Translink, het bedrijf achter de ov-chipkaart, gaf reisgegevens door aan DUO. Dat meldde Tweakers gisteren. DUO gebruikte deze gegevens om studenten op te sporen die zouden frauderen met een uitwonende beurs. En de ophef zit hem dan in het feit dat die reisgegevens werden verstrekt zonder dat daar een officier van justitie aan te pas komt. Wat in Nederland totaal geen ding is, maar iedereen praat elkaar na dat dat nodig zou zijn.
TransLink Systems (TLS) beheert reisgegevens van alle personen die reizen met een ov-chipkaart in Nederland, waaronder natuurlijk een heleboel studenten met reisproduct. Uit die reisgegevens zijn allerlei interessante gegevens af te leiden, waaronder waar iemand woont: als iemand zegt uitwonend student te zijn in Amsterdam, maar elke dag zijn er veel korte ritjes in Deventer en af en toe retourtreinritten naar Amsterdam Amstel, dan kun je vraagtekens zetten bij dat uitwonend zijn.
DUO vond dat laatste zo interessant dat ze structureel die gegevens besloot op te vragen bij TLS. Daarbij werd gewerkt met een risicoprofiel, er werd dus niet zomaar bij iedereen meegekeken.
Maar dat is niet genoeg natuurlijk: dergelijke reisgegevens zijn persoonsgegevens, en dat moet dus netjes gebeuren binnen de Wet bescherming persoonsgegevens. Hier gaat het dan ook nog eens om een overheidsinstantie (DUO is de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, Cultuur en Wetenschap) en dan moet het al helemáál strak geregeld zijn: er moet een wettelijke regeling zijn die specifiek hierover gaat en die fatsoenlijk rekening houdt met de privacy van eerlijke mensen.
In de zaak van een student in mei ging het mis op dat eerste. Er is geen wettelijke grondslag voor wat DUO deed. Een protocol tussen DUO en TLS is geen wet.
Ook de Algemene Wet Bestuursrecht is geen wet, althans geen voldoende precieze wettelijke grondslag zoals onder de Wbp vereist:
Naar het oordeel van de rechtbank voldoen de artikelen 5:16 en 5:17 van de Awb niet aan dit vereiste. Deze artikelen bepalen dat een toezichthouder bevoegd is inlichtingen te vorderen en bevoegd is inzage te vorderen van zakelijke gegevens en bescheiden. Uit de memorie van toelichting volgt dat onder zakelijke gegevens moet worden verstaan ‘gegevens die gebruikt worden ten dienste van het maatschappelijk verkeer’. Zoals hierboven al is overwogen zijn de door verweerder opgevraagde Trans Link gegevens op de persoon van eiser herleidbaar. Deze gegevens zijn daarmee niet langer zakelijk in de zin van artikel 5:17 Awb.
Daarmee is het niet toegestaan die gegevens te vergaren. Gezien de ernst van de onrechtmatige verwerking worden de aldus verkregen gegevens uitgesloten van het bewijs. Dat is in Nederland uitzonderlijk bij gewone rechtszaken, maar het ging hier dus om een overheidsinstantie en die worden veel strenger daarop afgerekend.
DUO heeft al aangekondigd geen gebruik meer te maken van deze constructie om reisgegevens op te vragen totdat de Centrale Raad van Beroep zich over hoger beroep heeft gebogen.
En die officier van justitie dan? Die is totaal irrelevant, ook als het niet om overheidsinstanties zou gaan. Persoonsgegevens afgeven moet als de wet dat eist, en toezichthouders zoals DUO kunnen dat onder omstandigheden eisen. Privépartijen ook, onder het Lycos/Pessers arrest. Daar zit allemaal geen gerechtelijk bevel tussen of toetsing door een officier van justitie. Die kreet is een amerikaanserechtbankfictie. Het is eigenlijk nog veel simpeler: waar in de wet staat dat dit mag?
Arnoud