Het Servicehuis Parkeer- en Verblijfgegevens (SHPV) garandeert dat de kentekengegevens na acht weken worden gewist. Door dat niet te doen, overtreedt de organisatie de privacywetgeving. Parkeerders moeten ervan uit kunnen gaan dat de organisatie zich aan de eigen gestelde voorwaarden houdt.

“Onder de Wet Bescherming Persoonsgegevens mogen gegevens niet langer dan noodzakelijk worden bewaard”, vertelt Lysette Rutgers van het College Bescherming Persoonsgegevens. “Je kunt dan beargumenteren hoe lang ‘noodzakelijk’ is, maar in dit geval meldt het SHPV een termijn van acht weken.”

Niet gewist

Het privacybeleid van de SHPV stelt expliciet dat de kentekens na acht weken worden gewist om de privacy van parkeerders te garanderen. Maar deze gegevens blijken nog maanden, zo niet jaren te herleiden te zijn. De Belastingdienst vroeg alle gegevens over 2012 op, om eventuele fraude met leaseauto's op te sporen. De aangevraagde historische parkeerdata is vervolgens netjes ontvangen door de Belastingdienst.

Dit ondanks de belofte van SHPV dat de data wordt gewist. “Onder de privacywet houdt 'wissen' in dat gegevens zodanig zijn verwijderd dat je er nooit meer bij kunt”, vertelt jurist en privacydeskundige Gerrit-Jan Zwenne aan Webwereld. “’Gewist’ kan ook betekenen dat gegevens onomkeerbaar zijn geanonimiseerd.”

Hashen is geen verwijdering

De parkeerdienst heeft noch écht gewist, noch geanonimiseerd. Er lijkt in ieder geval van ‘wissen’ geen sprake te zijn, zegt Zwenne. De parkeergegevens uit 2012 waren door de SHPV te herleiden en zijn daarna doorgespeeld naar de Belastingdienst. “Bij voorbeelden van onderzoeken van het CBP, bijvoorbeeld de TomTom- of de DPI-zaak is er een toverformule aan te wijzen en daarbij wordt altijd het woord ‘onomkeerbaar’ gebruikt”, legt de jurist uit.

De kentekengegevens zijn persoonsgegevens en of die versleuteld worden bewaard of niet, doet niets af aan het feit dat ze tegen de regels in worden opgeslagen. “Hashen is niet hetzelfde als verwijderen”, zegt Rutgers van het CBP. Het SHPV was maandag niet bereikbaar voor commentaar.

Bezwaar tegen onterechte heffing

Er geldt geen bewaarplicht voor de parkeerinstantie, zoals wel het geval is bij telecombedrijven. Het kan wel voor het parkeerbedrijf wenselijk zijn de gegevens voor een bepaalde termijn te bewaren. “Ze stellen bijvoorbeeld dat je binnen acht weken een klacht moet indienen tegen een onterechte rekening”, licht privacy-expert Zwenne toe.

“Als je bezwaar wilt maken dat je niet geparkeerd hebt, is het voor het bedrijf handig dat ze de gegevens voor de periode die ze noemen hebben bewaard”, zegt de jurist. Bij de meeste gemeenten moet binnen zes weken bezwaar worden gemaakt tegen een onterechte parkeerheffing.

Het CBP vereist wel dat mensen door de parkeerdienst goed worden geïnformeerd over de bewaartermijn. “Het moet voor mensen duidelijk zijn welke gegevens met welk doel worden bewaard en hoe lang deze worden opgeslagen”, aldus Rutgers van het College. Het CBP doet geen uitspraken over al dan niet lopende onderzoeken en of er klachten zijn ontvangen over deze zaak.

De Belastingdienst is niet over de schreef gegaan met de bevraging. Ook als de data onrechtmatig is verkregen, blijven de data bruikbaar voor de fiscus. Lees ook: Fiscus buiten schot bij privacyschending op Computerworld.nl