image

Toezichthouder moet registratie reisgegevens NS onderzoeken

woensdag 17 augustus 2016, 12:44 door Redactie, 12 reacties
Laatst bijgewerkt: 17-08-2016, 17:16

De Autoriteit Persoonsgegevens moet meer onderzoek doen naar de registratie van reisgegevens door de NS, zo heeft de rechtbank Gelderland bepaald. De uitspraak volgde in een zaak van een man uit Arnhem die het er niet mee eens is dat reizen met een NS-voordeelurenabonnement alleen mogelijk is met een persoonlijke OV-chipkaart. Op die manier kan de NS nagaan welke reizen iemand allemaal maakt.

De man vindt dat een schending van zijn privacy. In de tijd van het papieren treinkaartje was het mogelijk om een voordeelurenabbonnement af te sluiten en dan per rit een apart kaartje te kopen. Op die manier waren bij NS wel persoonsgegevens bekend maar werden de reisbewegingen niet geregistreerd. De man is van mening dat deze oude situatie ook nu nog voor de NS te realiseren is. Door dit niet te doen is sprake van schending van de privacy én loopt de anonieme reiziger ook een voordeel mis ten opzichte van mensen die wel een persoonlijke OV-chipkaart hebben. Dit laatste vindt hij discriminatie.

De man had de Autoriteit Persoonsgegevens al eerder gevraagd te onderzoeken of de NS de Wet bescherming persoonsgegevens (Wbp) heeft geschonden en zo ja, om hier handhavend tegen op te treden. De toezichthouder gaf echter aan geen aanleiding te zien om handhavend op te treden. Daarop stapte de man naar de rechter. De toezichthouder verklaarde aan de rechter dat het een verkennend onderzoek heeft uitgevoerd en vindt dat de Wbp een grondslag geeft voor de verwerking van de reisgegevens door de NS. Namelijk omdat de NS een overeenkomst aangaat met een reiziger en dat nu eenmaal niet kan zonder dat persoonsgegevens bekend zijn.

De rechtbank is van mening dat de Autoriteit Persoonsgegevens dit onderzoek onvoldoende heeft uitgevoerd. De Autoriteit Persoonsgegevens had onder meer onderzoek moeten doen naar andere, minder ingrijpende, mogelijkheden de reisgegevens te registreren. Dat betekent niet dat het nu mogelijk is om een voordeelabonnement af te sluiten in combinatie met een anonieme OV-chipkaart. De rechtbank heeft de man alleen in het gelijk gesteld als het gaat om het onderzoek dat de Autoriteit Persoonsgegevens moet doen.

Update

Michiel Jonker, de man die de rechtszaak had aangespannen, zegt blij te zijn dat de rechtbank duidelijk heeft gemaakt dat zijn verzoek om onderzoek en handhaving serieus moet worden genomen door de Autoriteit Persoonsgegevens, en niet zomaar van tafel mag worden geveegd. "Ik hoop dat dit bij de AP tot een nieuwe houding zal leiden, waarbij de AP zijn in naam onafhankelijke positie ook echt gaat waarmaken en zijn werk gaat doen."

Gevraagd of hij overweegt om in hoger beroep te gaan, zegt Jonker: “Ik heb op zich een goed gevoel bij de uitspraak, maar wil hem nog wel nader bestuderen, voordat ik daarover een beslissing neem. Het feit dat de rechtbank nog niet meteen geoordeeld heeft dat er gehandhaafd moet worden, maar dat er eerst nog meer onderzoek moet plaatsvinden, brengt een vertraging teweeg, waardoor ik als abonnementhouder door NS voorlopig nog gediscrimineerd kan worden. In ieder geval vind ik het van groot belang dat het onderzoek van de AP grondig, transparant en inzichtelijk zal zijn. Gezien de eerdere houding van de AP is dat geen vanzelfsprekendheid. Dus dat ga ik nauwlettend volgen."

