De Autoriteit Persoonsgegevens is kritisch op een plan om een centrale database te bouwen voor taxi-gegevens. De privacytoezichthouder wijst het kabinet erop dat het beoogde systeem niet voldoet aan de privacyregels en dat passagiers hierin beter moeten worden beschermd.
Inzet is een centrale database waarmee de Inspectie Leefomgeving en Transport (ILT) makkelijker kan controleren of taxichauffeurs zich aan de wet houden. Nu worden data over taxiritten alleen opgeslagen op de boordcomputer van de taxi’s. Inspecteurs van de ILT moeten de data in de taxi uitlezen. In het voorstel worden de gps-coördinaten van het vertrek- en eindpunt van elke rit naar de ILT verzonden, waardoor een database met álle taxiritten in Nederland ontstaat.
AP snapt dat het kabinet het toezicht makkelijker wil maken. ‘Maar door zo nauwkeurig in één database de coördinaten van elke taxirit op te slaan, stel je mensen die de taxi nemen onnodig bloot aan privacyrisico’s’, aldus AP-bestuurslid Katja Mur.
Met gps-coördinaten is vaak te achterhalen bij welke woning iemand is opgehaald, en wat de bestemming was. Mur: ‘Woon jij in een straat met weinig directe buren en gebruik jij een taxi? Dan zou iemand met toegang tot die database vrij eenvoudig kunnen achterhalen waar jij allemaal naartoe gaat. Dus ook als jij elke vrijdag de taxi pakt naar je therapeut. Of die keer dat je je laat afzetten bij een kliniek voor plastische chirurgie. Zaken waarbij je erop moet kunnen vertrouwen dat ze privé blijven.’
Datalek
Zodra zo’n centrale database bestaat, is er ook het risico dat het fout gaat, meent AP. Volgens Mur zit een datalek vaak in een klein hoekje. Daarbij bestaat bij dit soort databases ook altijd het risico dat de data uiteindelijk ook voor zaken gebruikt worden waar ze oorspronkelijk niet voor bedoeld zijn. Dit wordt ook wel aangeduid met de tem op ‘function creep’. Misschien wil de politie wel toegang. Of vinden de Belastingdienst en de gemeente dat wel handig, om te controleren of mensen niet frauderen met toeslagen of uitkeringen. Door die data weer te koppelen aan andere data, kan de overheid mensen op de voet volgen. Dat moeten we niet willen’, aldus Mur.
Risico’s wegnemen
De AP wijst het kabinet erop dat het de grote risico’s weg moet nemen in een nieuwe versie van het voorstel. Zo mag de ILT alleen locatiegegevens verzamelen als het kabinet goede redenen kan geven waarom dat per se moet. Die redenen geeft het kabinet nu niet. Maar ook al kan het kabinet die redenen wel geven, dan nog zou het kabinet het waar nodig moeilijker moeten maken om de locatiegegevens te herleiden tot specifieke passagiers. Bijvoorbeeld door met simpele aanpassingen de locatie minder nauwkeurig te maken, stelt AP. Ook is in het voorstel niet vastgelegd wanneer de ILT de gegevens verwijdert. Mur: ‘Daar moet een duidelijke grens komen. Zodra de gegevens niet meer nodig zijn, moeten die vernietigd worden. Want data die je niet hebt, kunnen ook niet lekken.’
Lees ook: Optimisme over nieuw taxisysteem