Langzaam lijkt het taboe op rekeningrijden te verdwijnen. Dat is goed nieuws, voor het klimaat (minder CO2), voor de begroting (minder asfalt), en voor de automobilist (minder files). Het wordt helemaal goed nieuws als het systeem voor rekeningrijden ook rekening houdt met de privacy. Rekeningrijden is een schoolvoorbeeld van de kracht van privacy by design. Een rechttoe rechtaan systeem van rekeningrijden waarbij de overheid alle gemaakte ritten van alle automobilisten centraal registreert en vervolgens een rekening stuurt (zeg maar een soort OV chipkaart systeem, maar dan voor auto’s) is extreem privacy onvriendelijk. Maar een zijn veel privacy-vriendelijker alternatieven ontwikkeld, door het principe van privacy by design toe te passen.

Hier gaat een fundamentele keuze aan vooraf. Wiebren de Jonge (zie leeslijst hieronder) heeft er jaren geleden al op gewezen dat het een groot verschil maakt wie er verantwoordelijk is voor het correct bepalen van het te betalen bedrag. Er zijn in essentie twee mogelijkheden:

  • de overheid is verantwoordelijk (vergelijkbaar met hoe de overheid verantwoordelijk is voor de juistheid van de verkeersboetes die zij oplegt), of
  • de automobilist is verantwoordelijk (vergelijkbaar met hoe wij als burgers verantwoordelijk zijn voor de juistheid van onze aangifte inkomstenbelasting).

In het eerste geval moet de overheid zelf voldoende informatie verzamelen om de correctheid van de heffing aan te tonen, voor het geval een automobilist in beroep gaat. Dat maakt het in essentie al lastiger om in deze context een systeem van rekeningrijden privacy vriendelijk te maken. Ook stelt dit zeer strenge eisen aan de veiligheid en betrouwbaarheid van de apparatuur die wordt gebruikt om de heffing te bepalen.

In het tweede geval, waarbij de automobilist verantwoordelijk is, zijn deze eisen aan betrouwbaarheid en veiligheid minder strikt. Maar bovenal zorgt het verplaatsen van de verantwoordelijkheid er ook voor dat alleen de automobilist zelf voldoende informatie moet verzamelen om aangifte te kunnen doen (en later aan te kunnen tonen dat hij of zij dat correct heeft gedaan). Dat maakt het in principe makkelijker om een privacy vriendelijk systeem te ontwerpen: de persoonlijke informatie blijft immers in principe bij de automobilist zelf. De overheid kan fraude opsporen met willekeurige wegkantcontroles die slechts een fractie aan ritgegevens betreffen, in vergelijking met het eerste geval.

Met andere woorden: de overheid zal eerst een fundamentele keuze moeten maken. Durft ze het aan om de verantwoordelijkheid van de aangifte voor rekeningrijden bij de automobilist te leggen? Zo ja, dan kunnen we werken aan een privacyvriendelijk systeem voor rekeningrijden. Zo niet, dan wordt ook de automobilist gevangen in een privacy nachtmerrie van OV chipkaart-achtige proporties.

P.S. 2019-01-30: Dit is dus een mooi voorbeeld van hoe privacy by design al begint ruim voordat je over de techniek zelf na gaat denken. Zelfs wet- en regelgeving heeft een fundamentele invloed op de mate van privacyvriendelijkheid van het uiteindelijke ontwerp.

Ter afsluiting een kleine leeslijst (waarin een aantal mogelijke privacyvriendelijke architecturen voor rekeningrijden worden beschreven):