Het kabinet wil een centrale database maken met gegevens over alle taxiritten. Dus ook gegevens over waar mensen in- en uitstappen. Iemand met toegang tot die database zou gevoelige privézaken van passagiers kunnen ontdekken. De Autoriteit Persoonsgegevens (AP) wijst het kabinet erop dat het de privacy van passagiers beter moet beschermen.
Het doel van de centrale database is dat de Inspectie Leefomgeving en Transport (ILT) makkelijker kan controleren of taxichauffeurs zich aan de wet houden. Nu worden data over taxiritten alleen opgeslagen op de boordcomputer van de taxi’s. Inspecteurs van de ILT moeten de data in de taxi uitlezen. In het voorstel worden de gps-coördinaten van het vertrek- en eindpunt van elke rit naar de ILT verzonden. Daardoor ontstaat dus een database met álle taxiritten in Nederland.
‘Wij snappen dat het kabinet het toezicht makkelijker wil maken’, zegt AP-bestuurslid Katja Mur. ‘Maar door zo nauwkeurig in één database de coördinaten van de vertrek- en eindpunten van elke taxirit op te slaan, stel je mensen die de taxi nemen onnodig bloot aan privacyrisico’s. Passagiers verdienen een betere bescherming.’
Met gps-coördinaten is vaak te achterhalen bij welke woning iemand is opgehaald, en wat de bestemming was. Mur: ‘Woon jij in een straat met weinig directe buren en gebruik jij een taxi? Dan zou iemand met toegang tot die database vrij eenvoudig kunnen achterhalen waar jij allemaal naartoe gaat. Dus ook als jij elke vrijdag de taxi pakt naar je therapeut. Of die keer dat je je laat afzetten bij een kliniek voor plastische chirurgie. Zaken waarbij je erop moet kunnen vertrouwen dat ze privé blijven.’
En zodra zo’n centrale database bestaat, is er ook het risico dat het fout gaat, aldus Mur: ‘Een datalek zit vaak in een klein hoekje. Door een foutje, een kwaadwillende medewerker of een hacker. We hebben dit vaak genoeg fout zien gaan, ook bij overheidsinstellingen.’
Daarbij bestaat bij dit soort databases ook altijd het risico op ‘function creep’: dat de data uiteindelijk ook voor zaken gebruikt worden waar ze oorspronkelijk niet voor bedoeld zijn. Mur: ‘Misschien wil de politie wel toegang. Of vinden de Belastingdienst en de gemeente dat wel handig, om te controleren of mensen niet frauderen met toeslagen of uitkeringen. Door die data weer te koppelen aan andere data, kan de overheid mensen op de voet volgen. Dat moeten we niet willen.’
De AP wijst het kabinet erop dat het de grote risico’s weg moet nemen in een nieuwe versie van het voorstel. Zo mag de ILT alleen locatiegegevens verzamelen als het kabinet goede redenen kan geven waarom dat per se moet. Die redenen geeft het kabinet nu niet.
Maar ook al kan het kabinet die redenen wel geven, dan nog zou het kabinet het waar nodig moeilijker moeten maken om de locatiegegevens te herleiden tot specifieke passagiers. Bijvoorbeeld door met simpele aanpassingen de locatie minder nauwkeurig te maken.
Bovendien is in het voorstel niet vastgelegd wanneer de ILT de gegevens verwijdert. Mur: ‘Daar moet een duidelijke grens komen: zodra de gegevens niet meer nodig zijn, moeten die vernietigd worden. Want: data die je niet hebt, kunnen ook niet lekken.’
