Spanje creëert honeypot voor criminelen door bij toeristen vertrouwelijke gegevens op te vragen

Geplaatst op 28 september 2024 door Ellen Timmer

In Europa lijkt grote paniek uitgebroken, wat onder meer kan worden afgeleid uit het Duitse besluit om de buitengrenzen te controleren, waarmee het vrije verkeer binnen de EU wordt ondergraven.

Toeristen zijn een gevaar, de Spaanse overheid wil alles van ze weten

De Spanjaarden doen het op een nog ingrijpender manier: iedereen die daar vanaf 1 oktober a.s. in een hotel of op een camping overnacht of daar een auto huurt moet een enorm batterij aan gegevens afgeven. Het fenomeen werd op security.nl gemeld, onder verwijzing naar de ANVR. De Telegraaf schreef Ook Spanje voert reisbeperkingen in: toeristen moeten ’enorme waslijst’ gegevens aanleveren en citeert de vertegenwoordiger van brancheorganisatie ANVR, die zich grote zorgen.
In buitenlandse media wordt er eveneens over gesproken, bijvoorbeeld door Statewatch. Het Vlaamstalige medium HVBL schrijft dat de nieuwe regels het toerisme moeten ontmoedigen.

De regels

Toen ik zocht naar nadere informatie kwam ik uit bij een Spaanstalige pagina die volgens mijn browser op dat moment onveilig was. De pagina richt zich op ondernemingen die overnachtingsmogelijkheden of motorvoertuigenverhuur aanbieden, zij zijn verplicht gegevens van hun klanten te registreren. Op deze pagina wordt verwezen naar een wet (BOE-A-2015-3442) over de bescherming van de veiligheid van burgers en naar een uitvoeringsbesluit (BOE-A-2021-17461) dat de registratie- en informatieverplichtingen vastlegt van de overnachtingsaanbieders en motorvoertuigenverhuurders.

In het besluit [*] staat welke gegevens moeten worden doorgegeven aan de overheid. Dat is heel wat, hierna als voorbeeld wat volgens bijlage 1 de overnachtingsaanbieders moeten registreren en doorgeven:

De gegevens van de reiziger die door de onder A) genoemde aanbieders, professionele aanbieders van overnachtingen, worden gevraagd zijn als je het door een vertaalprogramma haalt:

3. Gegevens van reizigers

a) Voornaam
b) Eerste achternaam
c) Tweede achternaam
d) Geslacht
e) Identiteitsbewijsnummer
f) Nummer documentondersteuner (Número de soporte del documento, geen idee wat dat is)
g) Soort document (identiteitskaart, paspoort, TIE)
h) Nationaliteit
i) Geboortedatum
j) Gewone verblijfplaats
– volledig adres
– plaats
– land
k) Vast telefoonnummer.
l) Mobiele telefoon.
m) E-mailadres.
n) Aantal reizigers.
o) Relatie tussen de reizigers (indien een van hen minderjarig is)

4. Transactiegegevens

(a) Contractgegevens.
– Referentienummer
– Datum.
– handtekeningen

(b) Gegevens over de uitvoering van het contract
– datum en tijd van binnenkomst
– datum en tijd van vertrek

(c) Details van het eigendom.
– Volledig adres.
– Aantal kamers.
– Internetverbinding (ja/nee).

d) Betalingsgegevens.
– Type (contant, creditcard, betalingsplatform, overboeking…).
– Identificatie van het betaalmiddel: kaarttype en -nummer, IBAN-bankrekening, mobiele betaaloplossing, overige.
– Houder van het betaalmiddel
– Vervaldatum van de kaart.
– Datum van betaling.

 

Dezelfde informatie wordt onder B), niet-professonele overnachtingsaanbieders, gevraagd [**]. In bijlage 2 voor motorrijtuigenverhuurders is een gelijksoortige lijst te vinden, met ook rijbewijsgegevens. Er wordt naar persoonsgegevens van de hoofdbestuurder en de tweede bestuurder gevraagd.

De interessante vraag is wat de onderbouwing van deze regelgeving is.

De bescherming van de gegevens zal een levensgroot probleem zijn. Het risico is dat de gegevens zoals aanwezig bij de aanbieders en de overheid een goudmijn voor identiteitsfraude en allerlei andere soorten van criminaliteit wordt. Die informatie zal binnenkort wel op het darkweb verschijnen.

Dan maar niet naar Spanje

Het is maar beter om niet meer naar Spanje te gaan, lijkt me zo. Voor de mensen die al iets geboekt hebben is het te hopen dat ze kunnen annuleren. Misschien dat de vaste juridische columnist van security.nl hier een antwoord op gaat geven.

 

 

Noten:

[*] Ik kon niet zien of dit de laatste versie is.
[**] Er zijn enkele verschillen.

 

 

Aanvulling 25 oktober 2024
Lees ook Kopie van je paspoort geven voor taxirit met Uber: staat privacy vakantieganger onder druk? ’Zorgwekkende trend’ (de Telegraaf, betaalmuur), 21 oktober 2024, intro:

De privacy van vakantiegangers staat meer en meer onder druk. Landen en bedrijven vragen steeds meer gegevens onder het mom van veiligheid. Zowel de reiswereld als privacykenners waarschuwen voor datadiefstal en een ’verificatiesamenleving’.

Zie ook antwoorden op kamervragen, waarin de gegevensbeschermingsrisico’s niet aan bod komen, wat doet vermoeden dat Nederland de Spaanse maatregelen wel interessant vindt, zie onder meer deze vraag en antwoord:

4. Bent u van mening dat dit een gerechtvaardigd verschil is of bent u van mening dat er geen verschil zou moeten zijn tussen de registratie van toerisme of arbeidsmigranten binnen de EU?
Ik zie geen ongerechtvaardigd verschil. De nieuwe regelgeving die in Spanje wordt geïntroduceerd met het oog op het tegengaan terrorisme en andere misdrijven heeft enige overlap met de verplichting die we in Nederland kennen voor het bijhouden van een nachtregister. Deze verplichting geldt voor personen die een nachtverblijf aanbieden. Het gaat voornamelijk om campings, hotels, vakantiehuizen en vakantieparken. Hierin moeten naam, woonplaats, dag van aankomst en de dag van vertrek bijgehouden worden van de hoofdboeker. Het doel van deze administratieve verplichting is nader vastgesteld en hangt vooral samen met de openbare orde.

Het FD schreef over de Spaanse maatregelen (betaalmuur).

Onbekend's avatar

About Ellen Timmer

Weblog: https://ellentimmer.com/ ||| Microblog: https://mastodon.nl/@ellent ||| Motto: goede bedoelingen rechtvaardigen geen slechte regels
Dit bericht werd geplaatst in Europa, Fraude, witwasbestrijding, Wwft, Grondrechten, ICT, privacy, e-commerce en getagd met , , , , , , . Maak de permalink favoriet.

Plaats een reactie