Follow that car!

Over de mogelijke privacy gevolgen van rekeningrijden, en hoe die te vermijden

dr. J.-H. Hoepman

Samenvatting

In potentie is een systeem voor rekeningrijden (of Anders Betalen voor Mobiliteit) een landelijk dekkend volgsysteem. Daarmee is controleerbaarheid en inbaarheid van de heffingen gegarandeerd, maar wordt een forse inbreuk op de privacy van de weggebruikers gepleegd. De overheid heeft aangegeven dit te willen voorkomen, wat ook mogelijk is. Rekeningrijden kan privacy vriendelijk geïmplementeerd worden zonder afbreuk te doen aan de accountability van het systeem.

Trefwoorden: rekeningrijden, (revocable) privacy, accountability.

Inleiding

Rekeningrijden staat al een tiental jaren op de politieke agenda. Deze in hoogte van het gebruik afhankelijke belasting voor motorvoertuigen zou in de plaats moeten komen van de huidige 'vaste' motorrijtuigenbelasting en de BPM. Het doel is niet alleen het milieu te beschermen door het terugdringen van het autogebruik, maar net zo goed het bestrijden van files door het zwaarder belasten van rijden tijdens de spits.

Invoering van rekeningrijden is echter steeds opnieuw uitgesteld. Het is dan ook een gevoelig politiek dossier. Sommigen zijn bang dat de automobilist gewoon méér (en niet ánders) belasting gaat betalen, hoewel de overheid aangeeft dat dit niet het geval zal zijn. Implementatie van rekeningrijden is een voorbeeld van een complex, en dus riskant, ICT project. Daarnaast brengt een systeem voor rekeningrijden mogelijk privacy risico's met zich mee. Op dit laatste aspect wil ik in dit artikel nader ingaan.

Dit artikel is opgedeeld in drie stukken. In het eerste deel wil ik ingaan op het doel van rekeningrijden, de politieke ontwikkelingen rond rekeningrijden, en de huidige stand van zaken. In het tweede deel bespreek ik het belang van privacy, en hoe dat zich verhoudt tot de plannen rondom rekeningrijden. Centraal issue is het spanningsveld tussen privacy aan de ene kant en accountability (en de mogelijkheid rekeningen te sturen) aan de andere kant. In het derde deel beschrijf ik mogelijke oplossingen voor rekeningrijden, gebaseerd op het concept van revocable privacy, die rekening houden met deze tegenstrijdige belangen.

In dit artikel wordt het Nederlandse systeem van Anders Betalen voor Mobiliteit als voorbeeld genomen van meer algemene systemen voor betalen van voertuiggebruik. Niet alle issues die in dit artikel naar voren worden gebracht ten aanzien van systemen voor rekeningrijden in het algemeen zijn van toepassing op de specifieke Nederlandse variant.

Het doel van rekeningrijden

Door de gebruiker te laten betalen voor wanneer en over welke afstand hij zijn auto gebruikt, hoopt de overheid een aantal doelen te bereiken. Ten eerste wordt, door het gebruik in plaats van het bezit te belasten, een negatieve prikkel voor het veelvuldig gebruik van de auto gerealiseerd. De hoop is dat hiermee het totale autogebruik wordt teruggedrongen en dat dit tot een positief effect op het milieu leidt.

Ten tweede wil men, door die prikkel ook aan plaats en tijd te binden, ook het verkeersgedrag van de automobilist beïnvloeden. Automobilisten die niet vast zitten aan een bepaalde reistijd of route, zouden zo gestimuleerd worden om de spits en drukke routes te mijden. De overheid kan zelfs beslissen de tarieven tussentijds aan te passen, zodat ongewenste verkeersontwikkelingen eenvoudig gecorrigeerd kunnen worden.

Ten derde zou een systeem voor rekeningrijden de mogelijkheid kunnen bieden tot realtime en gedetailleerd inzicht in verkeersstromen. Dit maakt het mogelijk direct te reageren in geval van calamiteiten (een ongeluk met een tankwagen op de A7), en is tevens waardevolle informatie over de verkeersbehoefte. Deze informatie kan gebruikt worden om preciezere modellen te ontwikkelen en zo toekomstige infrastructuur optimaal te plannen. In Nederland is de overheid van plan deze mogelijheid, omwille van de privacy, onbenut te laten.

