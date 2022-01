Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.

Juridische vraag: Het (private) leasebedrijf waar ik mijn auto heb geleased registreert alle ritgegevens via de ingebouwde GPS. Dus starttijd en eindtijd, maar ook de bijbehorende locaties. Men bewaart dit (zo kan ik zien in het account) gedurende de hele looptijd van het contract. Mag dat wel van de AVG?

Antwoord: Het verzamelen en bewaren van zulke gegevens valt natuurlijk onder de AVG. Die stelt als belangrijke eis onder meer dat je aan dataminimalisatie moet doen: niet meer bewaren dan nodig voor het beoogde doel. Daarbij is 'nodig' echt een dringende noodzaak, geen "wellicht was dit handig" of "misschien komt het eens van pas".

Het doel is volgens het leasebedrijf het verzorgen van facturatie en het kunnen opsporen van de auto bij bijvoorbeeld diefstal. Dat lijken me allebei op zich legitieme doelen. De vraag is dan dus: is het echt noodzakelijk dat je die gegevens bewaart voor deze doelen?

Ik kan me voorstellen dat je voor een factuur het gereden aantal kilometers nodig hebt van de afgelopen periode, en dat je bij een melding van diefstal wilt weten waar de auto het laatst zichtbaar was. Maar dan hoef je niet gedurende vele jaren al die gegevens te bewaren.

Ik zou zeggen dat je prima na elke rit datum, misschien tijdstip en aantal kilometers kunt registreren, of na elke dag het dan gereden totaal, zodat je aan het eind van de maand een gespecificeerde rekening kunt opstellen. En voor antidiefstal lijkt me de laatste locatie genoeg, dus oude locaties kunnen weg zodra er een nieuwe is geregistreerd.

Ik vermoed dat dit bedrijf zo werkt omdat ze begonnen zijn met zakelijke lease. Een werkgever heeft eerder belang bij weten van start- en eindlocatie per rit, en natuurlijk datum en tijd. Al is het maar om te bepalen of er wel zakelijk werd gereden. En vanwege fiscale regels is het voor zo'n werkgever wellicht eerder nodig om daar meerdere jaren terug te gaan met brongegevens.

Dus daar bouwt zo'n bedrijf dan een systeem voor, daarna besluit men naar private lease te gaan en krijgt de consumentklant hetzelfde systeem. Heel logisch, alleen mag dat dus niet zomaar van de AVG. Als je software voor een nieuwe doelgroep inzet, zul je opnieuw moeten ijken wat je dán nodig hebt.

Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.