Big data

advertisement
WEG EN WAGEN | November 2015 | Jaargang 29 | Nummer 77
Big data
Openbare persoonsgegevens zijn niet vogelvrij
AIS is een systeem voor het tracken van schepen met behulp van door die schepen uitgezonden
radiosignalen. Het systeem is verplicht voor internationaal scheepvaartverkeer en deels ook
binnenlands. In hoeverre zijn deze gegevens persoonsgegevens? En welke consequenties zijn
daaraan verbonden voor de gegevens verzamelaar?
1. Inleiding
Dr. Koen Versmissen
partner bij Privacy
Management Partners
(www.pmpartners.nl)
De redactie van Weg & Wagen heeft mij gevraagd om een
bijdrage te schrijven over de privacyaspecten van het
Automatic Identification System (AIS) voor de scheepvaart.
Dit naar aanleiding van een bericht begin dit jaar op
TotaalTrans1. Daarin valt te lezen dat de ASV (Algemeene
Schippers Vereeniging) melding heeft gemaakt van vermeend
misbruik van AIS bij de nationale privacytoezichthouder, het
CBP (College Bescherming Persoonsgegevens). Nu ben ik
onvoldoende bekend met AIS om dit onderwerp volledig uit
te kunnen diepen, maar het is een mooie aanleiding om eens
wat aspecten van de privacywetgeving toe te lichten.
AIS is een systeem voor het tracken van schepen met behulp
van door die schepen uitgezonden radiosignalen. Het is
ontwikkeld door de International Maritime Organization
(IMO), die het verplicht stelt voor een groot deel van het
internationale scheepvaartverkeer. Ook voor binnenlands
scheepvaartverkeer wordt het gebruik van AIS steeds vaker
verplicht gesteld.
2. Mogelijk misbruik van AIS-gegevens
De ASV trok aan de bel over het gebruik van AIS-gegevens in
twee situaties:
1. Een lokale politieke partij uit Gorinchem gebruikte AISgegevens om een pleidooi tegen het uitbreiden van een
overnachtingshaven kracht bij te zetten.
2. Verzekeringsmaatschappij EOC roept bewoners van
woonarken op om schade van zuiging of golfslag door
passerende schepen te melden en daarbij met behulp
van AIS-gegevens vast te stellen welk schip de schade
veroorzaakt heeft.
1
2
Aan die AIS-gegevens is gemakkelijk te komen. Er zijn
verschillende websites die met behulp van een team van
vrijwilligers AIS-gegevens verzamelen en ze real time op
internet publiceren. De bekendste van deze sites lijkt
marinetraffic.com.
Als ik het over “privacy” heb, dan bedoel ik daarmee het
op behoorlijke, zorgvuldige en rechtmatige wijze omgaan
met persoonsgegevens. Die zinsnede komt rechtstreeks
uit de Wet bescherming persoonsgegevens (WBP), onze
overkoepelende privacywet die de Nederlandse vertaling is
van een EU-privacyrichtlijn. Met deze definitie van privacy
kan er alleen maar sprake zijn van privacyaspecten als
er sprake is van persoonsgegevens. Dat is dus de eerste
vraag die we moeten beantwoorden. De definitie van
“persoonsgegeven” in de WBP is heel ruim: “ieder gegeven
betreffende een geïdentificeerde of identificeerbare persoon”.
Dat geldt ook als de gegevens niet rechtstreeks over de
persoon in kwestie gaan, maar bijvoorbeeld over een product
of proces. Ook dan kunnen ze indirect iets over de persoon
zeggen. Daarvan lijkt hier wel sprake te zijn. Waar een schip
zich bevindt, zegt immers ook waar de opvarenden zich
bevinden. En het zegt ook iets over de eigenaar van het schip,
als dat een persoon is. Dat het om persoonsgegevens gaat, wil
nog niet zeggen dat de gegevens ook “als persoonsgegevens”
gebruikt worden. In de eerste situatie hierboven lijkt me dat
niet het geval: het gaat om statistieken, niet om de gegevens
van individuele schepen, laat staan hun opvarenden. In de
tweede situatie is dat anders: het doel is om bij de eigenaar
van het schip een schadeclaim neer te kunnen leggen, dus als
die eigenaar een persoon is dan worden de gegevens zeker
als persoonsgegevens gebruikt.