Stand van zaken

De politiek beladen term "rekeningrijden" is inmiddels verlaten. Men spreekt tegenwoordig van Anders Betalen voor Mobiliteit (ABvM). In de rest van het artikel gebruiken we de oude term rekeningrijden voor het algemene concept van betalen voor voertuiggebruik. Dit leest prettiger. Anders Betalen voor Mobiliteit zoals dat in Nederland ingevoerd wordt is hiervan een invulling.

Om het draagvlak te vergroten is in 2004 een brede commissie ingesteld die de overheid moest adviseren over de verschillende mogelijkheden voor een andere manier van het betalen voor het gebruik van de weg. In het advies van het Nationaal Platform Anders Betalen voor Mobiliteit uit 2005 [http://www.andersbetalenvoormobiliteit.nl/files/Andersbetalen] worden de volgende uitgangspunten geformuleerd:

Op basis van dit advies is verder onderzoek gedaan en is men gekomen tot een pakket van eisen. Kern van Anders Betalen voor Mobiliteit (ABvM) is dat de automobilist belast wordt per gereden kilometer, rekening houdend met locatie, tijdstip en karakteristieken (gewicht, mate van vervuiling) van het voertuig. Bij de uitvoering spelen marktpartijen een grote rol. De overheid hoopt, op basis van door haar opgestelde specificaties, de infrastructuur voor ABvM door private partijen te laten aanleggen. In ruil hiervoor mogen deze partijen de infrastructuur exploiteren en toegevoegde waarde diensten aanbieden. Denk hierbij aan integratie met route planners, het vinden van een parkeerplaats en automatisch ook betalen van parkeergeld, etc. Deze ideeën zijn ook terug te vinden in het document "Implementatie Kilometerprijssysteem" [MVW]. Meer informatie is te vinden op de website van het ministerie [http://www.verkeerenwaterstaat.nl/onderwerpen/mobiliteit_en_bereikbaarheid/anders_betalen_voor_mobiliteit/]

Rekeningrijden in een context

Rekeningrijden is niet de enige locatie gebaseerde dienst. Volgsystemen vergelijkbaar met rekeningrijden bestaan al langer. Over dergelijke systemen is in de rest van dit themanummer nog veel meer te lezen. Daarnaast wordt er ook gewerkt aan een systeem van Elektronische Voertuig Identificatie (EVI). Dit systeem moet het mogelijk maken om betrouwbaar én op afstand de werkelijke identiteit van een voertuig te bepalen. EVI en rekeningrijden hebben veel met elkaar te maken, en de issues die spelen zijn vergelijkbaar.

GSM's zijn een ander voorbeeld van zo'n volgsysteem. Mobiele telefoon maatschappijen houden de positie van iedere GSM telefoon bij. Niet alleen als je belt of gebeld wordt, maar ook als het toestel standby staat. Sommige systemen registreren alleen de actieve cel (dat wil zeggen het gebied rondom de GSM mast waarmee je op dit moment verbinding hebt). Andere systemen zijn preciezer en bepalen met behulp van additionele technieken je exacte locatie. Deze gegevens zijn zogenaamde 'verkeersgegevens' die, volgens de wet bewaarplicht telecommunicatiegegevens [http://www.justitie.nl/onderwerpen/wetgeving/wetgevingsprogramma/Straf-en-sanctierecht/wet-bewaarplicht-telecommunicatiegegevens-ez.aspx], (zoals die nu ter behandeling licht bij de Eerste Kamer) ten minste 12 maanden bewaard moeten worden. De gegevens mogen alleen gebruikt worden voor opsporing naar aanleiding van een ernstig misdrijf.

Daarnaast bestaan er location based services zoals loopt.com, trackme.com en anderen. Deze hebben veelal tot doel om locatie gegevens te koppelen aan profielen op sociale netwerken zoals Hyves en MySpace. Zo kun je snel zien wie van je vrienden in de buurt is, of welk naburig restaurant door één van je vrienden wordt aanbevolen.

