Privacy vriendelijk rekeningrijden: nu én in de toekomst.
De kamercommissie voor Verkeer en Waterstaat houdt op 31 januari een hoorzitting over het kabinetsvoorstel "Anders betalen voor mobiliteit". Privacy zou tijdens die hoorzitting nadrukkelijk aan de orde moeten komen. Want een verkeerd ingericht systeem voor rekeningrijden kan de privacy ernstig bedreigen. Nu, of in de toekomst. De acceptatie van zo'n nieuw betaalsysteem kon wel eens afhangen van hoe de privacy gewaarborgd is.
Er wordt gedacht aan twee varianten. In de eerste variant vindt omzetting van gedetailleerde verplaatsingsgegevens (zeg maar het wie-waar-wanneer) tot betalingsgegevens plaats in de voertuigapparatuur zelf. De apparatuur in de auto geeft in dit geval alleen door dat er een bepaald bedrag kan worden geheven. Dit geeft een sterke garantie voor de privacy. De voorkeur lijkt echter te gaan naar de tweede variant. Hier vindt omzetting van gedetailleerde verplaatsingsgegevens plaats in de backoffice, dus op een centrale plek. Privacy wordt afgedwongen door maatregelen zoals pseudonimisering en functiescheiding. Deze scheiding is procedureel. Achteraf kan de data gecombineerd worden om alsnog de verplaatsing van individuele automobilisten te volgen.
In het overzicht van voorbereidend onderzoek bij het kabinetsbesluit over de kilometerprijs "Starten met de kilometerprijs" wordt bovendien gerept van "value added services". Dit zijn toegevoegde diensten rondom rekeningrijden die door bedrijven zouden kunnen worden aangeboden. Voorbeelden die genoemd worden zijn dan het belonen van goed en veilig rijgedrag, voordeliger autoverzekering bij minder gereden kilometers, persoonlijke verkeersinformatie, en dergelijke. Dit maakt het systeem alleen maar kwetsbaarder voor privacy-aantasting, omdat deze diensten alleen maar geleverd kunnen worden als het rijgedrag van alle weggebruikers gedetailleerd geregistreerd én bewaard wordt.
Je kunt echter ook nog aan andere toepassingen denken. Op basis van dezelfde gegevens, zonder extra apparatuur, kunnen ook snelheidsovertredingen overal op het wegennet worden geconstateerd en geverbaliseerd. Ook al zal dat nu niet de bedoeling van de minister zijn, hij zal straks onder grote druk komen te staan om het wel toe te passen. De kosten zijn immers marginaal, de inkomsten groot, en het milieu en de verkeersveiligheid zijn er zeer bij gebaat.
Ook voor criminaliteit- en terrorismebestrijding zijn zulke vervoersgegevens natuurlijk een goudmijn. De mogelijke toepassingen zijn niet moeilijk te bedenken.
Het zijn voorbeelden van zogenaamde "function creep": het gebruiken, misbuiken of oprekken van een systeem op een manier waar het in eerste instantie niet voor bedoeld was. Voor alle duidelijkheid: natuurlijk zijn er op dit moment helemaal geen plannen om van dergelijke mogelijkheden gebruik te maken. Maar politieke wensen kunnen in de toekomst veranderen. Wet en regelgeving helpen hier niet tegen, want wetswijzigingen zijn relatief eenvoudig door te voeren.
Veel beter is het om het systeem zo in te richten dat het niet misbruikt kán worden. Bijvoorbeeld door gebruik te maken van de eerste optie en omzetting van gedetailleerde verplaatsingsgegevens tot heffingsgegevens uit te voeren in de voertuigapparatuur. Dit is geen futuristisch concept: in 2001 heeft Roel Pieper een mogelijke inrichting hiervoor al eens onderzocht binnen het Mobimiles project. De complexiteit hiervan is naar verwachting van dezelfde orde als de andere componenten in het totale systeem voor rekeningrijden. En je krijgt er iets voor terug: een door de burger vertrouwbaar en privacyvriendelijk systeem voor rekeningrijden, voor nu én in de toekomst.
Iedereen wil misdaad oplossen en terrorisme voorkomen, maar of we dat met een dergelijk forse inbreuk op onze privacy moeten willen is de vraag. Het zou in ieder geval een duidelijk politieke keuze moeten zijn. Juist nu, wanneer over de inrichting van het systeem een beslissing genomen wordt. Na invoering is dat immers niet meer te veranderen. En begint het proces van function creep. Niet Anders, maar Veilig Betalen voor Mobiliteit is de keuze waar de politiek nu voor staat.
Jaap-Henk Hoepman is senior onderzoeker security en cryptografie bij TNO ICT en de Radboud Universiteit Nijmegen.
Last Version - e1e3326.
(Note: changeover from CVS to dotless svn version numbers on Jan 19, 2008, and changeover to GIT versioning on May 30, 2013.)
Maintained by Jaap-Henk Hoepman
Email: jhh@cs.ru.nl