Logo Parlement Buxellois

Schriftelijke vraag betreffende het parkeren in Brussel en het respect van de privacy.

Indiener(s)
Khadija Zamouri
aan
Elke Van den Brandt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Mobiliteit, Openbare Werken en Verkeersveiligheid (Vragen nr 1402)

 
Datum ontvangst: 27/09/2022 Datum publicatie: 02/02/2023
Zittingsperiode: 19/24 Zitting: 22/23 Datum antwoord: 19/01/2023
 
Datum behandeling van het stuk Indiener(s) Referentie Blz.
21/11/2022 Ontvankelijk p.m.
 
Vraag    In de kranten konden we op maandag 26 september lezen dat het kennen van iemands nummerplaat je in staat stelt om zijn locatie, wanneer hij/zij geparkeerd staat, eenvoudig terug te vinden. Het Brussels Gewest heeft sterk ingezet op deze digitalisering, op het gebruik van digitale camera’s. Ik ben één en al voor automatisering en digitalisering om het leven van de burger gemakkelijker te maken. Maar zo’n stappen moeten gezet worden met het oog op onze grondrechten, waaronder privacy. Nu blijkt dat die toets ontbreekt in het parkeerbeleid van Brussel, wat gaat u ondernemen om onze privacy te waarborgen?

Ethische hacker Inti De Ceukelaire legde de gevaren piekfijn bloot met een experiment over 100 dagen. Zelfs de persoonsgegevens van de bestuurders die zo’n parkeerapplicatie niet gebruiken, worden mee verwerkt door de slimme camera’s én beschikbaar gesteld in de app voor consultatie door eender wie.

Dit nieuws komt mij vreemd voor. Zekere omdat er sinds mei 2016 de AVG is, of de GDPR, een nieuwe privacybescherming vanuit de EU. Ook het federaal niveau heeft een aanvullende privacywet, ter vervanging van die van 1992, aangenomen. Privacy is dus in eerste instantie een federale beleidskwestie, maar het is aan iedereen in de maatschappij om de wetgeving na te leven. Zijn de apps 4411 en Indigo geen verwerkers voor het Gewest, en is er dan geen verwerkersovereenkomst gesloten met nadruk op ‘privacy by default’? O.a. het beperken van toegang tot data tot enkel zij die er toegang toe moeten hebben; het waar mogelijk anonimiseren van persoonsgegevens; dat zie ik niet terugkomen in een systeem waar eender wie via het ingeven van de nummerplaat alle info kan bekomen.

En dat geeft niet alleen privacy problemen, maar kan zich ook omzetten tot nog meer schade. Weten waar je geparkeerd bent… Ik ben geen Zuckerberg maar ik kan daar al snel conclusies uit trekken. Van diefstal tot stalking, er wordt veel mogelijk door het verwaarlozen van de privacy. Je moet dan misschien een kleine kost uitgeven voor het gebruik van de app, maar dat kan je als crimineel al snel dividenden opleveren als je daardoor een huis kan leegroven.

Graag wil ik de hacker dan ook bedanken om dit probleem aan te kaarten. Ruchtbaarheid geeft misschien tot gevolg dat meer mensen, met slechtere bedoelingen, er van gebruik gaan maken. Kwestie dus van snel beleid om dit gat op te vullen, zij het vanuit uw initiatief of doordat u in dialoog treedt met uw collega’s op de andere niveaus. Op een Europese oplossing kunnen we niet wachten, zeker omdat het probleem disproportioneel impact heeft op België. Laat ons snel een voortrekkersrol spelen. Ik ben hierover verontrust, mevrouw de minister. Kan u verduidelijken wat u gaat doen om de Brusselaar gerust te stellen? Meer specifiek wil ik van u weten:

  • Wordt er op de sites van Parking Brussels gebruik gemaakt van slimme camera’s? Zijn die vatbaar voor de problemen die de ethische hacker hier signaleert? Hoe wordt dit aangepakt?

  • Hoe verhoudt het Brussels Gewest zich tot de parkeerapps? Is er bij die samenwerking aandacht voor de privacyvereisten vanuit de GDPR? Zo ja, waarom is dit probleem van privacy er? Via parking.brussels wordt er promotie gemaakt voor app providers, o.a. Indigo en 4411, twee van die apps die onder vuur liggen. Gezien de recente revelatie, gaat u in gesprek met die aanbieders en zal u voorlopig de samenwerking opschorten?

