donatieknop english

"Op steeds meer scholen hangen beveiligingscamera's in bijvoorbeeld de kantine, bij de kapstokken of op het schoolplein. Dat blijkt uit een rondgang van het NOS Jeugdjournaal langs twintig basis- en middelbare scholen en betrokken instanties. Sommige scholen hebben zelfs meer dan veertig camera's op het terrein. Ze moeten zich houden aan privacyregels, maar worden niet actief gecontroleerd op de naleving daarvan, tenzij er een klacht is.
(...)
Privacyexperts maken zich soms zorgen over het gebrek aan controle, maar ook over de aanwezigheid van camera's an sich. Scholen moeten altijd een geldige reden hebben om een camera op te hangen. Beelden mogen alleen worden bekeken als daar aanleiding toe is en mogen sowieso niet langer dan vier weken worden bewaard. Ook moeten er bordjes hangen, waarop staat dat er cameratoezicht is.
(...)
Jurist Simone van Dijk van stichting Privacy First betwijfelt of scholen wel zulke zware veiligheidsproblemen hebben, om de aanwezigheid van camera's te rechtvaardigen. Ook vindt zij dat toezicht op scholieren primair bij het schoolpersoneel en de leraren ligt en dat cameratoezicht mogelijk averechts kan werken.

"Als er een incident is, komt dat vanzelf wel aan het licht, via gesprekken", zegt Van Dijk. "Door camera's op te hangen heb je kans dat leraren minder gaan opletten. Ook leerlingen kunnen denken: 'ik zeg er maar niets van, want het staat toch op camera'. Kinderen hebben recht op privacy", vervolgt zij. "Ze moeten de gelegenheid hebben fouten te maken die niet voor iedereen zichtbaar zijn.""


Bron: NOS en NOS Jeugdjournaal, 12 december 2019. Bekijk hieronder de hele reportage van het NOS Jeugdjournaal (tevens in kortere versie uitgezonden in meerdere NOS Journaals):

Gepubliceerd in Cameratoezicht

Rechtbank behandelt beroep van OV-reiziger inzake vier structurele privacy-inbreuken. Autoriteit Persoonsgegevens weigert deze inbreuken te onderzoeken of te handhaven.

Op 16 december 2019 zal de Rechtbank Gelderland in twee direct op elkaar volgende rechtszittingen de beroepen van Michiel Jonker behandelen tegen de afwijzing van twee handhavingsverzoeken door de Autoriteit Persoonsgegevens (AP). In juli 2018 verzocht Jonker in twee handhavingsverzoeken de AP om onderzoek en handhaving inzake:

  1. De weigering door vervoerbedrijf Connexxion van privacyvriendelijke, contante betaling voor eenmalige buskaartjes in de bus.
  2. Het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan Nederlandse Spoorwegen (NS) verstrekt.
  3. Het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken.
  4. Het in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.

De AP weigerde deze inbreuken op de privacy serieus te onderzoeken, omdat volgens de AP een "globaal (bureau)onderzoek" reeds zou hebben uitgewezen dat er geen sprake was van enige overtreding. Volgens de AP is de verwerking van persoonsgegevens in sommige gevallen niet aangetoond en zou daar dus geen sprake van zijn (2, 3, 4). Met betrekking tot de verkoop van internationale tickets van buitenlandse vervoerbedrijven door NS verklaarde de AP zichzelf eerst ten onrechte onbevoegd, maar beweert nu, nadat Jonker daartegen bezwaar maakte, dat Jonker op dit punt niet om handhaving zou hebben verzocht. Met betrekking tot de weigering van contante betaling in de bus (1) vindt de AP dat de inbreuk op de privacy acceptabel is. Ook wekt de AP, in navolging van Connexxion, de schijn dat er allerlei andere privacyvriendelijke betaalmogelijkheden voorhanden zijn, terwijl er in Jonkers woonplaats Arnhem slechts één plek is waar dat kan, maar dan wel tegen betaling van een extra toeslag. Jonker vindt dat er op die manier sprake is van privacy-discriminatie: het nadelig behandelen van mensen die met privacy willen blijven reizen.

Jonker: "Het gaat in deze zaken om drie dingen. Ten eerste dat mensen met behoud van privacy van het openbaar vervoer gebruik kunnen maken, niet alleen in een vergezochte theorie, maar ook gewoon in de dagelijkse praktijk. Het gaat er dan om dat er voldoende verkooppunten zijn waar je contant kunt betalen voor alle soorten vervoerbewijzen, en zonder dat je een extra toeslag hoeft te betalen ten opzichte van reizigers die er noodgedwongen in berusten dat hun persoonsgegevens zonder hun instemming worden verwerkt. En dat vervoerbedrijven ook geen reizigers misleiden, of stiekem hun gegevens verzamelen.

Ten tweede gaat het erom dat vervoerbedrijven niet met willekeur persoonsgegevens mogen verzamelen, als ze maar met wat algemene kreten zwaaien, bijvoorbeeld "veiligheid" of "fraudepreventie", zonder duidelijk te maken om welk specifiek, concreet probleem het nu eigenlijk gaat.

Ten derde gaat het erom dat de AP als toezichthouder en handhaver niet zomaar mag weigeren om iets te onderzoeken. Nu trekt de AP uit haar eigen weigering om het te onderzoeken, de conclusie dat er dus niks aan de hand is. Dat is alsof een politie-agent na de melding van een inbraak weigert het betreffende huis binnen te stappen, maar in plaats daarvan zegt: ik ga daar niet naar binnen, dus ik zie geen inbraak, dus er is geen inbraak, dus ik hoef daar niet naar binnen te gaan. Daar is een heel simpel woord voor: wegkijken. Veel Nederlandse toezichthouders, waaronder de AP, hebben nogal de neiging weg te kijken en op die manier aan struisvogelpolitiek te doen. Maar we betalen die toezichthouders wel van ons belastinggeld. Dat doen we niet om ze te laten wegkijken."

Gevraagd of hij bijvoorbeeld "veiligheid" dan geen serieus thema vindt, antwoordt Jonker: "Natuurlijk vind ik dat een serieus thema. Juist daarom verdient het een serieuze behandeling. Maar dat is iets heel anders dan het thema veiligheid misbruiken om precies te gaan bijhouden welke routes miljoenen onschuldige reizigers op welke momenten afleggen. Ik ben voor een serieuze analyse van concrete veiligheidsproblemen, gevolgd door maatwerk om die specifieke problemen ook echt tegen te gaan. Connexxion heeft niet aannemelijk gemaakt dat contante betaling de veiligheid op zelfs maar één buslijn in de regio serieus in gevaar zou brengen. Ik woon al meer dan twintig jaar in Arnhem. Ik ging met lijn 3 naar de dierentuin, op een mooie, zonnige ochtend. Nooit geweten dat dat onveilig was... Het moet proportioneel blijven. Maar proportionaliteit kan heel subjectief worden opgevat. Dan mag je als vervoerbedrijf alles van reizigers eisen. Dat is op dit moment de basishouding van de AP. Als vervoerbedrijven iets willen, vindt de AP het dus nodig, en wil daarom niet handhaven of serieus onderzoeken."