Reacties (12)
17-08-2016, 13:13 door Anoniem
ja, leuk truukje van de rechtbank... de kosten nodeloos hoog op laten lopen en tijd rekken, uitspraken doen waar het net liijkt of je winst boekt en dan toch niets zeggen war je wat aan hebt. en dan gaat die man vanzelf ophouden.
17-08-2016, 13:24 door CSO. - Bijgewerkt: 17-08-2016, 13:25
Mooizo, een terecht bezwaar en een terechte uitspraak. Voor kinderen geldt hetzelfde probleem. Ik weiger zo'n gepersonaliseerde kaart te kopen om de kinderkorting te krijgen, maar betaal dan wel de hoofdprijs. Volstrekt idioot, die chipkaart heeft alleen maar nadelen voor de klant gehad. Los van de grove privacyrisico's ook nog kans op vergeten uit te checken en overstapgedoe naar andere vervoerders. Ben blij dat ik bijna nooit met het OV hoef. :*)
17-08-2016, 13:27 door Anoniem
Dat betekent niet dat het nu mogelijk is om een voordeelabonnement af te sluiten in combinatie met een anonieme OV-chipkaart. De rechtbank heeft de man alleen in het gelijk gesteld als het gaat om het onderzoek dat de Autoriteit Persoonsgegevens moet doen.

Natuurlijk. De zaak was tegen de AP. Pas na het onderzoek kan de AP aangeven of die combinatie mogelijk is en dus verplicht is.

Peter
17-08-2016, 14:13 door Anoniem
Het is toch te zot voor woorden dat een rechtbank dé Autoriteit Persoonsgegevens op de vingers moet gaan tikken omdat deze onvoldoende hebben gekeken of er andere mogelijkheden waren waarop de NS gegevens kon verwerken zonder de privacy te schenden. Het proportionaliteit en subsidiariteit (art. WBP) beginsel is dan blijkbaar totaal niet of onvoldoende beoordeeld door de AP waardoor de belangen van de betrokkenen onvoldoende zijn geborgd. Zegt wel iets over hun beperkte kennis van de wet die ze zouden moeten toetsen of over hun verhouding met de NS. Waar heeft de AP dan nog meer de toets niet goed uitgevoerd?
17-08-2016, 15:00 door CSO.
Door Anoniem: Het is toch te zot voor woorden dat een rechtbank dé Autoriteit Persoonsgegevens op de vingers moet gaan tikken omdat deze onvoldoende hebben gekeken of er andere mogelijkheden waren waarop de NS gegevens kon verwerken zonder de privacy te schenden. Het proportionaliteit en subsidiariteit (art. WBP) beginsel is dan blijkbaar totaal niet of onvoldoende beoordeeld door de AP waardoor de belangen van de betrokkenen onvoldoende zijn geborgd. Zegt wel iets over hun beperkte kennis van de wet die ze zouden moeten toetsen of over hun verhouding met de NS. Waar heeft de AP dan nog meer de toets niet goed uitgevoerd?