Een belangrijk verschil met rekeningrijden is dat er voor rekeningrijden geen alternatief is. Als je een auto bezit, moet je meedoen aan rekeningrijden, onder de voorwaarden zoals die door de overheid zijn gesteld. Bij mobiele telefonie kun je er nog voor kiezen een (anoniem) prepaid abonnement te nemen of je telefoon helemaal uit te zetten. En een abonnement op een location based service is (nog) geen eerste levensbehoefte. Met andere woorden: rekeningrijden is een door de overheid gemandateerde dienst (net als bijvoorbeeld DigiD) die vanwege haar verplichte karakter aan strikte eisen moet voldoen.

Privacy en rekeningrijden

Het ligt voor de hand aan te nemen dat privacy aspecten een rol spelen bij het op grote schaal verzamelen van verplaatsingsgegevens van alle automobilisten in Nederland. Maar om daar meer duidelijkheid in te krijgen moeten we eerst dieper ingaan op het concept privacy zelf.

De invloed van de technologie op privacy

De betekenis en het belang van privacy hangt sterk af van de maatschappelijke context. Privacy wordt in verschillende delen van de wereld anders beleefd. Privacy heeft door de eeuwen heen verschillende betekenissen gehad.

Een belangrijk aspect hierbij is ook het effect van de technologische ontwikkelingen. De opkomst van de fotografie voegde een nieuwe dimensie aan het aspect privacy toe. Datzelfde gebeurde toen kranten populair werden. De opmars van de computer en het internet hebben ook grote invloed gehad. Voor een goed begrip van de privacyaspecten van rekeningrijden is het belangrijk hier kort op in te gaan.

De opmars van de computer had twee belangrijke gevolgen. Ten eerste kon informatie makkelijk opgeslagen en gedupliceerd worden. Hierdoor raakten gegevens minder snel zoek. Door het maken van backups konden gegevens ook niet zomaar meer door een brand of andere calamiteit verloren raken. Ten tweede kon informatie eenvoudig en geautomatiseerd doorzocht worden.

De opkomst van het Internet, een tweetal decennia later, had daarbij nog het gevolg dat alle informatie veel eenvoudiger toegankelijk werd. Informatie was altijd opvraagbaar, onafhankelijk van plaats en tijd, en vaak ook door een veel groter publiek. Ook het koppelen van gegevens uit verschillende gegevensbestanden was zo heel gemakkelijk geworden.

Het belang van privacy

In onze optiek zit het belang van adequate privacy bescherming niet zozeer in het voorkomen van "Big Brother" achtige doem scenario's. Het is ook niet het goede beeld om het belang van privacy over te brengen aan het grote publiek. Het probleem van deze metafoor is namelijk dat deze door velen als onrealistisch (en dus als niet gevaarlijk) wordt gezien. De gemiddelde Nederlander heeft, ondanks alles, nog een groot vertrouwen in de overheid en gelooft niet dat de overheid misbruik zou maken van alle gegevens.

Veel beter is het om te kijken naar het gebrek aan controle en het gebrek aan inzicht in wie welke gegevens over jou gebruikt, dat ontstaat als privacy niet afdoende wordt beschermd. Het beeld dat hierbij goed past is het beeld dat wordt geschetst in het boek "Het Proces" van Franz Kafka [Solove].

Ten eerste benadrukt de metafoor dat niet alleen de overheid, maar ook bedrijven waar je diensten afneemt, de winkels waar je boodschappen doet, je werkgever, ja zelfs je persoonlijke omgeving, informatie over je verzamelt. Ten tweede komt zo ook duidelijker voor het voetlicht dat deze zogenaamde profielen gebruikt worden zonder dat je er iets van merkt. Voor prijsdifferentiatie, bijvoorbeeld, om je een bepaalde aanbieding te doen, of je uit te sluiten voor een lening of hypotheek, of af te wijzen voor een vacature. Een groot probleem hierbij is dat de gegevens over jou niet noodzakelijkerwijs correct hoeven te zijn, met alle gevolgen van dien. Bovendien kun je ze niet corrigeren, omdat je niet eens weet dat die gegevens geregistreerd zijn.

