dinsdag 7 februari 2012

De privacy van verbalisant 5985

Afgelopen week viel er een beschikking op de mat. Er werd mij door het Ministerie van Veiligheid en Justitie een administratieve sanctie opgelegd wegens het overtreden van een verkeersvoorschrift. Kortom: een boete voor te hard rijden van het CJIB.


Alleen, er is een probleempje: ik weet vrij zeker dat ik op die dag en op dat tijdstip niet op de plek reed waar mijn overtreding geconstateerd is. Ik reed namelijk op een relatief nieuwe weg die een paar honderd meter verderop ligt. En dan ligt de geconstateerde snelheid zelfs iets onder het toegestane maximum in plaats van 20 kilometer per uur er overheen. Nu kan het zijn dat ik het me niet goed herinner. Er zijn twee wegen die naar het Rome van die dag leiden en het is ook al weer even geleden. Dus eerst maar eens de foto van de overtreding opvragen, voordat ik officieel beroep aanteken. Ik zal niet uitweiden over hoe dat gaat, want daar is het me niet om te doen.

Transparant
Tijdens het doorlopen van de procedure voor het opvragen van de foto, kwam ik op een pagina met verbalisantennummers. En zo'n persoonlijke identificatienummer was weer een link naar verbalisantendocumenten; een soort dossiertje over de verbalisant, samengevoegd in een pdf. Dat zijn dan zaken als het aanstellingsbesluit; formulier, proces-verbaal en akte van beëdiging en verschillende relevante opleidingscertificaten.

Op zich is het natuurlijk heel transparant dat je kan nagaan of de betreffende verbalisant wel bevoegd is om een lasergun te hanteren (certificaat Politieacademie), verklaard heeft niemand iets gegeven of beloofd te hebben om deze functie te vervullen (formulier van beëdiging) of dat de verbalisant wel in dienst is van de politie (aanstellingsbesluit). Omdat de naam is weggelakt en ik niet beschik over een werkrooster van de verbalisant, zegt het me echter niets. Iedereen kan dat nummer wel gebruikt hebben, ook personen die niet weten hoe je met zo'n lasergun type Ultra Lyte L.R. om moet gaan.



Maar ook daar is het me niet om te doen.

Het gaat mij om persoonsgegevens in die verbalisantendocumenten. Zoals gezegd, is de naam weggelakt. Dat is ook terecht, omdat bekendheid een direct gevaar voor de verbalisant kan opleveren. Ook de geboortedatum is niet zichtbaar. Maar een aantal gegevens is wel te achterhalen.

Casus
Neem bijvoorbeeld verbalisant 5985. Op basis van de documenten kan ik in ieder geval de volgende gegevens achterhalen:
  1. Personeelsnummer (aanstellingsbesluit);
  2. Geboorteplaats (Getuigschrift Buitengewoon Opsporingsambtenaar). Overigens is de geboorteplaats overal weggehaald, behalve op dit getuigschrift. Dat is een foutje, vermoed ik. Die geboorteplaats had ik niet mogen vinden;
  3. Functie, divisie en bureau van tewerkstelling (1e en 4e punt in aanstellingsbesluit);
  4. Heeft een ATP-status (administratief en technisch personeel); maw heeft geen wapen, geen uniform of executieve bevoegdheden en dezelfde rechten als een 'gewone' burger (7e punt in aanstellingsbesluit). Dit wordt later gewijzigd door het verkrijgen van de status BOA (Akte van beëdiging);
  5. Inschaling (8e punt in aanstellingsbesluit);
  6. Datum indiensttreding (aanstellingsbesluit);
  7. Legt de belofte af en dus niet de eed (proces-verbaal van beëdiging).
Wet Bescherming Persoonsgegevens
Geen van deze feiten is een bijzonder persoonsgegeven in de zin van de Wet Bescherming Persoonsgegevens (WBP). Geen van de feiten op zich verraad iets relevants over de persoon (behalve misschien nummer 7, zie hieronder). Maar de combinatie zou wel eens voldoende informatie kunnen zijn voor een social engineer om meer los te krijgen en zo de echte identiteit van deze mevrouw of meneer te achterhalen.

Levert nummer 7 bijzondere persoonsgegevens op? Volgens artikel 16 van de WBP is de verwerking van persoonsgegevens betreffende iemands geloofs- of levensovertuiging (een bijzonder persoonsgegeven) verboden. Of iemand de belofte of eed aflegt, kan iets zeggen over een (al dan niet aanwezige) geloofsovertuiging. De publicatie van de verbalisantendocumenten valt niet onder de in artikel 17 WBP genoemde uitzonderingen op het verwerkingsverbod, vermoed ik.