Gevraagd naar zijn verwachtingen over de rechtszaken, antwoordt Jonker: "Sinds de uitspraken van de Rechtbank Gelderland in twee andere beroepsprocedures, op 5 september van dit jaar, ben ik zeer sceptisch over de kwaliteit van de rechtspraak van deze instantie. Tegen die uitspraken ben ik in hoger beroep gegaan bij de Raad van State. Ik heb de rechtbank verzocht om met de behandeling van deze nieuwe zaken te wachten tot de Raad van State uitspraak heeft gedaan, om een zinloze herhaling van zetten te voorkomen. Ook zijn er inmiddels prejudiciële vragen gesteld aan het Hof van Justitie van de Europese Unie over reisgegevens van OV-gebruikers. Dat wil ik ook graag afwachten, om alle partijen tijd en geld te besparen. Maar de rechtbank heeft dat verzoek helaas meteen afgewezen."

De rechtszittingen vinden plaats op 16 december 2019 om 10:30 uur in de Rechtbank Gelderland, Walburgstraat 2-4 te Arnhem. Klik HIER voor het beroepschrift van Jonker in de zaak over de weigering van contante betaling in de bus door vervoerbedrijf Connexxion (pdf).

Jonker wordt in beide zaken gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Gepubliceerd in Mobiliteit

Privacyschending d.m.v. vingerscan lijkt op schimmel

Gastcolumn door Alfred Blokhuizen


Schimmel heeft als eigenschap dat het meer en meer wordt als je het niet bestrijdt. Het woekert voort alsof het een lieve lust is. Om schimmel te stoppen is een grote schoonmaak nodig met sterke middelen. Dat gaat zeker op voor het gebruik van vingerafdrukken!

Gemakkelijk

Je hoort steeds vaker dat bedrijven en instellingen vingerscanapparatuur gebruiken voor identificatie of urenregistratie. Men gebruikt dan termen als “gemakkelijk” en “secuur”. Uiteraard in het belang van de ondernemer of instelling. Dat is heel opmerkelijk, want het mag niet. Je komt het overal tegen, maar niemand slaat alarm. Ook de media niet, tot mijn verbazing. Het lijkt heel gewoon geworden, terwijl de wetgeving juist in 2018 enorm is aangescherpt.

Fluitje van een cent

Vingerafdrukken vallen onder biometrische gegevens. De wetgeving daarover is behoorlijk streng en straffen op misbruik behoorlijk hoog. En dat is heel logisch, want met biometrische gegevens kun je knap lelijke dingen doen. Zeker bij vingerafdrukken. Want die zijn buitengewoon gemakkelijk te vervalsen, een fluitje van een cent. Je zal maar slachtoffer worden van iemand die je afdruk kopieert. Dan zijn de rapen echt gaar.

Kerncentrale

De wetgeving is glashelder en de uitspraken van de rechter ook. Je mag geen biometrische gegevens afnemen, opslaan, delen en gebruiken. Slechts in zeer beperkte gevallen mag dat wel. Maar dan gaat het echt over zaken als bijvoorbeeld de beveiliging van de kerncentrale van Borssele. Dus niet voor het openen van de kassa, toegang bij een bedrijf of urenregistratie. Daar moet altijd worden gekozen voor een minder ingrijpend identificatiemiddel, zoals een pasje, pincode of tag. Wat is er eigenlijk mis met een pasje of tag?

Toestemming

Bedrijven - vooral de verkopers van de vingerscanapparatuur - schermen met het argument dat het wel mag met de toestemming van de werknemers van een bedrijf. Ook zeggen ze dat de vingerafdruk wordt versleuteld. Zo’n verkopend bedrijf neemt echter nooit de verantwoordelijkheid voor de financiële gevolgen als het misloopt bij de rechter. De Autoriteit Persoonsgegevens en staatssecretaris Van Ark (Sociale Zaken) zijn er duidelijk over. Als er sprake is van een of andere vorm van gezagsverhouding of afhankelijkheid wordt een vingerafdruk niet met 100% zekerheid vrijwillig afgegeven en dus mag het niet! Als bedrijf moet je het eigenlijk ook gewoon niet willen. Gemak is nooit een goed argument om de regelgeving te ontduiken of terzijde te schuiven. Het risico van misbruik is veel te groot.

Ontsporing bij de overheid

De ernstigste ontsporing van het gebruik van de vingerafdruk heeft plaatsgevonden bij de gemeente Nissewaard. Nota bene de overheid zelve, u weet wel: de medewetgever. Een zaak waarbij de FNV een handhavingsverzoek heeft ingediend (bestuursrechtelijke aangifte). Bijstandsgerechtigden, en alleen deze mensen en dus niet de ambtenaren, werden verplicht om hun vingerafdruk af te staan als ze zonder loon te werk werden gesteld bij een “sociale werkplaats”. In documenten van de gemeente Nissewaard zelf stonden dwingende teksten en toespelingen op financiële sancties als men de vingerafdruk niet afgaf. Tot op de dag van vandaag wil deze gemeente geen excuses maken aan de uitkeringsgerechtigden voor het gebruik van de vingerafdruk en wil men er niet over praten.

Rol brancheorganisaties

Ondernemers kloppen soms aan bij hun brancheorganisatie met de vraag of het afnemen van biometrische gegevens mag. Ondernemers in bijvoorbeeld de horeca zeggen dan dat hun brancheorganisatie Koninklijke Horeca Nederland heeft gezegd dat het mag. Desgevraagd is men daar na confrontatie met uitspraken van de Autoriteit Persoonsgegevens en rechters echter een stuk genuanceerder over. Maar eigenlijk moet zo’n brancheorganisatie glashelder zijn. Ze zouden de leden moeten adviseren: doe het niet, verzin geen trucjes, u kunt zeer hoge boetes tegemoetzien!

Privacyschending lijkt dus wel schimmel. Als het niet wordt bestreden overwoekert en bederft het alles. Dat vraagt om stevige bestrijding. Dat moet vanuit de maatschappij zelf, maar zeker ook vanuit de Autoriteit Persoonsgegevens. Nu is het net of privacyschending gewoon mag. Dat mag niet, het is strafbaar!

 

Meer informatie:

Gemeente Nissewaard https://www.binnenlandsbestuur.nl/sociaal/nieuws/gemeenten-behandelden-werklozen-mogelijk.10497725.lynkx

Handhavingsverzoek FNV https://alfredblokhuizen.nl/wp-content/uploads/2019/10/Handhavingsverzoek-AP-12-8-2019-anoniem.pdf

Vonnis Manfield https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2019:6005

Restaurantketen de Watertuin https://www.rijnmond.nl/nieuws/186633/UPDATE-Restaurantketen-gebruikt-onterecht-vingerscan

Vingerafdruk stelen, fluitje van een cent https://www.mediamatic.net/nl/page/16697/een-vingerafdruk-stelen-en-namaken-is-een-fluitje-van-een-cent

Gepubliceerd in Biometrie

Anonieme OV-chipkaart blijkt nooit anoniem te zijn geweest 

Op 20 augustus 2019 houdt de Rechtbank Gelderland zitting in twee rechtszaken die treinreiziger Michiel Jonker heeft aangespannen tegen de Autoriteit Persoonsgegevens (AP) inzake de anonieme OV‑chipkaart. Jonker deed in de periode 2014-2018 handhavingsverzoeken bij de AP vanwege schending van zijn privacy door Nederlandse Spoorwegen (NS), nadat NS in juli 2014 de papieren trein­kaartjes afschafte. De AP weigerde dit aanvankelijk te onderzoeken, waarop Jonker naar de rechter stapte. Na een uitspraak van de rechtbank in 2016 moest de AP alsnog onderzoek doen. Jonker vindt dat NS reizigers discrimineert als die kiezen voor behoud van hun privacy met een anonieme OV-chipkaart. Reizigers verliezen o.a. hun voordeelurenkorting en worden zo onder druk gezet hun privacy af te staan. Bovendien is inmiddels gebleken dat ook de anonieme kaart niet werkelijk anoniem is, waardoor er al sinds juli 2014 sprake is van een door NS afgedwongen verwerking van persoonsgegevens.