Ja, hopelijk zorgt het er voor dat het AP zich kritischer op gaat stellen en de NS dwingt tot betere privacybescherming. Maar in de eerste plaats heeft de NS dit systeem natuurlijk gecreëerd ten behoeve van de eigen doelstellingen en niet die van de reizigers.
17-08-2016, 17:44 door karma4 - Bijgewerkt: 17-08-2016, 17:45
Door CSO.:
Ja, hopelijk zorgt het er voor dat het AP zich kritischer op gaat stellen ...
Ja eens, net zoals Het gebrek aan behoorlijke controles.
17-08-2016, 23:16 door Anoniem
Door Anoniem: Het is toch te zot voor woorden dat een rechtbank dé Autoriteit Persoonsgegevens op de vingers moet gaan tikken omdat deze onvoldoende hebben gekeken of er andere mogelijkheden waren waarop de NS gegevens kon verwerken zonder de privacy te schenden. Het proportionaliteit en subsidiariteit (art. WBP) beginsel is dan blijkbaar totaal niet of onvoldoende beoordeeld door de AP waardoor de belangen van de betrokkenen onvoldoende zijn geborgd. Zegt wel iets over hun beperkte kennis van de wet die ze zouden moeten toetsen of over hun verhouding met de NS. Waar heeft de AP dan nog meer de toets niet goed uitgevoerd?
-
dat komt omdat de overheid er niks over zegt/op zegt. want de AP werkt van uit de overheid. en als die het goed vinden, vind de AP het ook goed;
18-08-2016, 11:37 door Anoniem
Door Anoniem:
Door Anoniem: Het is toch te zot voor woorden dat een rechtbank dé Autoriteit Persoonsgegevens op de vingers moet gaan tikken omdat deze onvoldoende hebben gekeken of er andere mogelijkheden waren waarop de NS gegevens kon verwerken zonder de privacy te schenden. Het proportionaliteit en subsidiariteit (art. WBP) beginsel is dan blijkbaar totaal niet of onvoldoende beoordeeld door de AP waardoor de belangen van de betrokkenen onvoldoende zijn geborgd. Zegt wel iets over hun beperkte kennis van de wet die ze zouden moeten toetsen of over hun verhouding met de NS. Waar heeft de AP dan nog meer de toets niet goed uitgevoerd?
-
dat komt omdat de overheid er niks over zegt/op zegt. want de AP werkt van uit de overheid. en als die het goed vinden, vind de AP het ook goed;

Ja, maar de AP is toch (zogenaamd) "onafhankelijk"...? Nou ja, je kent dat wel, "onafhankelijke adviseurs" die betaald worden om te adviseren wat de baas wil horen. Kennelijk gaat het ook zo bij "onafhankelijke toezichthouders". NS is van de overheid, dus dan mag de AP niet te kritisch zijn.
18-08-2016, 23:16 door Anoniem
Door CSO.: Mooizo, een terecht bezwaar en een terechte uitspraak. Voor kinderen geldt hetzelfde probleem. Ik weiger zo'n gepersonaliseerde kaart te kopen om de kinderkorting te krijgen, maar betaal dan wel de hoofdprijs. Volstrekt idioot, die chipkaart heeft alleen maar nadelen voor de klant gehad. Los van de grove privacyrisico's ook nog kans op vergeten uit te checken en overstapgedoe naar andere vervoerders. Ben blij dat ik bijna nooit met het OV hoef. :*)

En als een van die kinderen vergeet uit te checken mag ik de NS bellen en ongeveer al je gegevens ophoesten inclusief je geboorte datum om het geld terug gestort te krijgen. Ter controle. Ik heb gevraagd waartegen ze die geboortedatum dan gaan controleren aangezien h om een anonieme kaart ging, maar goed. En vervolgens krijg ik op mijn werk een mail van de NS of ik tevreden was over de afhandeling. WTF, hoe komen jullie aan mijn werk email NS? (Oja, mijn bas heeft een contract met de NS en heeft gemakshalve alle gegevens van alle werknemers inclusief huisadres en geboortedatum doorgegeven. Protesteren helpt niet.).

Wat een bende. Ik was van plan een verzoek in te dienen op grond van de WBP om ze maar eens inzage te laten geven over wat ze allemaal over mij vastleggen, maar ik was nog te lui om uit te zoeken hoe ik dat moet doen, vermoed dat ze dan toch niet alles geven en vervolgens weet ik toch niet bij wie ik mijn ongenoegen moet uiten over de gang van zaken. Nouja, in ieder geval blijven zodoende de gegevens van mijn kinderen nog uit hun klauwen, al hebben ze misschien een wat raar beeld van mijn reisgedrag nu.
19-08-2016, 09:16 door Anoniem
Door Anoniem: ja, leuk truukje van de rechtbank... de kosten nodeloos hoog op laten lopen en tijd rekken, uitspraken doen waar het net liijkt of je winst boekt en dan toch niets zeggen war je wat aan hebt. en dan gaat die man vanzelf ophouden.