  • Hoe verhoudt het Brussels Gewest zich tot de slimme camera’s die de publieke parking spots in ’t oog houden? Welke acties onderneemt u om deze uitwassen onmogelijk te maken?

  • Welke acties hebt u gestart om de parkeerbedrijven en de app-ontwikkelaars te sensibiliseren inzake deze drastische inbreuk in de GDPR? Gaat u zelf, om de privacy van de burgers te garanderen, naar de Gegevensbeschermingsautoriteit stappen?
 
 
Antwoord    Wat betreft de openbare parkings beheerd door parking.brussels:

Eerst en vooral, wat betreft de intelligente camera’s, deze worden inderdaad op de parksharing- en park and ride-sites van parking.brussels gebruikt. Het gebruik van deze diensten voor nummerplaatherkenning door parking.brussels werkt enkel voor geverifieerde abonnees. Aangezien het om dienstverleningscontracten gaat, is parking.brussels als aanbestedende dienst verantwoordelijk voor de verwerking van de gegevens door de inschrijvers. Parking.brussels voorziet in haar bestekken de naleving van de geldende rechtsregels inzake de verwerking van normatieve gegevens en beelden. Een modelovereenkomst wordt systematisch door de aanbestedende dienst aan de concessiehouder voorgesteld om het aanbod van de opdracht te bepalen. Een GDPR-overeenkomst wordt dus met elk van hen overeengekomen. Deze overeenkomst omvat met name engagementen betreffende de termijnen voor het wissen van opnames van ANPR-camera's en algemene bewakingsopnames, conform de wetgeving inzake gegevensbescherming.

Voor de applicaties zijn er twee gevallen mogelijk.

In het eerste geval gaat het over openbare parkings die in concessie worden gegeven door parking.brussels sinds haar ontstaan.

Het Agentschap werkt met het consortium Indigo-Bepark samen voor het beheer van de parksharing. Dit gebeurt enkel via abonnementen. De app voor het beheer van de abonnementen verschilt van degene die gehackt is. Het beheer van de abonnementen is gebaseerd op een nominatieve databank met een unieke identificatiecode, namelijk de nummerplaat. Het is dus onmogelijk om twee of meer abonnementen met dezelfde nummerplaat te hebben. De parkeerhistoriek voor een bepaalde nummerplaat kan alleen door de abonnee worden geraadpleegd.

Wat betreft de P+R’s werkt het Agentschap samen met nog andere operatoren dan Indigo. De abonnees die een gebruikersaccount hebben kunnen maximum twee nummerplaten beheren. De raadpleging is dus zeer sterk afgebakend. Voor niet-abonnees is de nummerplaatherkenning verbonden aan de betaling en niet aan een applicatie. De identificatie gebeurt via de nummerplaat die ingegeven moet worden in de betaalautomaat. Daarna moet een betaling gebeuren om de parking te mogen verlaten. Er is dus geen raadpleging mogelijk van de gegevens van een andere gebruiker.

Het tweede geval betreft de Brusselse openbare parkings aan wie een concessie verleend is door de overheid vóór het ontstaan van het Agentschap parking.brussels en voordat de GDPR-regels in werking traden. De concessie werd vervolgens overgedragen aan parking.brussels. Om zich ervan te verzekeren dat het beheer van deze Brusselse openbare parkings geen veiligheidsgebreken vertoont, ondervraagt het Agentschap de concessiehouders van de 6 betrokken gewestelijke openbare parkings: Indigo, Apcoa en Interparking. Het Agentschap zal een verslag opstellen over de situatie met betrekking tot de privacywetgeving en de GDPR. Daardoor zal vastgesteld kunnen worden of er al dan niet sprake is van mogelijke schendingen van de privacy en of de zaak voorgelegd moet worden aan de bevoegde autoriteiten.

Sowieso is het belangrijk om weten dat parking.brussels niet samen werkt met 4411 in het kader van het beheer van parkings buiten de openbare weg. Dit soort app is echter wel beschikbaar voor de betaling van het parkeren op de openbare weg. De raadpleging van de gegevens is beperkt tot de eigenlijke parkeersessie, betaald door de gebruiker van de app.

Inzake de andere openbare parkings in het Brussels Gewest die niet door parking.brussels worden beheerd:

Wij zullen een verzoek om informatie indienen bij de Gegevensbeschermingsautoriteit om vast te kunnen stellen of er al dan niet sprake is van een inbreuk op de regels inzake gegevensbescherming.