De Autoriteit Persoonsgegevens waarschuwt het Nederlandse kabinet voor een database waarin taxiritten worden opgeslagen. Het kabinet wil zo'n database voor veiligheidstoezicht, maar omdat de database gegevens bevat over exacte locaties, zijn er privacyrisico's en is er gevaar voor function creep.
De Autoriteit Persoonsgegevens 'heeft bezwaar' tegen die database, schrijft de privacytoezichthouder in een brief aan staatssecretaris van Infrastructuur en Waterstaat Chris Jansen. Het kabinet wil het Besluit personenvervoer en het Arbeidstijdenbesluit aanpassen om een 'centrale database taxivervoer' aan te leggen. Het kabinet had advies gevraagd aan de AP over die database, waarover de AP nu negatief oordeelt.
De zogeheten Centrale Databank Taxitoezicht is bedoeld om het werk van de Inspectie voor de Leefomgeving en Transport makkelijker te maken. De ILT houdt nu toezicht op de arbeids- en rusttijden van taxichauffeurs. Dat gebeurt aan de hand van data die op dit moment nog wordt opgeslagen op de boordcomputer in taxi's. Dat betekent dat de ILT voor een controle fysiek bij een taxi moet zijn om de boordcomputer uit te lezen. Volgens het kabinet en de ILT heeft die manier van werken 'niet geleid tot de beoogde ‘verwezenlijking van een verbreed en verbeterd toezicht op de naleving van de regels omtrent taxivervoer door bestuurders'. Het kabinet en de ILT willen daarom een centrale database waarin informatie uit de boordcomputer realtime wordt opgenomen en door de inspectie kan worden uitgelezen.
De Autoriteit Persoonsgegevens noemt dat idee disproportioneel. In de database worden bijvoorbeeld locatiegegevens verzameld van iedere individuele rit. Dat kan ertoe leiden dat er 'bijzondere persoonsgegevens' worden verzameld naast reguliere persoonsgegevens, stelt de AP. Bijzondere persoonsgegevens zijn data over iemands gezondheid, etniciteit, seksuele geaardheid of politieke of religieuze opvattingen. De overheid heeft bij het meten van de privacyimpact geen rekening gehouden met die gegevens, waarvoor strengere waarborgen gelden.
De privacytoezichthouder noemt de inbreuk 'bijzonder ernstig'. Het is bovendien niet nodig de exacte locaties te verzamelen, stelt de AP. De overheid stelt dat dat moet om een ritprijs te bepalen, maar volgens de AP gebeurt dat op basis van een opstaptarief en de gereden afstand en duur van een rit. Volgens de AP is het ook mogelijk dezelfde onderzoeksdoelen te behalen door bijvoorbeeld minder nauwkeurige locatiegegevens te gebruiken of de toegang tot gegevens te beperken.
Functioncreep
De overheid en de ILT hebben daarnaast ook te weinig rekening gehouden met zogenaamde functioncreep. Die term betekent dat een middel met een bepaald doel wordt ingezet, maar op een later moment ook voor andere doelen kan gaan gelden. De AP waarschuwt dat op een later moment mogelijk de politie, Belastingdienst of gemeenten toegang zouden willen krijgen tot de gegevens, bijvoorbeeld om uitkeringsfraude aan te pakken. Verder heeft de overheid onvoldoende gekeken naar de risico's voor wanneer de gegevens in verkeerde handen vallen.
Meer geld
Opvallend is dat de AP ook haar eigen werkdruk aanhaalt. "Aannemelijk is dat het concept de AP zal nopen tot beperkte extra inzet", stelt de toezichthouder. Die wijst er specifiek op dat er daarom extra budget beschikbaar zou moeten komen. Die waarschuwing is opvallend, omdat dat zelden in specifieke wetsadviezen verschijnt. Wel klaagt de Nederlandse privacybewaker al jaren over onderbezetting en een gebrek aan adequate financiering. De AP zegt dat er voorafgaand aan de wetsinvoering moet worden overlegd met de staatssecretaris van Rechtsbescherming. Die gaat over het budget van de toezichthouder.
Een advies van de AP is in theorie niet bindend, maar betekent in de praktijk wel dat de overheid een nieuw voorstel moet doen. Dat houdt in dat het kabinet opnieuw de risico's in kaart moet brengen en naar de invulling van de database moet kijken. De overheid heeft de optie om dat niet te doen, maar dan kan de AP overgaan tot een onderzoek en daar mogelijk een boete voor geven.