De rechtbank gaat twee door Jonker aangespannen procedures gevoegd behandelen. Jonker: "Ik heb daar om gevraagd en ben er blij mee, want het is eigenlijk één en dezelfde zaak. De AP heeft het in 2016 gesplitst in twee delen, waarschijnlijk in een poging om het tweede deel niet grondig te hoeven onderzoeken."

De eerste procedure gaat over prijsdiscriminatie van houders van anonieme OV-chipkaarten die tevens een voordeelurenabonnement hebben. NS weigert hun de voordeelurenkorting te geven die reizigers met gepersonaliseerde OV-chipkaarten wel krijgen. Jonker: "De AP zegt dat NS dat mag doen, omdat NS dat zo in de algemene voorwaarden heeft opgenomen. Volgens de AP is er dan sprake van een contract zoals bedoeld in de Algemene Verordening Gegevensbescherming (AVG). Dat bestrijd ik. NS kan wel van alles in haar algemene voorwaarden zetten, maar als het in strijd is met de wet, dan is dat onrechtmatig. De AVG is niet bedoeld als een vrijbrief voor willekeur van bedrijven die persoonsgegevens willen verzamelen."

De tweede procedure gaat over het feit dat zelfs de "anonieme" OV-chipkaart niet anoniem is. Op elke kaart zijn immers twee unieke nummers aangebracht, waardoor de kaart en de kaarthouder kunnen worden gevolgd. Nadat de AP in maart 2019 in een derde, eveneens door Jonker aangespannen zaak, nieuwe vragen over de OV-chipkaart stelde, bleek dat het saldo van de anonieme OV-chipkaart niet werkelijk "op de kaart geladen" wordt, zoals tot nu toe naar de treinreizigers was gecommuniceerd. In plaats daarvan wordt het saldo overgemaakt naar de back-office van het bedrijf Translink Systems (TLS), dat in opdracht van NS betalingen afhandelt. Daardoor worden elke keer dat iemand in- of uitcheckt met een anonieme kaart of saldo laadt, het tijdstip en de locatie van de anonieme kaart geregistreerd. In augustus 2019 hoorde Jonker dat dit al in 2010 door een onderzoeksgroep van wetenschappers onder de aandacht was gebracht. Desondanks deed de AP vervolgens negen jaar lang niks.

Jonker: "Ik werd pas kort geleden op dat onderzoek geattendeerd, en voel me verraden. Het gaat hier om ca. vijf miljoen houders van anonieme OV-chipkaarten, die door NS negen jaar lang voor de gek zijn gehouden, terwijl de AP wist dat dit gebeurde, maar wegkeek. Zelfs in het door de rechtbank in 2016 opgedragen onderzoek kwam dit niet boven water. Pas nadat ik in 2018 een derde zaak aanspande, en dit voorjaar een bezwaarprocedure, ging de AP eindelijk de juiste vragen stellen."

In een recent interview met NRC (https://www.nrc.nl/nieuws/2019/08/13/iemand-moet-grens-van-privacy-trekken-a3969883) benadrukte Jonker dat de AVG alleen bescherming biedt als die ook wordt gehandhaafd.

Jonker wordt in deze zaak gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

De openbare rechtszitting vindt plaats op dinsdag 20 augustus 2019 om 10:30u bij de Rechtbank Gelderland, Walburgstraat 2‑4 te Arnhem. Zaaknummers: ARN 18/546 en ARN 18/1487. Routebeschrijving en bezoekinformatie: https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Rechtbanken/Rechtbank-Gelderland.

Update 20 augustus 2019: klik HIER voor de pleitnota van Michiel Jonker (pdf).

Media: 
Ravage Webzine, 15 augustus 2019: Rechtszaak om ‘anonieme’ ov-chipkaart
Security.nl, 16 augustus 2019: Rechtszaak tegen toezichthouder over anonieme OV-chipkaart
Tweakers, 16 augustus 2019: Arnhemmer sleept AP voor rechter voor onderzoek anonieme ov-chipkaart
FOK.nl, 16 augustus 2019: Rechtszaak over onderzoek AP naar privacy "anonieme" OV-chipkaart
AVROTROS Radar, 16 augustus 2019: Rechtszaak tegen AP wegens prijsdiscriminatie 'anonieme' OV-chipkaart
Maatschappij Voor Beter OV, 19 augustus 2019: Privacywaakhond voor de rechter
NOS Radio 1 Journaal, 20 augustus 2019: Michiel klaagt NS aan om privacy bij anonieme ov-chipkaart. Beluister hieronder de interviews met Michiel Jonker en privacy-onderzoeker Jaap-Henk Hoepman (Radboud Universiteit Nijmegen) op Radio 1:



Trouw, 20 augustus 2019: Leven zonder data achter te laten? Dat betekent offers brengen
Omroep Gelderland, 20 augustus 2019: Arnhemmer stapt naar rechter om 'niet-anonieme ov-chipkaart'  Beluister hieronder het interview met Michiel Jonker bij Omroep Gelderland:


Gelderlander, 20 augustus 2019: Arnhemse privacy-voorvechter strijdt nu tegen de NS: ‘Reiziger wordt onder druk gezet’
Volkskrant, 20 augustus 2019: ‘Anonieme OV-chipkaart is niet anoniem’, betoogt Michiel Jonker
Gelderlander, 20 augustus 2019: Online poll: 'De OV-chipkaart schendt onze privacy, dus moeten we terug naar het papieren treinkaartje of -abonnement'
Trouw, 21 augustus 2019: Hoofdredactioneel commentaar: 'Een debat over privacy is nodig'
Gelderlander, 23 augustus 2019: Arnhemmer Michiel Jonker staat pal voor onze privacy
Security.nl, 26 augustus 2019: D66 wil opheldering van minister over anonieme OV-chipkaart

Kamervragen:
Vragen van D66 aan de Staatssecretaris van Infrastructuur en Waterstaat over het bericht "Anonieme OV-chipkaart is niet anoniem", 23 augustus 2019

Update 7 september 2019: op 5 september jl. heeft de Rechtbank Gelderland uitspraak gedaan in het beroep. Het beroep van de heer Jonker werd ongegrond verklaard. De rechtbank oordeelde dat het door NS opgevoerde doel van fraudepreventie de verwerking van de reisgegevens (tijdstippen en plaatsen van begin, overstappen en einde reizen) van alle treinreizigers rechtvaardigt. Ook acht de rechtbank een "noodzaak" aanwezig om tijdens elke reis in de trein te kunnen controleren of er een betalingsachterstand is met betrekking tot voordeelabonnementen. Daarom doet het er niet toe dat de "anonieme" OV-chipkaart gebleken is niet anoniem te zijn. De AP hoeft volgens de rechtbank desondanks niet te handhaven.

