De mogelijkheid van Q-Park om contactloos op kenteken te kunnen parkeren, kan worden gebruikt om mensen te stalken. Dat ontdekte een Belgische hacker, die hetzelfde probleem ook bij andere parkeerbedrijven en -apps aantrof.

Het probleem is kinderlijk eenvoudig te gebruiken: als mensen een kenteken toevoegen aan hun Q-Park-app, hoeven ze niet te bewijzen dat het kenteken van hen is. Als andermans kenteken wordt toegevoegd, is dus te zien waar iemand parkeert.

In ruil daarvoor betaalt de stalker dus wel de rekening van zijn slachtoffer, waardoor het probleem vooral een risico is voor doelgerichte stalking. Zo kan bijvoorbeeld een boze ex achterhalen waar zijn onderduikende ex-partner ongeveer uithangt, als het kenteken bekend is.

Q-Park zegt in een reactie dat mensen het vanzelf merken als hun kenteken aan andermans account is gekoppeld. "Dan gaat de slagboom open en worden er geen kosten in rekening gebracht." Ook kan een kenteken maar aan één account tegelijk worden gekoppeld, om misbruik te voorkomen. "Als gebruikers dit merken, kunnen ze contact opnemen met de klantenservice."

Mensen kunnen echter ook denken dat het om een storing gaat als de slagboom zonder betaling opengaat, zegt de hacker, Inti De Ceukelaire. "Bovendien is het dan te laat, want je locatie is al doorgegeven."

Tolwegen

De Ceukelaire ontdekte het probleem ook met apps die voornamelijk buiten Nederland worden gebruikt, en waarmee mensen achteraf kunnen betalen voor parkeren. Dat kan door iemands kenteken in te voeren om een eerdere parkeertransactie te betalen.

Ook zou het probleem optreden als mensen met de EasyPark-app parkeren in een parkeergarage. Die app wordt ook in Nederland aangeboden. Het probleem speelt in Nederland vooral met parkeergarages, maar in een aantal gevallen ook met straatparkeren, zegt de hacker.

"120 vrijwilligers meldden zich aan om het probleem te testen, en in 29 procent van de gevallen wist ik hun locatie te achterhalen", zegt De Ceukelaire. "Het hadden er nog meer kunnen zijn, maar ik moest ergens stoppen."

Het probleem is niet beperkt tot parkeren: op tolwegen met kentekenplaatherkenning in Frankrijk, Zweden, Noorwegen en Ierland kunnen gebruikers ook worden gevolgd.

Voorkomen

Om het probleem te voorkomen, kunnen mensen op grond van de privacywet AVG bezwaar maken via een tool op de website van de Belgische hacker. Maar uiteindelijk zouden kentekens beter beschermd moeten worden, denkt De Ceukelaire. Mensen zouden dan moeten bevestigen dat een kenteken daadwerkelijk van hen is.

"Ik heb geen probleem met deze techniek, maar mensen hebben wel het recht om misbruik te voorkomen", zegt hij. Tot die tijd zou Q-Park bijvoorbeeld duidelijker kunnen laten zien wie de transactie betaalt. "Dan is het sneller duidelijk als dat niet klopt."