Translink deelde reisgegevens studenten met DUO voor fraudebestrijding

Translink, het bedrijf achter de ov-chipkaart, gaf reisgegevens door aan DUO. Dat meldde Tweakers gisteren. DUO gebruikte deze gegevens om studenten op te sporen die zouden frauderen met een uitwonende beurs. En de ophef zit hem dan in het feit dat die reisgegevens werden verstrekt zonder dat daar een officier van justitie aan te pas komt. Wat in Nederland totaal geen ding is, maar iedereen praat elkaar na dat dat nodig zou zijn.

TransLink Systems (TLS) beheert reisgegevens van alle personen die reizen met een ov-chipkaart in Nederland, waaronder natuurlijk een heleboel studenten met reisproduct. Uit die reisgegevens zijn allerlei interessante gegevens af te leiden, waaronder waar iemand woont: als iemand zegt uitwonend student te zijn in Amsterdam, maar elke dag zijn er veel korte ritjes in Deventer en af en toe retourtreinritten naar Amsterdam Amstel, dan kun je vraagtekens zetten bij dat uitwonend zijn.

DUO vond dat laatste zo interessant dat ze structureel die gegevens besloot op te vragen bij TLS. Daarbij werd gewerkt met een risicoprofiel, er werd dus niet zomaar bij iedereen meegekeken.

Maar dat is niet genoeg natuurlijk: dergelijke reisgegevens zijn persoonsgegevens, en dat moet dus netjes gebeuren binnen de Wet bescherming persoonsgegevens. Hier gaat het dan ook nog eens om een overheidsinstantie (DUO is de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, Cultuur en Wetenschap) en dan moet het al helemáál strak geregeld zijn: er moet een wettelijke regeling zijn die specifiek hierover gaat en die fatsoenlijk rekening houdt met de privacy van eerlijke mensen.

In de zaak van een student in mei ging het mis op dat eerste. Er is geen wettelijke grondslag voor wat DUO deed. Een protocol tussen DUO en TLS is geen wet.

Ook de Algemene Wet Bestuursrecht is geen wet, althans geen voldoende precieze wettelijke grondslag zoals onder de Wbp vereist:

Naar het oordeel van de rechtbank voldoen de artikelen 5:16 en 5:17 van de Awb niet aan dit vereiste. Deze artikelen bepalen dat een toezichthouder bevoegd is inlichtingen te vorderen en bevoegd is inzage te vorderen van zakelijke gegevens en bescheiden. Uit de memorie van toelichting volgt dat onder zakelijke gegevens moet worden verstaan ‘gegevens die gebruikt worden ten dienste van het maatschappelijk verkeer’. Zoals hierboven al is overwogen zijn de door verweerder opgevraagde Trans Link gegevens op de persoon van eiser herleidbaar. Deze gegevens zijn daarmee niet langer zakelijk in de zin van artikel 5:17 Awb.

Daarmee is het niet toegestaan die gegevens te vergaren. Gezien de ernst van de onrechtmatige verwerking worden de aldus verkregen gegevens uitgesloten van het bewijs. Dat is in Nederland uitzonderlijk bij gewone rechtszaken, maar het ging hier dus om een overheidsinstantie en die worden veel strenger daarop afgerekend.

DUO heeft al aangekondigd geen gebruik meer te maken van deze constructie om reisgegevens op te vragen totdat de Centrale Raad van Beroep zich over hoger beroep heeft gebogen.

En die officier van justitie dan? Die is totaal irrelevant, ook als het niet om overheidsinstanties zou gaan. Persoonsgegevens afgeven moet als de wet dat eist, en toezichthouders zoals DUO kunnen dat onder omstandigheden eisen. Privépartijen ook, onder het Lycos/Pessers arrest. Daar zit allemaal geen gerechtelijk bevel tussen of toetsing door een officier van justitie. Die kreet is een amerikaanserechtbankfictie. Het is eigenlijk nog veel simpeler: waar in de wet staat dat dit mag?