En het is via Google terug te vinden. De zoekmachine OCRt namelijk de pdf-scans. Ik heb het met deze zoekvraag even getest met de naam van de Korpschef (dat onder ieder instellingsbesluit staat) en dat gaat heel goed. De nummers 3 en 4 in de vindlijst waren dit soort 'dossiertjes'. Daarmee zijn de gevolgen van het publiceren te vatten onder een geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens (WBP, art. 2, lid 1) en is dus onderhevig aan de WBP.

Conclusie
Ik zou in dit soort gevallen iets meer aandacht besteden aan de manier van publiceren. Ten eerste zijn de punten 2 tot en met 5 niet relevant voor de gewenste transparantie, maar zorgen wel voor een vergroting van het risico op het gebied van informatiebeveiliging. Ten tweede is (vind ik) het vermelden van de keuze voor eed of belofte een schending van artikel 16 WBP. Het is ook volstrekt overbodig voor de eerder genoemde transparantie. Ten derde, tot slot, moet voorkomen worden dat de documenten rechtstreeks door Google gevonden kunnen worden. Dat is redelijk eenvoudig te voorkomen.

Ook in dit geval liggen privacy en informatiebeveiliging weer eens in elkaars verlengde. En ben ik nog in afwachting van mijn foto.

Plaatjes
http://www.112meerlanden.nl/wp-content/uploads/images/2011/01/Snelheidisgemeten-150x100.jpg
http://geekadelphia.com/wp-content/uploads/2009/03/laser_gun_pew_pew_pew.jpg

5 opmerkingen:

Ingmario zei

Wat ook opvallend is (vind ik dan), is de handtekening van de verbalisant wel is weggelakt, maar alle andere handtekeningen niet.
Terwijl het CBP daar toch ook duidelijk over is:
Naast het onderscheid naar de mate van publieke bekendheid van de functionaris, zal het bestuurs­orgaan ook onderscheid moeten maken tussen strikt persoonlijke gegevens en functionele gegevens van de betrokken ambtenaar. De verminderde aanspraak op bescherming van persoonsgegevens van publieke functionarissen geldt niet voor de eerste categorie gegevens. Deze strikt persoonlijke gege­vens als naam, adresgegevens, privé­bankrekeningnummer en handtekening verdienen een zelfde mate van bescherming als de persoonsgegevens van niet publieke personen.
Uit Actieve openbaarmaking en eerbiediging van de persoonlijke levenssfeer

CHIDO zei

Goed punt. Had ik nog niet zo over nagedacht. Er zijn meer korpsen die dit doen. Zal eens even kijken of het ook anders kan.

Eric-Jan Keulemans zei

Die foto ga je niet krijgen. Het schijnt een giga puinhoop te zijn bij de politie, met name het digitale fotoarchief. Niet opmerkelijk want is niet centraal geregeld maar per regio. Ik ken iemand die al 3 keer werd geflitst, de foto's opvroeg maar niets kreeg toegezonden. Alle zaken zijn inmiddels geseponeerd :-)

Christian zei

Kortom: standaard de foto opvragen... (Mooi speurwerk weer, Chido!)

CHIDO zei

Dat zou mooi zijn, Eric-Jan. Alhoewel ik best voor de consequenties wil opdraaien, daar niet van. Ik was overigens onderweg naar jou, die dag ;-). Vraag me nu wel af of ik de aanvraagbrief dan niet beter aangetekend had kunnen versturen...

Als de registratie van de foto's een bende is, hoe is het dan met de registratie van de locaties waar geflitst is? Dat vraag ik me sinds mijn boete af.

De plek waar ik 'gepakt' ben, is de oude weg naar de stormvloedkering. Ik nam (als ik het me goed herinner) de nieuwe weg, de N57. Zou het kunnen zijn dat de laser gun locatiecode (ik noem maar wat) nog gekoppeld is aan de 'oude' weg, terwijl er op de nieuwe weg gemeten is? En dat de gemeten snelheid dus afgewogen wordt tegen de snelheid op de oude weg? Dat verschilt namelijk 30 en soms 50 kmpu. Zoiets, dus. Hopelijk biedt de foto opheldering. Als die komt ;-)

Dank voor het compliment, Chris.