De toekomst als bedreiging

Een systeem voor rekeningrijden is, zonder tegenmaatregelen, makkelijk aan te passen om ook andere toepassingen mogelijk te maken. Op basis van dezelfde gegevens kunnen, zonder extra apparatuur, ook snelheidsovertredingen op het wegennet worden geconstateerd en geverbaliseerd. Ook al zal dat nu niet de bedoeling van een overheid zijn, zij zal straks onder grote druk komen te staan om het wel toe te passen. De kosten zijn immers marginaal, de inkomsten groot, en het milieu en de verkeersveiligheid zijn er zeer bij gebaat.

Ook voor criminaliteit- en terrorismebestrijding zijn zulke vervoersgegevens natuurlijk een goudmijn. De mogelijke toepassingen zijn niet moeilijk te bedenken.

Het zijn voorbeelden van zogenaamde "function creep": het gebruiken, misbuiken of oprekken van de functionaliteit van een systeem op een manier waar het in eerste instantie niet voor bedoeld was. Wet en regelgeving helpen hier niet tegen, want wetswijzigingen zijn relatief eenvoudig door te voeren.

Aan de andere kant zijn er ook positieve, gebruikersvriendelijke, toepassingen denkbaar [deJonge]. Het is bijvoorbeeld eenvoudig te regelen om via het systeem van rekeningrijden ook meteen je parkeergeld te betalen. Zoals in het vorige hoofdstuk al is genoemd geeft een dergelijk systeem ook real-time inzicht in verkeerstromen en maakt het mogelijk om files te voorspellen en gericht verkeersinformatie te geven.

De overheid overweegt ook het mogelijk maken van "value added services" [MVW]. Dit zijn toegevoegde diensten rondom rekeningrijden die door bedrijven zouden kunnen worden aangeboden. Voorbeelden die genoemd worden zijn dan het belonen van goed en veilig rijgedrag, voordeliger autoverzekering bij minder gereden kilometers, persoonlijke verkeersinformatie, en dergelijke. Dit maakt het systeem alleen maar kwetsbaarder voor privacy-aantasting, omdat deze diensten alleen maar geleverd kunnen worden als het rijgedrag van alle weggebruikers gedetailleerd geregistreerd én bewaard wordt. De overheid stelt daarbij wel als eis dat de gebruiker expliciet toestemming moet geven voor het gebruik van haar gegevens voor het leveren van dergelijke diensten: er is dus sprake van opt-in in plaats van opt-out.

Afwegingskader

In de Wet Bescherming Persoonsgegevens [WBP] staan een aantal principes geformuleerd waaraan een systeem dat persoonsgegevens verwerkt moet voldoen. We noemen er twee.

Proportionaliteit
De inbreuk op de privacy die de maatregel veroorzaakt is evenredig met het belang dat er mee gediend is.
Subsidiariteit
Hetzelfde belang kan niet gediend worden door een minder verregaand middel.

Het subsidiariteitprincipe heeft eigenlijk twee gevolgen. Het systeem mag niet meer informatie verzamelen dan nodig is voor correct functioneren van het systeem. Bovendien mag het systeem niet gebruikt worden voor andere doeleinden dan waar het oorspronkelijk voor bedoeld is. Subsidiariteit is in de context van rekeningrijden een belangrijk punt. Er bestaan immers verschillende voorstellen om rekeningrijden binnen de randvoorwaarden, maar met verschillende nivo's van privacybescherming, te implementeren.

De combinatie van de twee eisen geeft ons ook een ander, meer filosofisch, punt ter overweging. We hebben al gezien dat sommige inrichtingen voor een systeem van rekeningrijden ook gebruikt kunnen worden voor, bijvoorbeeld, het automatisch detecteren van alle snelheidsovertredingen. De maximum snelheid is ingevoerd ter verhoging van de verkeersveiligheid en ter vermindering van de luchtvervuiling. Periodiek voert de politie al snelheidscontroles uit. Waarom dan niet die controles intensiveren? Vooral als de kosten hiervoor marginaal zijn? Wat is het effect van een dergelijke perfecte controle? Is een perfecte samenleving een waar de wet perfect en te allen tijde wordt uitgevoerd? Of moet er de ruimte zijn om soms "lekker stout" te zijn [Jacobs].