Arnoud

34 reacties

  1. Is het zo langzamerhand geen gewoonte (toegeëigend) recht te worden om privacy gevoelige data uit te wisselen en op te vragen en ook te verwerken ZONDER dat een rechter dit verboden heeft?, ondanks dat de regelgeving behoorlijk duidelijk is? Zo lijkt het in de gezondheidszorg common practice geworden om patiëntendata/conversaties-met geheel in het intranet te copy-pasten omdat het zo gemakkelijk is….. De privacy regelgeving is zo een lachertje geworden, door al dit soort zgn slimme gedrag en (mis)bruik. _ stemt tot droefheid _

      1. In zulke gevallen kun je het altijd bewaren in het minst toegankelijke formaat waarmee je aan dergelijke verplichtingen voldoet. Printen naar microfilm, of naar JPEG bestanden, met lastig te OCR-en lettertype en een resolutie die nog leesbaar is voor mensen.

  2. Let wel dat het ‘structurele opvragen’ nog geen 1 student per dag betrof. Aanvankelijk was ik ook erg gepikeerd door dit bericht, omdat ik het idee kreeg dat men met een grote visnet zat te vissen. Maar ze lijken best gericht te werk te gaan. Ergens moet je die mensen ook wel hun werk laten doen.

    1. De TLS heeft het sleepnet: ze bewaren gegevens van iedereen. Dat de DUO nou alleen maar een paar visjes uit dat sleepnet haalt verandert er niets aan dat er een sleepnet is. Misschien zijn er morgen wel weer heel andere redenen om nog een paar visjes uit het sleepnet te halen, en overmorgen weer wat andere. Het is voor iedere reiziger een zwaard van Damocles dat je data tot in lengte van dagen in dat sleepnet zit, en je niet weet wanneer het met welke reden tegen je gebruikt gaat worden.

      1. Ik vind wel dat het uit maakt. Ik ken de beredeneringen niet, maar als TLS aannemelijk maakt aan de AP, dat het die data voor een bepaalde tijd moet bewaren, zal dat waarschijnlijk zo zijn. 18 tot 24 maanden bewaren ze die data. (http://www.ad.nl/binnenland/cbp-wil-voor-einde-jaar-bewaartermijn-gegevens-ov-chipkaart~a52fbacf/).

        Ik vind dat het verder wel uitmaakt dat TLS die data (sleepnet) heeft, en dat DUO er niet vrij en zonder vermoeden/aanleiding in graait. Moet je als student ook maar niet gaan frauderen, dat lijken we hier te vergeten.

  3. OK, maar op welke basis had DUO de gegevens dan wel kunnen/mogen krijgen?

    We zullen het toch met elkaar eens zijn dat fraudebestrijding maatschappelijk wenselijk is. De reisgegevens die TLS beheert zijn al snel een (weerlegbaar) vermoeden van fraude, en misschien wel het sterkste bewijs (behalve iemand schaduwen) dat je kunt hebben, dus het is toch maatschappelijk wenselijk dat er een manier is waarop DUO wel aan die gegevens kan komen?

    1. Het is maatschappelijk wenselijk dat je anoniem kunt reizen, en dat niet wordt vastgelegd welke reizen je maakt, ongeacht of de vastgelegde gegevens niet gebruikt worden, gebruikt worden voor legitieme doeleinden of voor niet-legitieme doeleinden worden misbruikt.

      Fraudebestrijding is op zich maatschappelijk wenselijk, maar met een lage prioriteit. Fraudebestrijding is in mijn ogen niet een kwestie van grondrechten (hoge prioriteit), maar van efficiëntie. Middels fraudebestrijding kan de overheid de zelfde doelen bereiken met meer inkomsten / lagere kosten. Uiteindelijk raakt dat wel weer aan het eigendomsrecht van de belastingbetaler, maar dat is heel indirect. Er zijn ook alternatieven voor fraudebestrijding: je zou kunnen accepteren dat fraude op beperkte schaal plaats vindt, of je zou de regels anders kunnen maken, zodat fraude praktisch onmogelijk wordt. Bijvoorbeeld: is het onderscheid tussen uit- en thuiswonend niet gewoon te lastig om te handhaven? Of je zou misschien andere manieren van fraudebestrijding kunnen vinden, die niet strijdig zijn met de grondrechten van mensen.