Omdat het bij AIS dus om persoonsgegevens gaat, zijn
de EU-privacyrichtlijn en de daarop gebaseerde WBP van
toepassing. Maar ook het verplichte gebruik van AIS is
gebaseerd op een EU-richtlijn2 (die op haar beurt weer een
vertaling is van de IMO-verplichtingen). Die twee lijken met
elkaar te botsen als het gaat om het verplicht gebruik van AIS.
Een belangrijke regel uit de EU-privacyrichtlijn is namelijk dat
persoonsgegevens adequaat beveiligd moeten worden. Dat
is met AIS-gegevens echter niet het geval: die zijn helemaal
open en kunnen door iedereen met de juiste antenne uit de
lucht worden geplukt.
http://www.totaaltrans.nl/asv-maakt-melding-bij-cbp-voor-vermeend-misbruik-ais/
Namelijk de richtlijn monitoring- en informatiesysteem zeescheepvaart.
Weg en Wagen is het gratis e-magazine over vervoerrecht, douanerecht en transport van afval. Abonneren kan op www.sva.nl/wegenwagen
14
WEG EN WAGEN | November 2015 | Jaargang 29 | Nummer 77
Dat AIS-gegevens voor iedereen toegankelijk zijn, wil overigens
nog niet zeggen dat iedereen er ook mee mag doen wat
hij wil. De WBP-regels gelden voor alle persoonsgegevens,
ook “openbare”. Om die reden is er dan ook in het Besluit
meldingsformaliteiten en gegevensverwerkingen van alles
geregeld over welke instanties precies wat met de AIS-gegevens
mogen doen. Buiten de kaders van het besluit moeten we echter
terugvallen op de WBP. Wie AIS-gegevens bijvoorbeeld verzamelt
en vervolgens op internet publiceert, moet voldoen aan allerlei
toetsen in de WBP c.q. de EU-privacyrichtlijn. Het is maar zeer de
vraag of een site als marinetraffic.com daaraan voldoet. Kennelijk
vindt de Cypriotische privacytoezichthouder het echter niet nodig
om op dit punt te handhaven. We zien hier mooi het verschil
tussen recht hebben en recht krijgen. In theorie is het allemaal
goed geregeld, in de praktijk verre van. Wat dat betreft maakte de
minister er zich richting de Kamer dan ook wel gemakkelijk vanaf
toen ze begin dit jaar vertelde dat het met privacy en AIS wel snor
zit dankzij de WBP.3 Waarbij ze ook nog eens helemaal voorbij
ging aan de ontbrekende beveiliging van AIS.
3. Tenslotte: hergebruik AIS-gegevens voor
binnenvaart
Interessant genoeg ligt het allemaal net iets anders als het gaat
over ander gebruik van AIS. We hebben het dan met name over
het inzetten van AIS als ondersteunende technologie voor het
realiseren van river information services (RIS). Ook het inrichten
van RIS is een Europese verplichting. Het boeiende verschil is dat
daarbij het gebruik van AIS niet is voorgeschreven. Gelet op wat
ik hierboven heb geschreven over de ontbrekende beveiliging
van AIS, lijkt me dat de EU-privacyregels eraan in de weg staan
dat het hebben van AIS voor de binnenscheepvaart verplicht
wordt gesteld om RIS te faciliteren. Ook al is dat precies wat er op
1 december jl. is gebeurd voor het Rijnstroomgebied…
3
Zie http://www.totaaltrans.nl/minister-beantwoordt-vragen-over-ais-in-de-binnenvaart/
Weg en Wagen is het gratis e-magazine over vervoerrecht, douanerecht en transport van afval. Abonneren kan op www.sva.nl/wegenwagen
15
Download