Ik heb hier geen antwoord op, maar het is in mijn ogen wel een belangrijk punt. Het speelt namelijk ook op allerlei andere vlakken waar ICT op grote schaal door de overheid wordt ingevoerd. Denk aan automatische belastingaangifte, OV-chipkaart, biometrische paspoorten, etc. Hoe schadelijk is een beperkt nivo van zwartrijden? Hoe erg is een beetje identiteitsfraude, en vervalste papieren? Heb je niet altijd een beetje van dat soort "smeerolie" nodig?

Bovenstaande discussie laat onverlet dat van de burger die geen strafbare feiten pleegt ook geen persoonlijke informatie verzameld moet worden. Op deze garantie op "privacy tenzij" komen we straks terug onder de noemer "revocable privacy".

Omdat rekeningrijden een politiek heet hangijzer is, zijn er ook nog een aantal risico's te noemen die een belangrijke rol spelen bij de keuze voor een systeem voor rekeningrijden. Deze hebben voornamelijk te maken met een verhoogd afbreukrisico en het uitvergroten van bepaalde problemen om, via de media of het maatschappelijke middenveld, plannen voor rekeningrijden te torpederen. Ten eerste is daar het risico van een omvangrijk, complex, ICT project dat rekeningrijden door gestelde randvoorwaarden is geworden. Ten tweede is daar het risico van het gebrek aan privacy en het gemak waarmee daardoor bepaalde beeldvorming naar buiten kan worden gebracht, zoals het automatisch incasseren van iedere verkeersboete. Zo wordt het gebrek aan privacy een stok om de hond mee te slaan.

Centrale vraag

Vanuit privacy oogpunt gezien zou een systeem voor rekeningrijden zo min mogelijk persoonlijke verplaatsingsgegevens moeten registreren en bewaren. Aan de andere kant moet het systeem ook accountable zijn. Dat wil zeggen dat het systeem controleerbaar is en dat bij klachten over functioneren de klacht op basis van de gegevens in redelijkheid afgehandeld kan worden. In de praktijk betekent dit dat de juiste rekeningen verstuurd moeten worden, inning van bedragen gecontroleerd moet kunnen worden, en het correct functioneren van het systeem naderhand vastgesteld moet kunnen worden. De centrale vraag die we moeten beantwoorden voor het ontwerpen en bouwen van een goed en verantwoord systeem van rekeningrijden is de dus de volgende. Bestaat er een systeem voor rekeningrijden dat de privacy van de weggebruiker beschermt en daarnaast accountable is? En zo ja, hoe ziet een dergelijk systeem er dan uit?

Gelukkig gaat de Nederlandse overheid voor de implementatie van Anders Betalen voor Mobiliteit uit van een systeem waarin alleen geaggregeerde data naar de inningsinstantie worden gestuurd, en dus niet vanaf een centrale plek kan worden nagegaan wanneer een bepaald voertuig waar is geweest [MVW].

Oplossingsrichtingen

Hoe bouw je nu een dergelijk een systeem voor rekeningrijden? Dat kan op een aantal manieren. Welke manier de voorkeur heeft hangt af van de eisen die je aan het systeem stelt.

Tolwegen zijn een beproefd concept voor het betalen voor het gebruik van een bepaald stuk weg. Het is op die manier mogelijk om afhankelijk van het type voertuig en datum en tijd de automobilist hiervoor te laten betalen, conform de eisen van ABvM. Het vereist wel een forse investering in de infrastructuur, die bovendien niet erg flexibel is: je verandert niet zomaar een weg in een tolweg.

Vandaar dat (voor ABvM) is gekozen voor een systeem waarbij ieder voertuig zelf registreert op welk moment het voertuig zich op een bepaalde locatie bevindt. Dit gebeurt met een zogenaamde On Board Unit (OBU). Voor de juiste datum, tijd en locatie is de OBU afhankelijk van een satelliet gebaseerd positioneringsysteem zoals GPS (of, in de toekomst, van Galileo). Dit is dezelfde techniek die ook voor route navigatie systemen, zoals TomTom, wordt gebruikt. Zo'n systeem is erg flexibel (alle wegen zijn eenvoudig tolwegen te maken), maar is daarmee wel een uitdagend ICT project geworden. Bovendien is het minder eenvoudig om "vreemde" voertuigen (denk aan toeristen en vrachtverkeer) in het systeem in te passen.