Jonker: "De rechtbank neemt het idee van NS dat NS op elk moment alle reisbewegingen van reizigers moet kunnen bespieden en registreren, kritiekloos over. De rechtbank heeft de zaken "marginaal" getoetst, dat wil in dit geval zeggen: zeer oppervlakkig. De rechtbank heeft daarbij de gedachtengang van NS als uitgangspunt genomen, net zoals de AP dat eerder al deed. De rechtbank zegt in essentie dat het in theorie niet valt uit te sluiten dat de gedachtengang van NS redelijk zou kunnen zijn, als een aantal ideeën die door NS in algemene termen op papier zijn gezet, kloppen. De rechtbank toetst niet of die ideeën in de praktijk ook echt kloppen met de feiten. Dus mag het van de rechtbank. Van de bescherming van de privacy van burgers blijft op deze manier heel erg weinig over. De rechtbank en de AP functioneren niet onafhankelijk, maar als instanties die gehoorzaam een goedkeurend stempel zetten op zaken die door 'the powers that be' in achterkamertjes op ondemocratische wijze zijn besloten. Ik moet helaas concluderen dat we op het gebied van privacy niet in een functionerende rechtsstaat leven. Dat voorspelt weinig goeds voor de toekomst."

Gevraagd of de Algemene Verordening Gegevensbescherming (AVG) dit toestaat, zegt Jonker: "De AVG kan op verschillende manieren worden geïnterpreteerd. Ik heb steeds betoogd dat de AVG moet worden geïnterpreteerd in overeenstemming met het doel van artikel 8 van het EVRM, en in overeenstemming met het Europeesrechtelijke vereiste van een hoog beschermingsniveau voor privacy. De rechtbank denkt daar kennelijk anders over. Op deze manier functioneert de AVG als een vergiet met tweehonderd gaatjes. Elke organisatie die persoonsgegevens wil verwerken, plukt ergens een algemene doelstelling vandaan, bijvoorbeeld een taak van algemeen belang, zoals 'afvalinzameling', of een niet nader gespecificeerd, mooi doel zoals 'veiligheid' of 'fraudepreventie'. En dan kan iedere organisatie een eigen invulling geven aan de manier waarop dat wordt nagestreefd, die dan met verwijzing naar dat vage doel wordt gerechtvaardigd. Dit is een vrijbrief voor bijna totale willekeur bij het verwerken van persoonsgegevens. De AVG wordt op deze manier gereduceerd tot een wassen neus."

De uitspraak van de rechtbank is gepubliceerd op rechtspraak.nl. Jonker is voornemens in hoger beroep te gaan bij de Raad van State.

Media:
ANP, 6 september 2019: Arnhemse container mag open met afvalpas (tevens gepubliceerd bij diverse dagbladen en andere media)
Gelderlander, 6 september 2019: Arnhemse privacyvoorvechter verliest rechtszaken: aan OV-chipkaart wordt niet getornd
Omroep Gelderland, 6 september 2019: Arnhemse privacystrijder verliest twee rechtszaken
Tweakers, 6 september 2019: Rechter: AP hoeft niet op te treden tegen NS en Arnhemse afvalpas
NRC.nl, 6 september 2019: Adresgebonden afvalpas Arnhem niet in strijd met privacywet
Security.nl, 7 september 2019: Privacy-activist verliest zaken over afvalpas en OV-chipkaart
Binnenlands Bestuur, 7 september 2019: Rechter staat adresgebonden afvalpas Arnhem toe

Update 30 oktober 2019: tegen de uitspraak van de rechtbank heeft Jonker op 9 oktober jl. pro forma hoger beroep ingesteld bij de Raad van State. Op 29 oktober jl. heeft hij de motivering van dit hoger beroep ingediend. Jonker: "Het is een zeer uitgebreid document geworden, waarin ik een overzicht geef van de hele zaak, met alle argumenten die de afgelopen vijf jaar zijn gewisseld. Je ziet hoe de doelen van NS in die periode zijn verschoven. Eerst zei NS geen informatie over persoonlijke reisbewegingen te willen, maar nu hebben ze een joint venture met TLS gesloten om die data juist te exploiteren. Ik ga ook in op de werkelijkheid achter de juridische werkelijkheid, en probeer tussen die twee een verbinding te leggen. Want als de juridische denkwijze losgezongen raakt van de werkelijkheid, dan is er geen effectieve rechtsbescherming meer - en al helemaal niet op het gebied van privacy. Ik hoop dat de Raad van State bereid zal zijn om de zaak te beoordelen met het oog op echte rechtsbescherming, zoals het Europees Verdrag voor de Rechten van de Mens (EVRM) dat vereist. Kunnen OV-gebruikers, als ze dat willen, straks weer reizen zonder dat al hun individuele reisbewegingen gevolgd en geregistreerd worden, en zonder dat zij gediscrimineerd worden als ze voor zichzelf willen houden waar ze allemaal naartoe gaan, en wanneer? Of is de AVG niet meer dan een rookgordijn om te verhullen dat onze privacy ons gewoon wordt afgepakt? We gaan het zien."  Klik HIER voor het volledige hoger-beroepschrift (pdf, 119 pp).

Gepubliceerd in Mobiliteit

Busreiziger Michiel Jonker heeft een rechtszaak aangespannen tegen de Autoriteit Persoonsgegevens (AP), vanwege de weigering van de AP om handhavend op te treden tegen vervoerbedrijf Breng/Connexxion. Connexxion weigert, net als veel andere Nederlandse vervoerbedrijven, sinds medio 2018 om in de bus betaling van kaartjes met contant geld te accepteren. Volgens Jonker is dit een schending van zijn privacy, omdat dit hem als busreiziger verplicht tot pinbetaling, waarbij zijn persoonsgegevens worden verwerkt. Jonker diende hierover in juli 2018 een handhavingsverzoek in bij de AP.

De AP weigerde vervolgens te handhaven. Volgens de Autoriteit is er sprake van een "overeenkomst" (contract) tussen Connexxion en Jonker, omdat Connexxion de weigering van contante betaling in de algemene voorwaarden heeft opgenomen. Volgens de AP leveren de door het vervoerbedrijf opgestelde algemene voorwaarden een wettelijke grondslag op voor het verwerken van persoonsgegevens (artikel 6 lid 1 onder b AVG). Tevens stelt de AP dat het doel van "sociale veiligheid" in het OV de verwerking van persoonsgegevens rechtvaardigt.

Jonker bestrijdt dit. Volgens hem is er geen sprake van een vrijwillig aangegaan contract, gezien zijn afhankelijkheid van het openbaar vervoer en het monopolie van Connexxion op de betreffende buslijnen. Ook stelt Jonker dat een vaag en algemeen geformuleerd doel zoals "sociale veiligheid" een generieke aantasting van de privacy op alle Nederlandse buslijnen niet rechtvaardigt. Volgens Jonker moet er gekeken worden naar de werkelijke veiligheidsproblematiek in specifieke regio's en op specifieke buslijnen.

