Rekeningrijden? Doen! Met privacy by design.

January 29, 2019

Langzaam lijkt het taboe op rekeningrijden te verdwijnen. Dat is goed nieuws, voor het klimaat (minder CO2), voor de begroting (minder asfalt), en voor de automobilist (minder files). Het wordt helemaal goed nieuws als het systeem voor rekeningrijden ook rekening houdt met de privacy. Rekeningrijden is een schoolvoorbeeld van de kracht van privacy by design. Een rechttoe rechtaan systeem van rekeningrijden waarbij de overheid alle gemaakte ritten van alle automobilisten centraal registreert en vervolgens een rekening stuurt (zeg maar een soort OV chipkaart systeem, maar dan voor auto's) is extreem privacy onvriendelijk. Maar een zijn veel privacy-vriendelijker alternatieven ontwikkeld, door het principe van privacy by design toe te passen.

Hier gaat een fundamentele keuze aan vooraf. Wiebren de Jonge (zie leeslijst hieronder) heeft er jaren geleden al op gewezen dat het een groot verschil maakt wie er verantwoordelijk is voor het correct bepalen van het te betalen bedrag. Er zijn in essentie twee mogelijkheden:

  • de overheid is verantwoordelijk (vergelijkbaar met hoe de overheid verantwoordelijk is voor de juistheid van de verkeersboetes die zij oplegt), of
  • de automobilist is verantwoordelijk (vergelijkbaar met hoe wij als burgers verantwoordelijk zijn voor de juistheid van onze aangifte inkomstenbelasting).

In het eerste geval moet de overheid zelf voldoende informatie verzamelen om de correctheid van de heffing aan te tonen, voor het geval een automobilist in beroep gaat. Dat maakt het in essentie al lastiger om in deze context een systeem van rekeningrijden privacy vriendelijk te maken. Ook stelt dit zeer strenge eisen aan de veiligheid en betrouwbaarheid van de apparatuur die wordt gebruikt om de heffing te bepalen.

In het tweede geval, waarbij de automobilist verantwoordelijk is, zijn deze eisen aan betrouwbaarheid en veiligheid minder strikt. Maar bovenal zorgt het verplaatsen van de verantwoordelijkheid er ook voor dat alleen de automobilist zelf voldoende informatie moet verzamelen om aangifte te kunnen doen (en later aan te kunnen tonen dat hij of zij dat correct heeft gedaan). Dat maakt het in principe makkelijker om een privacy vriendelijk systeem te ontwerpen: de persoonlijke informatie blijft immers in principe bij de automobilist zelf. De overheid kan fraude opsporen met willekeurige wegkantcontroles die slechts een fractie aan ritgegevens betreffen, in vergelijking met het eerste geval.

Met andere woorden: de overheid zal eerst een fundamentele keuze moeten maken. Durft ze het aan om de verantwoordelijkheid van de aangifte voor rekeningrijden bij de automobilist te leggen? Zo ja, dan kunnen we werken aan een privacyvriendelijk systeem voor rekeningrijden. Zo niet, dan wordt ook de automobilist gevangen in een privacy nachtmerrie van OV chipkaart-achtige proporties.

P.S. 2019-01-30: Dit is dus een mooi voorbeeld van hoe privacy by design al begint ruim voordat je over de techniek zelf na gaat denken. Zelfs wet- en regelgeving heeft een fundamentele invloed op de mate van privacyvriendelijkheid van het uiteindelijke ontwerp.

Ter afsluiting een kleine leeslijst (waarin een aantal mogelijke privacyvriendelijke architecturen voor rekeningrijden worden beschreven):

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Gilles Ampt
, 2019-01-29 12:00:38
(reply)

Hi Jaap-Henk, Ik ondersteun je oproep tot Privacy by Design voor Rekeningrijden van harte. In 2008 heeft de toenmalige Autoriteit Persoonsgegevens op de vraag van de Minister daar een duidelijk standpunt over ingenomen (CBP z2008-01050). Het oordeel van het CBP was: Een kilometerprijssysteem met een ‘dikke’ registratievoorziening beschermt de privacy van een automobilist beter dan een systeem met een ‘dunne’ registratievoorziening. Een ‘dikke’ registratievoorziening is complexer en daardoor duurder, maar de bijbehorende centrale backoffice is eenvoudiger en goedkoper. Het CBP heeft vanuit het oogpunt van de privacybescherming voorkeur voor deze variant, immers hiermee wordt dataminimalisatie bereikt, de zeggenschap over de gegevens ligt bij de betrokkene en er is een laag risico op (ongewenst) nevengebruik. Dit is een decentrale oplossing zonder potentiële achterdeurtjes, geen risico van function creep of data retention creep, zoals we vandaag de dag zien met ANPR. Deze decentrale oplossing kan fraude- en audit-proof gerealiseerd worden zoals Wiebren de Jonge c.s. destijds hebben aangetoond. De privacy-vriendelijke decentrale oplossing heb ik voor mijn toenmalige werkgever helemaal doorgerekend en aangeboden voor de invoering van 8 miljoen voertuigen. Het was een realistische en goed betaalbare mogelijkheid om in te voeren. Tien jaar zal de uitkomst niet anders zijn. Het is niet de vraag of het kán, het is vooral een kwestie van willen.

Jaap-Henk
, 2019-01-29 12:11:38
(reply)

Dank je, Gilles.

De grap is dat met het verschuiven van de verantwoordelijkheid naar de automobilist die zogenaamde ‘dikke’ registratievoorziening in de auto (de zogenaamde On Board Unit, OBU) een stuk minder dik (i.e. minder verregaande security maatregelen) hoeft te zijn. Daarmee wordt deze optie ook veel minder complex en veel goedkoper.

Laurens de Vries
, 2019-03-28 16:31:45
(reply)

We hebben allang rekeningrijden, en het is een prachtig systeem waarbij zuinige auto’s minder betalen per kilometer dan onzuinige auto’s. Het heet brandstofaccijns en gaat samen met de btw voor benzine richting de euro per liter. Geen kastjes, geen satellieten, geen databases. Simpel.. misschien te simpel ?.

Jaap-Henk
, 2019-03-28 17:08:44
(reply)

Wel als je mensen wilt stimuleren buiten de spits te rijden (of te straffen als ze in de spits rijden; het is maar net hoe je het wilt formuleren).