De dikke en de dunne

Als de auto zelf de verplaatsingsgegevens registreert zijn er een aantal mogelijkheden waarmee het daadwerkelijke verbruik bepaald en betaald wordt. Op dit moment wordt er gedacht aan twee varianten.

In de eerste variant vindt omzetting van gedetailleerde verplaatsingsgegevens (zeg maar het wie-waar-wanneer) tot (geaggregeerde) betalingsgegevens plaats in de OBU zelf. De apparatuur in de auto geeft in dit geval alleen door dat er een bepaald bedrag kan worden geheven. Deze zogenaamde "dikke" OBU variant geeft in principe een sterke garantie voor de privacy. Immers, de locatie gegevens verlaten nooit de OBU. Nadeel hiervan is echter wel dat accountability (de garantie - en controle hierop - dat alle gereden kilometers echt zijn geregistreerd en worden betaald) een stuk lastiger te realiseren is. Mogelijke oplossingen hiervoor bestaan wel, en zijn reeds beschreven door Roel Pieper in het MobiMiles rapport [Pieper] en anderen [deJonge].

De tweede variant is een zogenaamde "dunne" OBU. Hier vindt omzetting van gedetailleerde verplaatsingsgegevens plaats in de backoffice, dus op een centrale plek. Privacy wordt afgedwongen door maatregelen zoals pseudonimisering (het gebruik van verschillende pseudonymen voor één en hetzelfde voertuig) en functiescheiding. Deze scheiding is echter procedureel. Achteraf kan de data wellicht gecombineerd worden om alsnog de verplaatsing van individuele automobilisten te volgen. Accountability is een stuk makkelijker te realiseren door een combinatie van fysieke beschermingsmaatregelen en de gegevens over periodieke flits controles langs de openbare weg naderhand te combineren met de opgegeven verplaatsingsgegevens door de automobilist. Merk op dat dit in de "dikke" OBU variant niet kan omdat de locatiegegevens al uit de geaggregeerde gegevens zijn verwijderd. Wel kan op een vergelijkbare manier worden gecontroleerd of de OBU het moment van controle zelf goed functioneert.

Revocable privacy

Zoals hierboven al eerder vermeld, zit de kern van de problematiek in het spanningsveld tussen privacy aan de ene kant en accountability aan de andere kant. Dit is zeer vergelijkbaar met het spanningsveld tussen privacy en security in het algemeen. Hiervoor biedt het revocable privacy [Hoepman] concept handvaten voor een oplossing.

Als we in technische zin over privacy spreken, dan hebben we het over eigenschappen als anonimiteit/pseudonimiteit, onlinkbaarheid en ontraceerbaarhied. Waar bij onlinkbaarheid de eis is dat twee zaken niet met elkaar in verband kunnen worden gebracht (bijvoorbeeld een gebruiker als afzender van een bepaald email bericht), is bij ontraceerbaarheid de eis dat niet eens vastgesteld kan worden óf er een email verstuurd is. Elk van deze eigenschappen zorgt ervoor dat een systeem de privacy van haar gebruikers tot op een bepaald niveau beschermt. Privacy-enhancing technologies (PET) implementeren één of meer van bovenstaande eigenschappen.

Het probleem (voor security) is dat dergelijke privacy-enhancing technologies de privacy ongelimiteerd en onconditioneel aanbieden. Wat er ook gebeurt, de privacy van de gebruiker blijft gewaarborgd.

Revocable privacy is een concept dat voor dat probleem een oplossing biedt. Een systeem implementeert revocable privacy als de architectuur van het systeem garandeert dat persoonlijke gegevens slechts dan beschikbaar komen als aan een aantal vooraf gedefinieerde voorwaarden is voldaan. Merk op dat deze garantie door de architectuur afgedwongen moet worden, en niet enkel vastgelegd is door regels of procedures. Voor rekeningrijden zou dus de voorwaarde zijn dat verplaatsingsgegevens slechts dan herleidbaar zijn tot een persoon als deze persoon niet eerlijk betaalt voor het gebruik van zijn of haar auto.