Jonker: "Zoals het nu toegaat, kan een willekeurige groep bedrijven, al dan niet in samenwerking met bijvoorbeeld een ministerie of de leiding van de politie, eenzijdig zo'n beetje elke aantasting van privacy doordrijven, zonder serieus te onderbouwen waarom dat nodig zou zijn. En de AP vindt dat prima, want die is er kennelijk niet voor de burgers, maar voor degenen die de rechten van burgers onder de voet willen lopen. In mijn handhavingsverzoek en in mijn bezwaarschrift heb ik de zaak zorgvuldig beargumenteerd, maar de AP negeert het overgrote deel van mijn argumenten. Helaas kom je dan weer bij de rechter terecht."

Eerder heeft Jonker al verschillende rechtszaken op het gebied van privacy gewonnen, inzake de Arnhemse adresgebonden afvalpas, en inzake de OV-chipkaart van NS. Jonker: "Er lopen nu in totaal zes zaken van mij bij de AP, die telkens weigert zijn wettelijke handhavingstaak uit te voeren. Hoewel ik over juridische achtergrondkennis en een aantal andere vaardigheden beschik, valt dit voor een normaal mens uiteindelijk niet vol te houden. Met haar weigerachtigheid maakt de AP van privacy in de praktijk een lachertje. De vraag is nu wat de rechter vindt. Als die het ook wel best zou vinden, is het voorlopig einde verhaal voor de privacy, dan kunnen we die illusie overboord gooien. De AVG zou in dat geval weinig voorstellen. Maar of dat zo is, ga ik eerst wel grondig uitzoeken door het aan de Nederlandse rechter voor te leggen, maar desnoods ook aan de Europese rechter."

Jonker wordt in deze zaak gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Gepubliceerd in Mobiliteit

Op veel plaatsen in het publieke domein wordt WiFi aangeboden. Hoewel het vaak wordt gepresenteerd als service om gratis gebruik te kunnen maken van het internet, betaalt een consument alsnog: met zijn of haar data. Privacy First staat voor het recht op privacy in de zin van anonimiteit in de openbare ruimte. Daaronder valt ook het recht op anoniem winkelen. WiFi-tracking zonder de klant te informeren en zonder vooraf om diens toestemming te vragen vormt een flagrante schending van dit recht.

Sinds 2013 heeft Privacy First dit standpunt meerdere malen gecommuniceerd, bijvoorbeeld op Radio 1 en bij BNR Nieuwsradio.

In juni 2016 gaf de Autoriteit Persoonsgegevens in een brief aan gemeenten en detailhandel aan dat het gebruik van WiFi-tracking aan strenge eisen is onderworpen. Begin mei 2019 gaf de gemeente Tilburg aan te stoppen met openbare WiFi in de binnenstad en de spoorzone. "Omdat de gemeente niet voldoende controle en invloed heeft op hoe de leverancier van het WiFi-netwerk met een deel van deze gegevens (in de 'cloud') omgaat, is besloten om de openbare WiFi voor de binnenstad en spoorzone per direct te beëindigen", aldus de gemeente. Bron: https://www.tilburg.nl/actueel/nieuws/item/geen-openbare-wifi-meer-in-binnenstad-en-spoorzone/.

Privacy First juicht deze stap toe en roept andere gemeenten op dit voorbeeld te volgen. Daarnaast roept Privacy First bedrijven op het gebruik van WiFi-tracking te staken omdat het een inbreuk is op de privacy van mensen. Zeker als WiFi-tracking gebruikt wordt voor het volgen van mensen door een winkel met als doel om consumentengedrag te volgen. Vaak is een oplossing te bedenken waarbij privacy by design wordt toegepast. Privacy First verwijst naar de gemeente Nijmegen die met anonieme passantentellingen genomineerd werd voor de Nederlandse Privacy Awards 2019. Privacy First ziet vergelijkbare projecten van andere gemeenten ter bescherming van de privacy in het openbare domein graag tegemoet.

Gepubliceerd in Online Privacy

"Bij uitkeringsinstantie UWV zijn illegaal zo’n 117.000 cv’s gedownload. Dat gebeurde tussen 16 en 30 april vanuit de website werk.nl, meldt minister Wouter Koolmees (Sociale Zaken en Werkgelegenheid). De gedetailleerde informatie is mogelijk in criminele handen gekomen.

De curricula vitae zijn met een account van één werkgever gedownload. Op 30 april werd dit ontdekt en is het account geblokkeerd. De werkgever heeft verklaard niets van de actie te weten. Zijn account is vermoedelijk misbruikt, aldus de minister.

Het Nationaal Cyber Security Centrum (NCSC) is op de hoogte gesteld, net als de Autoriteit Persoonsgegevens. Ook is aangifte bij de politie gedaan. De betrokkenen zijn door het UWV op de hoogte gesteld. Zij hebben het advies gekregen alert te zijn op mogelijke spam en phishingberichten.

Gedetailleerde informatie

Een cv kan van grote waarde zijn voor criminelen, omdat er veel gedetailleerde informatie in te vinden is. Hiermee kan iemand doelwit worden van internetcriminaliteit. Het UWV onderzoekt de mogelijke gevolgen en bekijkt of er verdere herstel- of beveiligingsmaatregelen nodig zijn. De systemen worden extra in de gaten gehouden.
(...)

Schandalig

Vincent Böhre van de Stichting Privacy First noemt het ‘schandalig’ dat er zoveel cv’s illegaal zijn gedownload. ,,Het gaat immers om zeer persoonlijke informatie’, zegt Böhre. ,,Dit is een massaal lek dat doet vermoeden dat het UWV zijn beveiliging niet op orde heeft. Als dat inderdaad het geval is, zou de Autoriteit Persoonsgegevens het UWV een boete kunnen geven.’'

Böhre zegt dat de persoonlijke gegevens op cv’s misbruikt kunnen worden voor het plegen van identiteitsfraude, zeker als daarbij pasfoto’s en burgerservicenummers staan."

Bron: https://www.ad.nl/binnenland/circa-117-000-gelekte-cv-s-van-uwv-mogelijk-in-handen-criminelen~aec97d70/, 3 mei 2019 (via ANP). Tevens gepubliceerd bij o.a. Parool , Dagblad van het Noorden, BN/DeStem, Reformatorisch Dagblad, AVROTROS Opgelicht en AG Connect.

Gepubliceerd in Privacy First in de media

"Ondanks de invoering van de nieuwe Europese privacywet blijft een aantal bedrijven in Nederland zoals Dirk van den Broek prikklokken gebruiken die werken met vingerafdrukken, schrijft het FD. 'Een prikklok is alleen toegestaan in uitzonderingsgevallen', zegt Vincent Böhre, directeur van Privacy First. 'En dat is het in dit geval niet'.

Wanneer mag je als bedrijf wel en wanneer mag je geen gebruikmaken van biometrische technologie? 'Dat ligt aan de situatie. Onder de AVG moet er echt sprake zijn van een noodzaak voor beveiliging of authenticatie'. Denk hierbij aan een kerncentrale, gevangenis, Schiphol of de Rotterdamse haven. Volgens Böhre is er bij een gemiddelde supermarkt of autogarage geen noodzaak, tenzij er sprake is van grootschalige fraude of diefstal. Biometrische gegevens zijn immers zeer gevoelige persoonsgegevens: 'Ben je een vingerafdruk eenmaal kwijt, dan kun je daar ook andere dingen mee doen'. Het zou Böhre niet verbazen wanneer de Autoriteit Persoonsgegevens binnenkort de eerste klachten daarover krijgt.