      1. Sinds de invoering van het studievoorschot (leenstelsel, 2 jaar geleden) wordt er ook geen onderscheid meer gemaakt tussen uitwonende en thuiswonende studenten. Voor studenten die al langer dan 2 jaar studeren is dit onderscheid er nog wel. Dus studenten die nu beginnen kunnen hier niet meer mee frauderen.

      2. Ze hadden het ook moeilijker kunnen maken door traject abonnementen te geven. Bv iedere dag tussen je opgegeven woning en je school en 1 keer per week van je ouders naar school/woning en 1 keer per week terug. Technisch is het mogelijk als ze het willen. Voor stages en andere school gerelateerde activiteiten zou je online een bestelling kunnen laten doen voor een gratis reis of abonnement voor de betreffende dag/periode. Ik weet de tijd nog dat je een kaart had als student die je op verzoek moest tonen. Dat werkte toch ook zonder het reisgedrag vast te leggen.

    2. In theorie is het heel simpel, twee regeltjes in een wet zoals de Awb of de regeling waarin DUO wordt opgericht “Ten behoeve van fraudebestrijding mag DUO bij derden in het bezit van studentgegevens deze vorderen bij een reëel vermoeden van fraude en indien de vordering noodzakelijk en proportioneel is gezien het vermoeden”. Waar het om gaat, is dat als overheden iets doen met privacygevoelige gegevens, dat langs het parlement is gegaan zodat we kunnen zeggen, dit hebben we als democratische samenleving zo gewild.

      1. Bedankt voor je antwoord Arnoud.

        Ik zou juist denken dat de default situatie is dat de overheid in zijn algemeenheid, zelfs zonder expliciete wettelijke grondslag, tot doel heeft te zorgen voor een eerlijke toepassing van de wetgeving, en dus tot fraudebestrijding. Dat volgt gewoon uit de algemene beginselen van behoorlijk bestuur.

        De overheid mag (in dat uitgangspunt) altijd gegevens vorderen bij een reëel vermoeden van fraude en indien de vordering noodzakelijk en proportioneel is gezien het vermoeden. Het heeft geen zin om dat expliciet te vermelden.

        Ik dacht dus dat deze case ging over of de afweging juist was gemaakt, maar blijkbaar vindt de rechter (en jij) dat, met de huidige wetgeving, de gegevens helemaal niet opgevraagd mogen worden door DUO, nooit niet, in geen enkele omstandigheid

        1. Vanuit het oogpunt van privacybescherming is het essentieel dat er iets in een wet uitgewerkt is. Dan maak je expliciet de keuze dat je dit eerlijk en gepast vindt. Vanuit fraudebestrijding kan er heel veel, maar niet alles vinden we wenselijk. En niemand heeft ooit getoetst bij het parlement of wij als maatschappij het wenselijk vinden dat DUO bij reisgegevens van studenten kan.

          1. Hmm, ik zou denken dat je in zijn algemeenheid de overheid mag vertrouwen in een correcte uitvoering van de wet, dus ook in een correcte uitvoering van de afweging of de vordering noodzakelijk en proportioneel is.

            Bij een goedwerkende overheid blijft die toetsing bij het parlement, waardoor er dan expliciete toestemming komt door middel van wetgeving dat het opvordering mag mits afweging, naar mijn mening dus ook overbodig.

            Kwaad kan het natuurlijk ook niet (behalve het algemene kwaad dat we dan niet streven naar een zo licht mogelijke overheid en een zo licht mogelijke wetgeving).

            1. Overheden zijn net mensen: ze zoeken de grenzen van het toelaatbare op en gaan daar soms overheen. Bij overheden is dat problematischer dan bij burgers onderling vanwege de machtspositie die de overheid heeft tegenover de burger.