Er zijn hierbij een aantal mogelijke varianten.

In de eerste, zogenaamde self-enforcing, variant is het systeem zo ingericht dat persoonsgegevens alleen vrij kunnen komen als aan de voorwaarden voor vrijkomen voldaan is. Het is dus een technische beperking (vergelijkbaar met de beperking dat men niet sneller kan reizen dan het licht) en niet een procedurele. Echter, self-enforcing systemen blijken lastig te maken te zijn.

De tweede variant is algemeen toepasbaar, maar geeft duidelijk minder garanties. Hierin wordt de toegang tot de gegevens bewaakt door een onafhankelijke derde partij, de zogenaamde trusted third party. Deze controleert (middels een vooraf opgestelde en vastgelegde procedure) of aan de voorwaarden voor het opheffen van de privacy is voldaan. Hierbij moet dus wel vertrouwd kunnen worden op de integriteit van deze derde partij. Ook mogen er geen situaties ontstaan waardoor de procedures of de voorwaarden later veranderd kunnen worden. Dit is echter moeilijk te garanderen. Desondanks is een dergelijk systeem wel degelijk beter dan enkel te vertrouwen op wet- en regelgeving. De systeemeigenaar noch de trusted third party kan namelijk op eigen houtje de persoonlijke gegevens van de betrokkenen boven tafel krijgen. Ze zullen daarbij moeten samenspannen. Het is daarbij zelfs mogelijk om het systeem zo in te richten dat de rol van trusted third party over verschillende partijen verdeeld wordt. Het idee is dan dat toegang tot de persoonlijke gegevens alleen verkregen kan worden als een meerderheid van de trusted third parties daarvoor toestemming geeft.

Welke variant er ook gekozen wordt, de eis is dat geen van de partijen eigenhandig persoonlijke gegevens uit het systeem kan halen. Daar is altijd medewerking van een andere partij voor nodig (in het geval van self-enforcement door het feit dat de gebruiker de regels overtreden heeft).

Integriteit van de gegevens

Een andere belangrijke kwestie rond rekeningrijden is het belang van de integriteit van gegevens (zoals de positie zoals die bepaald wordt door het GPS systeem, maar ook het hanteren van de juiste tarieven) voor het bepalen van de verschuldigde heffing. Ook de fysieke koppeling tussen OBU en voertuig is van belang.

Locatiegegevens, en gegevens over snelheid, tijd en datum, zijn door de OBU maar moeilijk te controleren. Het is over het algemeen makkelijk om de OBU te doen voorkomen dat de auto stilstaat, of heel ergens anders is dan in werkelijkheid.

Dat betekent dat de door de OBU bepaalde heffing niet klopt. Aan de ene kant leidt dit tot mogelijkheden voor fraude (door de informatie die aan de OBU doorgegeven wordt te veranderen zodat de heffing lager wordt). Aan de andere kant kan dit leiden tot allerlei beroepsprocedures als automobilisten klagen over veel te hoge heffingen voor autoritten die niet, of niet op die manier, gemaakt zijn. Zulke heffingen kunnen ontstaan door storingen aan de apparatuur, of tijdelijk disfunctioneren van bijvoorbeeld het GPS systeem. Om dergelijk bezwaarschriften het hoofd te bieden zijn hoge garanties op de integriteit van de gegevens noodzakelijk, maar helaas lastig te bieden. Vooral omdat een kleine afwijking in de positie een groot gevolg voor de heffing kan hebben: rijd ik op de spitsstrook, of op de parallelweg?

Het is om deze redenen dat de Jonge [deJonge] pleit voor aangifte gebaseerde systemen. Hierbij is de automobilist zelf verantwoordelijk voor het doen van aangifte over de gereden kilometers (zeer vergelijkbaar met het systeem van ritten administratie ten behoeve van privé gebruik van de lease auto). De techniek (OBU, GPS, etc.) is in dit geval slechts een hulpmiddel voor het doen van aangifte, en correct functioneren hiervan volledig de verantwoordelijkheid van de automobilist. Hierop kan door middel van onverwachte controles langs de weg m.b.v. mobiele "flitspalen" gecontroleerd worden.

