig met de taxi wereld zelf te maken, maar met controle van klanten (de burger).
Volgens mij is het plan niet om informatie over klanten op te slaan.
Je hebt een beginadres en een eindadres, op basis daarvan kun je op een gegeven moment aardig profileren op basis van klanten.
Ik ben vooral benieuwd naar de resultaten van de privacy-inperkende maatregelen, of het dus wel de moeite waard is en of het dus ook wel echt verantwoord is.
Iedere keer wordt er wel weer een nieuwe controle of opslag bedacht en wordt er een stuk privacy ontnomen in de kader van 'veiligheid', maar waarom horen we dan nooit de resultaten van die veiligheid?
De kabinetten van de laatste 10-15 jaar hebben vaak zeer enge ideeën gehad voor maatregelen die ze willen doorvoeren in strijd tegen kindermisbruik/terrorisme en zo nog wel meer zaken. Natuurlijk is het goed dat de overheid zijn taak om bepaalde zaken te bestrijden serieus neemt, echter gaat de overheid naar mijn idee in veel gevallen zoals hier veel te ver. Het doel heiligt de middelen lijken ze vaak te denken.
Gevaar voor glijdende schaal en het te ver doorschieten van maatregelen is niet zonder reden een veel gebruikt thema in boeken en films zoals zoals 1984, Brave new World, Fahrenheit 451.
De glijdende schaal wordt vaak als een drogreden gezien echter is vaak gebleken dat er ook zeker een kern van waarheid in zit.
Wacht even, ILT haalt te weinig uit de eigen onderzoeken en verwacht dit door vergaande privacy aantastende maatregelen goed te kunnen maken? Lijkt mij eerder dat ze naar de interne organisatie moeten gaan kijken en de manier van onderzoek. Als er overtredingen zijn dan is dat altijd vast te stellen op normale, niet privacy aantasende manieren. Controleren van logboeken en ritten administratie misschien?
Nee, één of andere duurbetaalde consultant heeft betoogd dat er efficiënter gewerkt kan worden, wat kosten bespaard aka minder personeel vereist.
Alle managers klappend de vergadering uit en gleidend naar hun werkplek om vervolgens hun managers te vertellen dat ze iets nieuws hebben bedacht wat echt ge-wel-dig gaat zijn om risico's te beheersen.

Ps. manager en consultant favoriete geile taal staat in Italian.
Sinds wanneer is het slecht om een idee te hebben waardoor je efficiënter werkt en kosten bespaard?

Dat is totaal niet het probleem hier.
Het probleem is dat ze zich niet aan het minimalisatie beginsel van de privacy wet hebben gehouden.
Er is geen valide reden om de exacte locaties te verzamelen. Ze hoeven alleen maar de duur van de ritten op te slaan. En dan was er niks aan de hand geweest.
Die AP is toch maar weer goed bezig. Hulde.

Op dit item kan niet meer gereageerd worden.