Cameratoezicht op de werkvloer is ook niet toegestaan, net als het monitoren van het emailgedrag van werknemers. Tegen het tracken van chauffeurs is ook steeds meer weerstand."

Bron: https://www.bnr.nl/nieuws/juridisch/10357813/biometrische-prikklok-is-schending-privacy, 19 oktober 2018. Beluister hieronder het hele interview:

Gepubliceerd in Privacy First in de media

Handhavingsverzoek bij Autoriteit Persoonsgegevens over drie nieuwe privacyschendingen 

Naar aanleiding van drie nieuwe pogingen van Nederlandse Spoorwegen om de privacy van treinreizigers te schenden, heeft NS-klant Michiel Jonker deze week een handhavingsverzoek ingediend bij de Autoriteit Persoonsgegevens. Het betreft:

  • ŸHet weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan NS verstrekt;
  • ŸHet weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken;
  • ŸHet in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.

Sinds juli 2014 heeft Nederlandse Spoorwegen (NS) al eerder op diverse manieren de aanval ingezet op de privacy van Nederlandse treinreizigers. Het ging toen onder andere om:

  • Het discrimineren van houders van anonieme OV-chipkaarten in de voordeeluren;
  • ŸHet eisen van de-anonimisering van de anonieme OV-chipkaarten bij service-verlening door NS (bijvoorbeeld geld terug bij vertraging);
  • ŸHet aanbrengen van twee unieke pasnummers op elke anonieme OV-chipkaart, waardoor de anonimiteit van die kaarten wordt aangetast.

Als reiziger die zijn privacy wilde behouden, verzocht Jonker herhaaldelijk aan de Autoriteit Persoonsgegevens (AP) om deze overtredingen te onderzoeken en handhavingsmaatregelen te nemen. Jonker won daarover reeds verschillende rechtszaken tegen de AP, die aanvankelijk weigerde de meldingen zelfs maar te onderzoeken.

Bij de beoordeling van de nieuwe schendingen door NS zal de onlangs in werking getreden Algemene Verordening Gegevensbescherming (AVG) een belangrijke rol spelen. Een ander onderwerp dat centraal zal staan, is het recht op betaling met contant geld als wettig betaalmiddel dat tevens de privacy beschermt.

Jonker: “In al deze zaken gaat het om de vraag of gebruikers van het Nederlandse OV recht hebben op een reële, effectieve bescherming van hun privacy. Die vraag is actueler dan ooit, als je ziet hoe er met mensen wordt omgegaan in situaties waarin de privacy niet adequaat wordt beschermd. Dan valt niet alleen te denken aan China met zijn Sociale Kredietscore, of de Verenigde Staten met hun “No Fly”-lijsten, maar ook aan Europese landen waarin de afgelopen jaren wetten zijn aangenomen die het de overheid mogelijk maken reizigers te bespieden die niet worden verdacht van enig strafbaar of risicovol gedrag. Bijvoorbeeld Frankrijk met zijn permanente noodtoestand en Nederland met de Sleepwet.”

Jonker wordt ook in deze nieuwe zaak gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Media:
https://www.security.nl/posting/569517/Treinreiziger+wil+dat+privacytoezichthouder+optreedt+tegen+NS
https://tweakers.net/nieuws/140841/privacy-first-en-treinreiziger-willen-dat-ns-beleid-anonieme-chipkaarten-aanpast.html 
https://www.liberties.eu/en/news/ns-privacy-fight-passenger-privacy/15444


Update 23 juli 2018: Na indiening van het handhavingsverzoek bij de AP heeft Jonker nog een verdere schending van de privacy in het OV geconstateerd, eveneens met betrekking tot het ontmoedigen van contante betaling voor vervoerbewijzen. In bussen in verschillende Nederlandse regio's wordt sinds 1 juli 2018 contante betaling geweigerd, zodat reizigers in de bus worden gedwongen daar te pinnen of hun creditcard te gebruiken, en daarmee hun persoonsgegevens te laten verwerken. Dit blijkt te berusten op een landelijk gemaakte afspraak tussen vervoerbedrijven. Op 21 juli jl. heeft Jonker zijn handhavingsverzoek daarom aangevuld met een verzoek aan de AP om in dat kader ook deze privacyschending te onderzoeken en te beëindigen.

Jonker: "Markant is dat de branche-organisatie Koninklijk Nederlands Vervoer (KNV) muisstil is over deze landelijke afspraak, en dat de maatregel midden in de zomerperiode is ingevoerd. Ik kan me niet aan de indruk onttrekken dat er wordt geprobeerd de weigering van een wettig betaalmiddel geruisloos in te laten gaan. Ik heb de AP met een beroep op de WOB gevraagd mij te informeren over alle communicatie die hierover met of door de AP achter de schermen heeft plaatsgevonden."

Media: https://www.security.nl/posting/570899/AP+gevraagd+op+te+treden+tegen+weigeren+contant+geld+in+bus
https://nieuws.nl/algemeen/20180723/klacht-wegens-weigering-contante-betaling-bus/
https://radar.avrotros.nl/nieuws/detail/bezwaar-ingediend-tegen-verdwijnen-contant-geld-uit-bus/
https://www.omroepgelderland.nl/nieuws/2320576/Arnhemmer-wil-buskaartje-contant-betalen
https://www.transport-online.nl/site/93550/klacht-wegens-weigering-contante-betaling-in-bus/ 
http://www.welingelichtekringen.nl/anp/klacht-wegens-weigering-contante-betaling-bus
https://panorama.nl/nieuws/binnenland/klacht-wegens-weigering-contante-betaling-bus
http://www.dvhn.nl/binnenland/Klacht-wegens-weigering-contante-betaling-bus-23396995.html
http://www.lc.nl/binnenland/Klacht-wegens-weigering-contante-betaling-bus-23396571.html
https://www.nd.nl/nieuws/actueel/binnenland/klacht-wegens-weigering-contante-betaling-bus.3076549.lynkx
https://www.metronieuws.nl/in-het-nieuws/2018/07/bezwaar-ingediend-tegen-verdwijnen-contant-geld-bus 

Gepubliceerd in Mobiliteit

NS laat reiziger extra betalen voor privacy. Autoriteit Persoonsgegevens weigert te handhaven. Raad van State gaat zaak beoordelen.

Op maandag 4 september as. zal de Afdeling Bestuursrechtspraak van de Raad van State zich buigen over twee rechtsvragen: mag de Autoriteit Persoonsgegevens (AP) weigeren om te handhaven wanneer treinreizigers met een voordeelurenabonnement door NS worden gedwongen om extra te betalen als zij hun privacy willen behouden? Of mag de AP misschien zelfs weigeren om de zaak überhaupt te onderzoeken, ondanks haar toezichthoudende taak?

Drie jaar geleden schafte NS de papieren treinkaartjes af en verplichtte alle reizigers voortaan een OV-chipkaart te gebruiken. Het bleek dat reizigers die omwille van hun privacy voor een anonieme OV-chipkaart kozen, van NS geen voordeelurenkorting krijgen – ook niet als zij al vele jaren in het bezit zijn van een voordeelurenabonnement. Arnhemmer Michiel Jonker vroeg de AP om handhavend op te treden, wat de AP weigerde. Op 16 augustus 2016 gaf de Rechtbank Gelderland Jonker deels gelijk en gelaste dat de AP de zaak alsnog serieus moest onderzoeken, maar verplichtte de AP nog niet om handhavend op te treden. De AP en Jonker gingen beiden in hoger beroep bij de Raad van State.