Het daadwerkelijk aangifte doen kan op verschillende manieren worden ingericht. Het meest voor de hand liggend is om de OBU dit automatisch, op gezette tijden, te laten doen. Een andere mogelijkheid is om de data van de OBU naar de PC te (laten) transporteren, daar door de gebruiker te laten controleren en te laten accorderen voordat het naar de Belastingdienst wordt gestuurd. De frequentie van aangifte heeft invloed op de privacy: bij dagelijkse aangifte is zichtbaar óf en hoeveel ik op een bepaalde dag gereden heb. De frequentie kan dus beter lager gekozen worden, zeg maandelijks of jaarlijks. Om de gewenste beïnvloeding van het rijgedrag door middel van rekeningrijden te waarborgen, is het wel van belang de gebruiker dagelijks te 'confronteren' met de kosten van zijn autogebruik op die dag. Dit kan, in plaats van frequent aangifte af te dwingen, ook door het weergeven van de kosten op een duidelijk zichtbaar display van de OBU.

Het aangifte model heeft ook een aantal economische voordelen. Door het systeem zo op te zetten wordt de kern van het, door de overheid te beheren en te controleren, systeem kleiner. De OBU valt volledig buiten de scope, bijvoorbeeld. Het systeem wordt dus simpeler. Bovendien is marktwerking veel eenvoudiger geworden. Beide aspecten zullen de kosten drukken.

Wel doemt hierbij de vraag op wat er gebeurt als kleine afwijkingen in de registratie, zoals die geconstateerd worden bij een controle, tot grote afwijkingen in de verschuldigde heffing leiden. Is dat dan toeval? Wie heeft er dan gelijk? En is zo'n kleine afwijking de automobilist aan te rekenen? De afwegingen zullen vergelijkbaar zijn met die welke spelen bij het bepalen van een snelheidsovertreding.

Conclusies

Privacy is een belangrijke overweging bij de keuze voor een goed systeem voor rekeningrijden. Met een goede architectuur, gebaseerd op revocable privacy technieken, is het mogelijk om zowel de privacy te beschermen als accountability te garanderen.

Er is veel voor te zeggen om een systeem voor rekeningrijden aangifte gebaseerd te laten zijn. Zo wordt de verantwoordelijkheid voor correct functioneren van de apparatuur bij de gebruiker gelegd, en een groot aantal disputen ten principale voorkomen. Zo'n systeem is minder complex en daarmee goedkoper. Wel moet er duidelijkheid komen over de vraag wanneer er, binnen een dergelijk systeem, sprake is van moedwillig frauderen, of een te verwachten en te billijken afwijking van de norm.

Naast Anders Betalen voor Mobiliteit is ook Veilig Betalen voor Mobiliteit de keuze waar de politiek en de samenleving nu voor staat.

Literatuur

[Hoepman]
Jaap-Henk Hoepman "Revocable privacy", Privacy & Informatie, 11(3):114-118, Juni 2008.
[Jacobs]
Bart Jacobs "De Menselijke Maat in ICT", ISBN 978-90-9021619-5, Januari 2007. http://www.cs.ru.nl/B.Jacobs/MM.
[deJonge]
Wiebren de Jonge "Systemen voor fraudebestendige en privacyvriendelijke kilometerheffing", VU Informatica Rapport IR-487, 2001.
[MVW]
Ministerie van Verkeer en Waterstaat: "Implementatie Kilometerprijssysteem", 27 juni 2008.
[Pieper]
Roel Pieper, 'MobiMiles - Bewust op weg', 10 april 2001.
[Solove]
Daniel J. Solove: "I've Got Nothing to Hide" and Other Misunderstandings of Privacy, San Diego Law Review, 44: 745, 2007.
[WBP]
Wet bescherming persoonsgegevens (Wbp)

Jaap-Henk Hoepman is senior onderzoeker bij TNO en Universitair Hoofddocent aan de Radboud Universiteit Nijmegen, beide op het gebied van security en cryptografie.


Version $Id$