Ik denk niet dat het een trucje is van de rechtbank, maar ben het met je eens dat het probleem hiermee nog niet is opgelost. Het is slechts een eerste stap. Ook denk ik dat ik in de rechtszaak al genoeg informatie heb ingebracht om te kunnen concluderen dat de manier waarop NS abonnementhouders discrimineert wanneer ze hun privacy willen houden, in strijd is met de wet. Dus: meer onderzoek is op zich prima, maar in deze specifieke zaak niet nodig om te kunnen concluderen dat AP aan NS moet opdragen om te stoppen met privacydiscriminatie en onnodige onnodige inbreuken op de privacy van reizigers.

Misschien wilde de rechtbank de AP de kans geven om dat alsnog zelf te "ontdekken".

Maar ondertussen blijf ik 66% extra betalen (bovenop het voordeelurentarief), elke keer dat ik als abonnementhouder in de voordeeluren reis maar toch de volle mep moet betalen omdat ik kies voor behoud van mijn privacy. Ik zou daarom graag gezien hebben dat de rechtbank ook had bepaald dat, hangende het onderzoek van de AP, ik tijdens de voordeeluren "samenreiskorting" op mijn anonieme OV-chipkaart mag laden. Dat is net als "voordeelurenkorting" 40% van de volle prijs, dus ik zou als abonnementhouder precies de juiste prijs voor mijn reizen betalen. In najaar 2014 heeft NS me hiervoor twee keer beboet, en na een procedure bij de OV-geschillencommissie me die boetes (en bijkomende "incassokosten") weer kwijtgescholden op voorwaarde dat ik beloofde het niet nog een keer te doen. Dus sindsdien betaal ik te veel, nu al meer dan anderhalf jaar lang.

De rechtbank had aan NS kunnen opleggen om de "samenreisconstructie" hangende het onderzoek toe te staan, omdat NS zich zelf, uit eigen beweging, als partij in de rechtszaak had gevoegd, en daarmee de rechtbank op dit punt bevoegd had gemaakt. De rechtbank had NS ook als belanghebbende aangemerkt, maar wellicht was dat alleen ter bescherming van het belang van NS, niet ter bescherming van mijn belang als reiziger...

Als de AP dan toch extra onderzoek moet gaan doen, is het in ieder geval van belang dat dat extra onderzoek heel transparant en inzichtelijk wordt voor mij en andere reizigers die belang hebben bij behoud van hun privacy. Dus geen onderzoek waarvan alleen de "globale conclusies" openbaar worden. Het moet straks inzichtelijk zijn op welke gronden de AP nu werkelijk tot zijn conclusies komt.

M.vr.gr. Michiel Jonker
22-08-2016, 10:34 door Anoniem
Ik geloof gerust dat men binnen de NS heel druk is met het goed beveiligen van de data die ze opslaan, en dat hun FG of privacyfunctionaris zich daar erg voor inzet, maar ik zou wel wat meer aandacht willen zien voor de centrale vraag `mogen (moeten: ja natuurlijk, bedrijfsbelang blablabla) we dit opslaan`.

Mijn zorg is niet in eerste instantie of men veilig met mijn gegevens omgaat, maar dàt men mijn gegevens opslaat. Die zijn namelijk van mij en daar hebben ze niks mee te maken. Dat is de essentie van privacy.
23-08-2016, 08:42 door Anoniem
Door Anoniem: Ik geloof gerust dat men binnen de NS heel druk is met het goed beveiligen van de data die ze opslaan, en dat hun FG of privacyfunctionaris zich daar erg voor inzet, maar ik zou wel wat meer aandacht willen zien voor de centrale vraag `mogen (moeten: ja natuurlijk, bedrijfsbelang blablabla) we dit opslaan`.