Met ingang van 9 juli 2014 heeft NS Reizigers BV het voor abonnementhouders onmogelijk gemaakt om een papieren kaartje te kopen dat in de trein samen met hun abonnementskaart wordt gecontroleerd. Wie in de voordeeluren met korting wil reizen, mag dat van NS alleen als hij in- en uitcheckt met een persoonsgebonden OV-chipkaart waarop ook zijn identiteit staat vermeld. Het gevolg hiervan is dat reizigers alleen nog voordeelurenkorting krijgen als zij al hun individuele reisbewegingen via de persoonsgebonden OV-chipkaart door NS laten registreren. Als zij hun privacy wensen te behouden, verliezen zij hun voordeelurenkorting.

Jonker ervaart het feit dat een reiziger met privacy in de voordeeluren meer moet betalen dan een reiziger zonder privacy, als een vorm van discriminatie. “Ik wil net als vroeger het openbaar vervoer kunnen gebruiken zonder dat een bedrijf of de overheid precies kan bijhouden waar ik op welk moment geweest ben. Daarvoor is de anonieme OV-chipkaart ook bedoeld. Maar die wordt op deze manier ontmoedigd. Er wordt een ongerechtvaardigd onderscheid gemaakt tussen mensen met privacy en mensen zonder privacy. Mensen die hun privacy willen houden, moeten meer betalen. Dat is discriminatie. NS probeert me er zo toe te dwingen mijn privé-reisgegevens voor commerciële doelen ter beschikking te stellen. Nederlandse wetten en Europese verdragen verbieden dat.”

Ook heeft Jonker bezwaar tegen de wijze waarop NS zijn persoonsgegevens heeft overgedragen aan Trans Link Systems (TLS). “NS zegt dat ik een contract met TLS heb, maar dat is onzin. Ik heb nooit zo’n contract afgesloten, en dat heeft geen enkele treinreiziger. NS heeft zijn algemene voorwaarden veranderd. Maar NS kan niet rechtmatig in zijn algemene voorwaarden opnemen dat ik opeens een contract over mijn persoonsgegevens afgesloten zou hebben met een derde. Je ziet hier hoe de zogenaamde privatisering van een publieke voorziening, het OV, leidt tot onrechtmatige praktijken.”

-- De AP is in hoger beroep gegaan tegen de opdracht van de rechtbank om de zaak nu serieus te gaan onderzoeken.

-- Jonker is in hoger beroep gegaan tegen het ontbreken van een opdracht aan de AP om, na al die jaren van gedogen, zelfs maar een voornemen kenbaar te maken om te gaan handhaven.

-- Ook NS zal in de rechtszaal deelnemen aan het geding.

Jonker wordt in deze zaak gesteund door Stichting Privacy First en Maatschappij voor Beter OV. De rechtszitting is openbaar: iedereen is welkom om de zitting bij te wonen.

Zaakinformatie: M. Jonker vs. Autoriteit Persoonsgegevens, zaaknr. 201607123/1/A3.
Tijdstip: maandag 4 september 2017, 10.30u.
Locatie: Raad van State, Kneuterdijk 22, Den Haag. Klik HIER voor een routebeschrijving.


Update 4 september 2017: de rechtszitting vandaag verliep relatief voorspoedig, de rechters zaten goed in de materie. Klik HIER voor de pleitnota van de heer Jonker (pdf). Over 6 weken (of later) doet de Raad van State uitspraak.

Media:
https://www.computable.nl/artikel/nieuws/security/6191053/250449/conflict-ap-en-privacy-first-om-ov-chipkaart-ns.html
https://www.ad.nl/economie/privacy-wordt-geschonden-door-ov-chipkaart-met-abonnement~a4405fa0/
http://www.gelderlander.nl/economie/privacy-wordt-geschonden-door-ov-chipkaart-met-abonnement~a4405fa0/
http://www.hartvannederland.nl/nieuws/2017/ns-beperkt-korting-onterecht-tot-abonnees/
https://www.bnr.nl/nieuws/mobiliteit/10328758/dalurenkorting-ns-discriminatie-of-niet
http://www.treinreiziger.nl/reiziger-eist-anoniem-reizen-ook-abonnement/
http://www.dvhn.nl/binnenland/NS-beperkt-korting-onterecht-tot-abonnees-22465090.html
https://www.security.nl/posting/529824/Raad+van+State+onderzoekt+of+AP+moet+optreden+tegen+NS


Update 22 september 2017: de Raad van State heeft op 20 september jl. uitspraak gedaan in de zaak, zie ECLI:NL:RVS:2017:2555. In een eerste reactie zegt Jonker: “Een uitspraak twee weken na de zitting is opvallend snel, ook gezien de termijn van zes weken of langer die de Raad van State ter zitting had aangekondigd. Mogelijk heeft de Raad van State snel uitspraak gedaan om nog niets te hoeven zeggen over de uitkomst van het onderzoek dat de AP afgelopen jaar in opdracht van de rechtbank heeft gedaan, en waarover de AP binnenkort een besluit neemt. Of misschien wil de Raad de AP gelegenheid geven om zo’n nieuw besluit af te stemmen op de uitspraak.”

Samenvatting op hoofdpunten van de uitspraak:

(1) De Raad van State stelt, net als de rechtbank, Jonker inhoudelijk in het gelijk: de AP had Jonkers handhavingsverzoek niet mogen afwijzen zonder in deze specifieke zaak voldoende onderzoek te doen.

(2) Uit de eerdere onderzoeken waarnaar de AP had verwezen, blijkt volgens de Raad van State niet “of de verwerking van persoonsgegevens door middel van een persoonlijke OV-chipkaart noodzakelijk is voor het sluiten en de uitvoering van de overeenkomst betreffende het voordeelurenabonnement”, en ook niet “of als gevolg van het verplicht stellen van de persoonlijke OV-chipkaart voor een abonnement die verwerking van persoonsgegevens toereikend, ter zake dienend en niet bovenmatig is.”

(3) Voorts constateert de Raad van State dat “de omstandigheid dat de OV-chipkaart in haar algemeenheid voldoet aan de Wbp, niet betekent dat de omstandigheid dat het onmogelijk is een persoonlijk product te combineren met een anonieme kaart ook voldoet aan de Wbp.”

(4) Verder is de Raad het met de rechtbank eens dat de AP uit de door NS zelf opgestelde algemene voorwaarden en de voorwaarden van het voordeelurenabonnement niet het bestaan van een noodzaak voor het verwerken van persoonsgegevens mocht afleiden.

(5) De Raad is het anderzijds niet met Jonker eens dat de AP op basis van de reeds bekende feiten al had moeten concluderen dat er aanleiding was voor een voornemen tot handhaving. Volgens de Raad hoeft de AP daarover pas een standpunt in te nemen na een meer uitgebreid onderzoek.

(6) Procedureel is de Raad het met de AP eens dat de rechtbank de AP geen opdracht had mogen geven tot het doen van een meer uitgebreid onderzoek op grond van artikel 60 Wbp. Volgens de Raad had de rechtbank alleen het afwijzingsbesluit van de AP moeten vernietigen, zonder opdracht te geven tot zo’n onderzoek, omdat de rechtbank zich daarmee “de beleidsruimte van de AP toeëigende”. De AP heeft in haar beleid een “fasering” van onderzoek opgenomen, waarbij het door de rechtbank opgedragen onderzoek pas in fase III valt.