              1. Bastiaan: en wat is dan het verschil met in de wet opnemen dat DUO dit mag, mits ze een fatsoenlijke afweging doen of de vordering noodzakelijk en proportioneel is?

                Ze zullen nog steeds de grenzen opzoeken en eroverheen gaan. Alleen als het parlement zegt: ‘Nee, DUO mag never nooit niet reisgegevens opvragen’, is er een verschil.

                1. Ik begrijp je vraag niet. Denk je dat er geen verschil bestaat tussen vooraf toestemming vragen en achteraf gecontroleerd worden?

                  Deze zaak tekent nog maar eens op waarom we onze strenge privacywetgeving nodig hebben. Zelfs mét die wetgeving gaat de overheid steeds opnieuw de fout in, want vandaag de dag is allerlei informatie zo gemakkelijk beschikbaar.

                  En Translink weet natuurlijk duivels goed wie hun inkomsten uiteindelijk bepaalt: dat is de overheid als eigenaar van de NS (die op zijn beurt hoofdaandeelhouder is van Translink). En de hand die je voert, bijt je niet (door gegevens niet te overhandigen).

                  1. Ik vergeleek geen toestemming vooraf met achteraf toetsen.

                    Carte blanche toestemming zal er toch nooit komen. Het zal sowieso iets zijn zoals Arnoud voorstelt: bij een reëel vermoeden van fraude en indien de vordering noodzakelijk en proportioneel is.

                    Maar daar gaat het ook niet over. Die afweging moet natuurlijk gemaakt worden, en eerlijk gemaakt worden, en die kan eventueel achteraf getoetst worden.

                    Ik vergeleek de situatie zoals is meen dat die van kracht is: dat de overheid (en dus ook DUO) op basis van de algemene beginselen van goed bestuur in zijn algemeenheid sowieso recht heeft, natuurlijk voorwaardelijk aan de bovengenoemde afweging, om gegevens op te vragen bij TLS, met de situatie zoals Arnoud die beschrijft: dat er een wet wordt aangenomen die bepaalt dat DUO dat recht heeft, wederom natuurlijk voorwaardelijk aan de genoemde afweging.

                    Arnoud (en ook de rechter in bovengenoemde zaak) neemt dus in de huidige wettelijke situatie aan dat er een absoluut verbod is voor DUO om die gegevens op te vragen (waarbij we dus niet eens toekomen aan de afweging), en ik niet.

                    Ik wil absoluut een strenge privacywetgeving, laat daar geen misverstand over bestaan.

                    1. Arnoud (en ook de rechter in bovengenoemde zaak) neemt dus in de huidige wettelijke situatie aan dat er een absoluut verbod is voor DUO om die gegevens op te vragen (waarbij we dus niet eens toekomen aan de afweging), en ik niet.

                      Tja, je kunt tegen het oordeel van de twee genoemde experts ingaan, maar dan moet je wel met meer komen dan je onderbuikgevoel.

      2. “dit hebben we als democratische samenleving zo gewild.”

        Ja, ALS de partij waarop je gestemd hebt eerlijk is. Neem bijv. dat eigen risico-gedoe: CDA claimde vóór verlaging te zijn, maar bij de meest recente stemming hebben ze tegengestemd. Dus mensen die dachten “oh, ik stem CDA omdat ze vóór verlaging zijn” komen bedrogen uit en in die zin heeft de “samenleving” het dan niet zo gewild (zeker niet als er op andere punten sprake is van meerdere partijen die A zeggen maar B doen!).

  4. Is het voor DUO nu verboden om die reisgegevens op te vragen, is het voor TLS verboden om ze te overhandigen, of allebei? En zou het niet ook verboden moeten zijn voor TLS om die reisgegevens op te slaan? Ze zijn immers niet(*) meer nodig voor de bedrijfsvoering van TLS.

