WEG EN WAGEN | November 2015 | Jaargang 29 | Nummer 77 Big data Openbare persoonsgegevens zijn niet vogelvrij AIS is een systeem voor het tracken van schepen met behulp van door die schepen uitgezonden radiosignalen. Het systeem is verplicht voor internationaal scheepvaartverkeer en deels ook binnenlands. In hoeverre zijn deze gegevens persoonsgegevens? En welke consequenties zijn daaraan verbonden voor de gegevens verzamelaar? 1. Inleiding Dr. Koen Versmissen partner bij Privacy Management Partners (www.pmpartners.nl) De redactie van Weg & Wagen heeft mij gevraagd om een bijdrage te schrijven over de privacyaspecten van het Automatic Identification System (AIS) voor de scheepvaart. Dit naar aanleiding van een bericht begin dit jaar op TotaalTrans1. Daarin valt te lezen dat de ASV (Algemeene Schippers Vereeniging) melding heeft gemaakt van vermeend misbruik van AIS bij de nationale privacytoezichthouder, het CBP (College Bescherming Persoonsgegevens). Nu ben ik onvoldoende bekend met AIS om dit onderwerp volledig uit te kunnen diepen, maar het is een mooie aanleiding om eens wat aspecten van de privacywetgeving toe te lichten. AIS is een systeem voor het tracken van schepen met behulp van door die schepen uitgezonden radiosignalen. Het is ontwikkeld door de International Maritime Organization (IMO), die het verplicht stelt voor een groot deel van het internationale scheepvaartverkeer. Ook voor binnenlands scheepvaartverkeer wordt het gebruik van AIS steeds vaker verplicht gesteld. 2. Mogelijk misbruik van AIS-gegevens De ASV trok aan de bel over het gebruik van AIS-gegevens in twee situaties: 1. Een lokale politieke partij uit Gorinchem gebruikte AISgegevens om een pleidooi tegen het uitbreiden van een overnachtingshaven kracht bij te zetten. 2. Verzekeringsmaatschappij EOC roept bewoners van woonarken op om schade van zuiging of golfslag door passerende schepen te melden en daarbij met behulp van AIS-gegevens vast te stellen welk schip de schade veroorzaakt heeft. 1 2 Aan die AIS-gegevens is gemakkelijk te komen. Er zijn verschillende websites die met behulp van een team van vrijwilligers AIS-gegevens verzamelen en ze real time op internet publiceren. De bekendste van deze sites lijkt marinetraffic.com. Als ik het over “privacy” heb, dan bedoel ik daarmee het op behoorlijke, zorgvuldige en rechtmatige wijze omgaan met persoonsgegevens. Die zinsnede komt rechtstreeks uit de Wet bescherming persoonsgegevens (WBP), onze overkoepelende privacywet die de Nederlandse vertaling is van een EU-privacyrichtlijn. Met deze definitie van privacy kan er alleen maar sprake zijn van privacyaspecten als er sprake is van persoonsgegevens. Dat is dus de eerste vraag die we moeten beantwoorden. De definitie van “persoonsgegeven” in de WBP is heel ruim: “ieder gegeven betreffende een geïdentificeerde of identificeerbare persoon”. Dat geldt ook als de gegevens niet rechtstreeks over de persoon in kwestie gaan, maar bijvoorbeeld over een product of proces. Ook dan kunnen ze indirect iets over de persoon zeggen. Daarvan lijkt hier wel sprake te zijn. Waar een schip zich bevindt, zegt immers ook waar de opvarenden zich bevinden. En het zegt ook iets over de eigenaar van het schip, als dat een persoon is. Dat het om persoonsgegevens gaat, wil nog niet zeggen dat de gegevens ook “als persoonsgegevens” gebruikt worden. In de eerste situatie hierboven lijkt me dat niet het geval: het gaat om statistieken, niet om de gegevens van individuele schepen, laat staan hun opvarenden. In de tweede situatie is dat anders: het doel is om bij de eigenaar van het schip een schadeclaim neer te kunnen leggen, dus als die eigenaar een persoon is dan worden de gegevens zeker als persoonsgegevens gebruikt. Omdat het bij AIS dus om persoonsgegevens gaat, zijn de EU-privacyrichtlijn en de daarop gebaseerde WBP van toepassing. Maar ook het verplichte gebruik van AIS is gebaseerd op een EU-richtlijn2 (die op haar beurt weer een vertaling is van de IMO-verplichtingen). Die twee lijken met elkaar te botsen als het gaat om het verplicht gebruik van AIS. Een belangrijke regel uit de EU-privacyrichtlijn is namelijk dat persoonsgegevens adequaat beveiligd moeten worden. Dat is met AIS-gegevens echter niet het geval: die zijn helemaal open en kunnen door iedereen met de juiste antenne uit de lucht worden geplukt. http://www.totaaltrans.nl/asv-maakt-melding-bij-cbp-voor-vermeend-misbruik-ais/ Namelijk de richtlijn monitoring- en informatiesysteem zeescheepvaart. Weg en Wagen is het gratis e-magazine over vervoerrecht, douanerecht en transport van afval. Abonneren kan op www.sva.nl/wegenwagen 14 WEG EN WAGEN | November 2015 | Jaargang 29 | Nummer 77 Dat AIS-gegevens voor iedereen toegankelijk zijn, wil overigens nog niet zeggen dat iedereen er ook mee mag doen wat hij wil. De WBP-regels gelden voor alle persoonsgegevens, ook “openbare”. Om die reden is er dan ook in het Besluit meldingsformaliteiten en gegevensverwerkingen van alles geregeld over welke instanties precies wat met de AIS-gegevens mogen doen. Buiten de kaders van het besluit moeten we echter terugvallen op de WBP. Wie AIS-gegevens bijvoorbeeld verzamelt en vervolgens op internet publiceert, moet voldoen aan allerlei toetsen in de WBP c.q. de EU-privacyrichtlijn. Het is maar zeer de vraag of een site als marinetraffic.com daaraan voldoet. Kennelijk vindt de Cypriotische privacytoezichthouder het echter niet nodig om op dit punt te handhaven. We zien hier mooi het verschil tussen recht hebben en recht krijgen. In theorie is het allemaal goed geregeld, in de praktijk verre van. Wat dat betreft maakte de minister er zich richting de Kamer dan ook wel gemakkelijk vanaf toen ze begin dit jaar vertelde dat het met privacy en AIS wel snor zit dankzij de WBP.3 Waarbij ze ook nog eens helemaal voorbij ging aan de ontbrekende beveiliging van AIS. 3. Tenslotte: hergebruik AIS-gegevens voor binnenvaart Interessant genoeg ligt het allemaal net iets anders als het gaat over ander gebruik van AIS. We hebben het dan met name over het inzetten van AIS als ondersteunende technologie voor het realiseren van river information services (RIS). Ook het inrichten van RIS is een Europese verplichting. Het boeiende verschil is dat daarbij het gebruik van AIS niet is voorgeschreven. Gelet op wat ik hierboven heb geschreven over de ontbrekende beveiliging van AIS, lijkt me dat de EU-privacyregels eraan in de weg staan dat het hebben van AIS voor de binnenscheepvaart verplicht wordt gesteld om RIS te faciliteren. Ook al is dat precies wat er op 1 december jl. is gebeurd voor het Rijnstroomgebied… 3 Zie http://www.totaaltrans.nl/minister-beantwoordt-vragen-over-ais-in-de-binnenvaart/ Weg en Wagen is het gratis e-magazine over vervoerrecht, douanerecht en transport van afval. Abonneren kan op www.sva.nl/wegenwagen 15