Politie doet aan 24/7 tracking van burgers
Stichting Privacy First heeft de bescherming van de privacy bij Burgernet beoordeeld en maakt zich grote zorgen. Privacy First roept de Tweede Kamer op om te onderzoeken of het systeem van 24/7 tracking van burgers door de Politie wel in overeenstemming is met de beginselen van onze rechtsstaat.
Burgernet is een samenwerkingsverband tussen politie, gemeenten en burgers met als doel meer en sneller criminele zaken op te lossen. Bij inbraak, beroving, of een vermist persoon krijgen app-gebruikers in de omgeving van het incident een bericht van de politie om relevante informatie terug te koppelen.
Deze manier van werken betekent dat Burgernet 24/7 de locatiegegevens van alle deelnemers registreert. Daar dient uiteraard zeer zorgvuldig mee om te worden gegaan vanuit de AVG en de grondrechten van burgers. Privacy First heeft bekeken of er binnen Burgernet wel sprake is van die benodigde zorgvuldigheid, maar constateert verschillende problemen.
Van wie is Burgernet eigenlijk?
De wet schrijft voor dat altijd helder moet zijn welke (rechts)persoon de persoonsgegevens verwerkt. Dat is bij Burgernet niet het geval. Burgernet zat o.a. in een BV, In-Pact BV, maar die is inmiddels, volgens de Kamer van Koophandel, opgeheven. Maar waarom staat deze niet-bestaande BV bij de Burgernet app in de Apple store dan nog altijd vermeld als provider?
De website https://www.burgernet.nl vermeldt uitsluitend dat het een samenwerking is van burgers, gemeenten en politie. Contactgegevens ontbreken en het privacy statement van Burgernet vermeldt hier evenmin iets over. Burgernet lijkt inmiddels van de Politie te zijn, getuige onder meer een recente brief [1] en antwoorden [2] van demissionair minister Grapperhaus op Kamervragen, maar dit wordt binnen de app of de website van Burgernet nergens vermeld.
Geen (afdoende) toestemming voor 24/7 tracking
Voor het registreren en verwerken van locatiegegevens moet toestemming worden gevraagd. De app van Burgernet vraagt inderdaad toestemming om berichten te kunnen sturen die relevant zijn voor de buurt waarin de deelnemer zich bevindt. Volgens de AVG is gegeven toestemming echter pas geldig als het gaat om een specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betreffende verwerking van persoonsgegevens wordt aanvaard. Privacy First meent dat eenieder die zich aanmeldt bij Burgernet moet worden verteld dat zijn/haar locatie door de Politie kan worden vastgesteld. Pas dan is er sprake van rechtsgeldige toestemming. Dat gebeurt nu echter nog niet.
Risico’s op ander gebruik van locatiegegevens
Het privacy statement van Burgernet vermeldt niet wat het doel is van de verwerking van persoonsgegevens, hoewel de AVG dat wel voorschrijft. Daarom is het niet duidelijk of Burgernet echt uitsluitend gegevens verzamelt en verwerkt ten behoeve van het versturen van alerteringen, of dat er meer mee gedaan wordt. De vraag rijst dan of de politie de locatiegegevens mogelijk ook voor andere doelen gebruikt. In dat verband valt op dat het privacy statement verwijst naar de Wet politiegegevens (Wpg). Dit doet vermoeden dat de persoonsgegevens mogelijk ook gebruikt worden voor andere politietaken. De politie kan in de verleiding komen om de locatiegegevens van de deelnemers van de Burgernet-app veel breder te gebruiken, zoals bijvoorbeeld bij voetbalrellen. Kan die goedbedoelende deelnemer aan Burgernet die daar toevallig in de buurt is, dan door gebruik van de app verdachte worden? En als dat zo is, volstaat dan een korte verwijzing naar de Wpg in het privacy statement? Privacy First meent van niet.
Niet voldaan aan het voorschrift van minimale gegevensverwerking
Burgernet geeft zelf aan dat er locatiegegevens verzameld worden met als doel om alleen relevante berichten te kunnen versturen. Het is onnavolgbaar waarom de app ook vraagt naar postcode en huisnummer; voor verzending van een alertering is iemands huidige verblijfplaats relevant, maar iemands privéadres in het geheel niet. Daarmee handelt Burgernet in strijd met het beginsel van dataminimalisatie. Daarnaast lijkt er binnen Burgernet geen Functionaris Gegevensbescherming te zijn, die hierop en op bovengenoemde zaken toezicht houdt.
Is het effect van dit alles behoorlijk beoordeeld?
De AVG schrijft ook voor dat bij gegevensverwerking waarbij nieuwe technologieën worden gebruikt, welke een hoog risico kunnen inhouden voor de rechten en vrijheden van natuurlijke personen, altijd een behoorlijke analyse moet worden verricht van de mogelijke effecten. Nu de Politie via de Burgernet-app grootschalig gevoelige persoonsgegevens verzamelt en verwerkt met 24/7 tracking van Burgernet-leden, is een behoorlijke risicoanalyse volgens Europees recht verplicht. Privacy First heeft niet kunnen terugvinden dat een dergelijke grondige risicoanalyse ten aanzien van deze app ooit heeft plaatsgevonden. Privacy First vermoedt dat, als dat wel was gedaan, de app er heel anders uit zou hebben gezien.
Oproep aan Tweede Kamer
Privacy First roept de Tweede Kamer op om zo snel mogelijk een onafhankelijk onderzoek in te laten stellen naar de vraag (van) wie Burgernet tegenwoordig is, welke gegevens verzameld worden en waarom. Hierbij moet worden onderzocht of er wel voldaan wordt aan de huidige wetgeving. Tot slot vraagt Privacy First zich af of de doelen van Burgernet binnen een rechtsstaat niet beter gerealiseerd kunnen worden door de persoonsgegevens weg te halen bij de Politie.