Mijn zorg is niet in eerste instantie of men veilig met mijn gegevens omgaat, maar dàt men mijn gegevens opslaat. Die zijn namelijk van mij en daar hebben ze niks mee te maken. Dat is de essentie van privacy.

Net als jij geloof ik ook dat NS vast heel druk is met de "veilige" opslag van de verzamelde persoonsgegevens, maar feit is, dat het de afgelopen jaren uitbundig is bewezen dat massale opslag van elektronische data NOOIT veilig is, zowel door organisatie-interne (menselijke fouten, complexiteit van de systemen) als door organisatie-externe (hacken, spionage, profilen) oorzaken.

Juist daarom is het zo belangrijk, zoals jij terecht stelt, dat persoonsgegevens NIET worden opgeslagen als daar geen echte noodzaak voor is. Bedrijfsbelang is geen echte noodzaak. Als de wet verbiedt dat bepaalde gegevens voor commerciële doelen worden opgeslagen, is er voor alle bedrijven een "level playing field" en hebben ze dus geen last van concurrentie-nadeel. De essentie van privacy is inderdaad dat er rond iedere persoon een privé-domein is waar buitenstaanders niet in mogen kijken.

Het grootste gevaar dat al die privacy-schendingen op dit moment met zich meebrengen, ligt niet in de risico's die elke aparte schending met zich meebrengt, maar in:
1. De cumulatie en de-anonimisering van informatie via profilering;
2. Het verloren gaan van het idee dat privacy überhaupt een grondrecht is dat het waard is om verdedigd te worden (défaitisme) - dat kom ik overal tegen. Men zegt dan: "Mooi dat je opkomt voor privacy, maar dat is een achterhoedegevecht. We zijn onze privacy toch al kwijt." De mensen die dit nu zeggen, zijn vaak dezelfden die voorafgaand aan de Snowden-onthullingen (2013) beweerden dat je paranoïde (een "aluhoedje") was als je dacht dat je privacy geschaad werd.

Deze mensen menen zich steeds te moeten conformeren aan wat gangbaar is. Toen het gangbaar was om aan te nemen dat onze privacy goed gewaarborgd was, ook op internet, deden ze dat. Nu het gangbaar is om aan te nemen dat onze privacy reddeloos verloren is, doen ze dat ook. Alles om maar bij de hoofdstroom te blijven horen. Het is geen geheim dat het grootste deel van de mensen zich "volgzaam" opstelt en ervoor kiest om niet zelfstandig na te denken. Veel mensen hebben het ook te druk met hun dagelijkse leven/overleving om er nog eens zorgen over ontwikkelingen op langere termijn bij te kunnen hebben. Daar maken de overheden en bedrijven die onze privacy aantasten, maar al te graag misbruik van.

Het enige goede antwoord daarop is: bewustwording. Dat is dus een nevendoel van deze rechtszaak. Ik ken enkele mensen die zeggen dat ze door deze zaak zijn wakker geschud op het gebied van privacy en big data. Elke beweging begint klein. Privacy zal in de toekomst waarschijnlijk een heel grote issue worden, als de risico's van het verlies van privacy worden aangetoond met concrete voorbeelden, inclusief voorbeelden van hoe er door belanghebbende overheden en bedrijven wordt getracht die risico's voor ons te verborgen te houden.

Willen we in de toekomst vrije mensen zijn en ons ook zo voelen, of willen we ons laten reduceren tot radertjes in een systeem (dan wel: beestjes gevangen in kooitjes binnen in radertjes in een systeem)? Willen we in de toekomst eerlijk tegen elkaar kunnen zijn, of willen we liever een situatie waarin we ons gedwongen voelen op elk moment tegenover elkaar politiek-correct toneel te spelen, omdat al onze privé-gedragingen geregistreerd worden en consequenties voor onze maatschappelijke en financiële positie kunnen hebben - zoals nu al in bepaalde (semi-)totalitair geregeerde landen?

M.vr.gr. Michiel Jonker
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.