    (*) misschien is een maand bewaren nog wel nodig, mocht er conflict met de reiziger zijn over het saldo. Ik denk alleen dat dat niet veel oplost: het blijft zo, net zoals bij banken, dat TLS je saldo bepaalt (met eventueel een specificatie van hoe ze tot dat saldo zijn gekomen), en dat je als klant nauwelijks tegenbewijs kunt maken. Voor een echte versteviging van de positie van de klant zijn totaal nieuwe technieken nodig. Maar goed: bewaren van reisgegevens is er niet voor de klant, het is er voor de belangen van TLS.

    1. Het kan soms wel handig zijn want er gaat wel eens wat mis. Laatst bijv. betaalde ik 4 euro nog wat voor een ritje waar ik al jaren 2 euro voor betaal. Bleek dat er een storinkje was bij Connexxion. Gelukkig kon ik dat dankzij TLS’ opslag van saldogegevens ook bewijzen (immers, CXX kan wel zeggen dat er een storing was, maar je moet ook bewijzen dat jij slachtoffer daarvan was en niet misbruik maakt van de situatie). Bij zulk soort dingen is het dus erg fijn als ze het opslaan. Inderdaad moet het niet te lang, maar 2-4 weken lijkt me inderdaad redelijk.

  5. En die officier van justitie dan? Die is totaal irrelevant, ook als het niet om overheidsinstanties zou gaan.

    Die officier van justitie, die is er door Translink zelf ingefietst: ze hebben een intern beleid waarin staat dat alleen gegevens worden afgestaan na tussenkomst van een officier van justitie. Dat ze zich vervolgens niet aan hun interne beleid hebben gehouden, dat is weer een ander verhaal.

  6. Ik snap dat het eigenlijk niet mag en we het niet zouden moeten willen, maar aan de andere kant, hoeveel privacy wordt er nu daadwerkelijk geschonden als iemand een filtertje bouwt wat vlaggetjes zet bij iedere student die heeft aangegeven uitwonend te zijn op locatie x, maar vervolgens iedere dag een reis maakt vanaf locatie y, waarbij y dan weer een bepaald aantal kilometers van x af ligt. Bij 4 vlaggetjes per week kan een keer een telefoontje volgen naar de student om te kijken of er een goede verklaring voor is. Zo schend je vrij weinig privacy, en nog belangrijker, je pakt mensen die onterecht een hogere uitkering vangen.

    Tenzij de kosten voor zo’n controle hoger zijn dan voor de paar extra onterechte uitkeringen die je ermee kunt stoppen, lijkt me dit best zinvol.

  7. Stel dat DUO aan Translink alleen maar zou vragen of het reisgedrag van een student overeenkomt met een bepaalde woonplaats waarbij TLS alleen maar ja/nee hoeft te zeggen. Er wordt dan geen privacy gevoelige informatie overhandigd. Zou dat wel mogen, of mag TLS zo’n analyse niet doen met de gegevens?

  8. Bij het aanvragen van een OV chipkaart ben ik akkoord gegaan met de voorwaarden die Translink stelt. In de AV werd (als ik mij goed herinner) ook gesteld dat Translink zorgvuldig met mijn data omgaat en worden er ook de condities genoemd waarvoor mijn data gebruikt/gedeeld wordt.

    Nu blijkt dat Translink zich overduidelijk niet aan hun eigen voorwaarden houdt, kan ik dan nu eisen dat Translink alle -over mij- verzamelde data vernietigd? Ze hebben deze blijkbaar onder valse voorwendselen vergaard. Als ik dit vantevoren geweten had was ik misschien niet akkoord gegaan en gaan lopen van/naar werk 🙂

  9. En als je nu een fraude/vig-onderzoek bent gestart op basis van andere informatie? Dan kan de officier wel historische gegevens vorderen ex 126nd Sv neem ik aan. Misschien dat deze roddel uit die hoek komt?

    Alleen is het hier andersom beredeneerd; op basis van risicoprofielen wordt er een soort fenomenenonderzoek/titel-V-onderzoek uitgevoerd, naar het zich laat aanzien. Alleen dan buiten de strafvordering maar bestuursrechtelijk/privaat.

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.