Jonker: “Ik ben blij dat de Raad van State me, net als de rechtbank, inhoudelijk in het gelijk heeft gesteld dat mijn handhavingsverzoek door de AP niet zo makkelijk had mogen worden afgewezen. De Raad heeft een aantal drogredeneringen doorgeprikt die de AP naar voren had gebracht.”

Toch is Jonker niet helemaal tevreden: “De uitspraak van de Raad van State leidt er ook toe dat de AP nu in een nieuwe ronde de gelegenheid krijgt om weer nieuwe argumenten te verzinnen om mijn handhavingsverzoek toch nog te gaan afwijzen. Het voelt een beetje als een knockout-toernooi met twee deelnemers en een half dozijn rondes, waarbij het thuisteam, de AP dus, meteen al verzekerd is van een finaleplaats, terwijl de andere partij, ik dus, in al die rondes de wedstrijd moet winnen om zelfs maar in de finale te komen. En als ik ook maar één echte fout maak, lig ik eruit. Dat is eigenlijk het tegenovergestelde van effectieve rechtsbescherming. Wat me ook opvalt is dat de Raad van State het Europees Verdrag voor de Rechten van de Mens (EVRM) met geen woord heeft genoemd, terwijl het EVRM een meer fundamentele bescherming biedt dan de door de Raad wel genoemde Europese Privacyrichtlijn. Ik heb steeds naar het EVRM verwezen.”

Gevraagd wat eventuele nieuwe argumenten van de AP dan zouden kunnen zijn, antwoordt Jonker: “Net vorige week heb ik een zogeheten bevindingenrapport van de AP ontvangen over het onderzoek dat de AP in opdracht van de rechtbank moest doen. Maar omdat de AP mij verzocht heeft daar vertrouwelijk mee om te gaan totdat de AP een nieuw besluit heeft genomen over mijn handhavingsverzoek, wil ik daar op dit moment verder niks over zeggen. De AP had dat rapport natuurlijk aan mij moeten toesturen ruim voorafgaand aan de rechtszitting van de Raad van State, maar koos er helaas voor om daarmee te wachten tot na de rechtszitting – terwijl NS in essentie wel op de hoogte was. Dat draagt niet bij aan een eerlijk proces. Volgende week houdt de AP een hoorzitting. En daarna duurt het waarschijnlijk nog een aantal weken voordat de AP een nieuw besluit neemt. Tegen dat besluit kan ik dan eventueel weer in beroep en hoger beroep gaan. Het houdt me wel van de straat...”

Wordt dus vervolgd.

Media:
http://www.omroepgelderland.nl/nieuws/2143524/Treinreiziger-uit-Arnhem-krijgt-weer-gelijk-meer-onderzoek-naar-privacy-discriminatie-ov-chipkaart
https://www.security.nl/posting/532206/Autoriteit+Persoonsgegevens+hoeft+NS+niet+uitgebreid+te+onderzoeken (met commentaar van Michiel Jonker onder artikel).
https://www.ovmagazine.nl/2017/09/opnieuw-onderzocht-tegen-privacydiscriminatie-ov-chipkaart-1527/ 


Update 7 mei 2018:
op 8 september 2017 (enkele dagen na de rechtszitting van de Raad van State) heeft de AP aan de heer Jonker een bevindingenrapport toegestuurd over de uitkomsten van het uitgebreide onderzoek waarvoor de Rechtbank Gelderland op 16 augustus 2016 opdracht had gegeven. Op 25 september en 28 november 2017 heeft Jonker naar de AP een reactie gestuurd op het bevindingenrapport, waarin hij ernstige kritiek uitte op de bevindingen. Het rapport leek zijns inziens vooral te dienen als instrument om de zaak toe te dekken, en niet als weergave van een onpartijdig uitgevoerd onderzoek door een onafhankelijke toezichthouder.

Ondanks Jonkers kritiek besloot de AP op 22 december 2017 dat het uitgevoerde onderzoek geen reden opleverde om Jonkers oorspronkelijke bezwaar alsnog gegrond te verklaren. De AP vond nog steeds dat er niks aan de hand was. Tegen dit tweede besluit op bezwaar ging Jonker op 29 januari 2018 in beroep bij de Rechtbank Gelderland (tweede beroepsprocedure in de zaak, zaaknummer 18/546). Omdat de AP inmiddels onderzoek heeft gedaan, gaat deze tweede beroepsprocedure niet meer over de vraag of de AP onderzoek moet doen, maar over de inhoudelijke uitkomst van dat onderzoek.

Ondertussen loopt er in dezelfde zaak nog een tweede juridisch spoor. Op 24 november 2016 had Jonker de AP verzocht om in het door de rechtbank opgedragen, uitgebreide onderzoek ook het feit te betrekken dat op elke zogenaamd “anonieme” OV-chipkaart van NS twee unieke pasnummers worden aangebracht, waardoor die kaarten in feite niet anoniem meer zijn. De unieke pasnummers moeten worden beschouwd als persoonsgegevens.

De AP weigerde om dit feit in haar uitgebreide onderzoek te betrekken, en besloot in plaats daarvan om het op te vatten als een nieuw, separaat handhavingsverzoek, waarbij de AP, net als de eerste keer, probeerde om niet meer te doen dan een “verkennend” oftewel “globaal bureau-onderzoek”. Na dit “globale” onderzoek concludeerde de AP op 28 september 2017 dat er niks aan de hand was. Jonker diende daar op 16 oktober en 28 november 2017 bezwaar tegen in, waarbij Jonker ook aangaf het niet eens te zijn met de afsplitsing van dit aspect in een zogenaamd apart handhavingsverzoek dat volgens de AP niet uitgebreid onderzocht hoefde te worden.

Op 26 februari 2018 wees de AP ook dit bezwaar van Jonker af, waarna Jonker op 19 maart 2018 ook tegen dit besluit op bezwaar in beroep ging bij de Rechtbank Gelderland (derde beroepsprocedure in de zaak, zaaknummer 18/1487).

Jonker: “Ik hoop dat de rechtbank de twee procedures samen gaat voegen, omdat de inhoud grotendeels overlapt. En ik hoop dat de rechtbank tot de conclusie komt dat de AP inderdaad ten onrechte geweigerd heeft de unieke pasnummers te betrekken bij het eerder door de rechtbank opgedragen onderzoek. Bizar vind ik het dat de AP de eerdere uitspraak van de rechtbank op een belangrijk punt negeert. De rechtbank had duidelijk aangegeven dat NS de verantwoordelijke is voor de gegevensverwerking met de OV-chipkaart, omdat ik als klant transacties verricht met NS, terwijl TLS alleen een opdrachtnemer van NS is, die voor NS een taak uitvoert. Nu probeert de AP toch weer te doen alsof TLS de primaire verantwoordelijke zou zijn. Het is duidelijk dat in deze casus de AP er alles aan doet om zijn toezichthoudende en handhavende taak NIET naar behoren uit te voeren. Ik zie de rechtszaak of –zaken met vertrouwen tegemoet.”

Gepubliceerd in Wetgeving
Pagina 1 van 3

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon