Translink deelde reisgegevens studenten met DUO voor fraudebestrijding

Translink, het bedrijf achter de ov-chipkaart, gaf reisgegevens door aan DUO. Dat meldde Tweakers gisteren. DUO gebruikte deze gegevens om studenten op te sporen die zouden frauderen met een uitwonende beurs. En de ophef zit hem dan in het feit dat die reisgegevens werden verstrekt zonder dat daar een officier van justitie aan te pas komt. Wat in Nederland totaal geen ding is, maar iedereen praat elkaar na dat dat nodig zou zijn.

TransLink Systems (TLS) beheert reisgegevens van alle personen die reizen met een ov-chipkaart in Nederland, waaronder natuurlijk een heleboel studenten met reisproduct. Uit die reisgegevens zijn allerlei interessante gegevens af te leiden, waaronder waar iemand woont: als iemand zegt uitwonend student te zijn in Amsterdam, maar elke dag zijn er veel korte ritjes in Deventer en af en toe retourtreinritten naar Amsterdam Amstel, dan kun je vraagtekens zetten bij dat uitwonend zijn.

DUO vond dat laatste zo interessant dat ze structureel die gegevens besloot op te vragen bij TLS. Daarbij werd gewerkt met een risicoprofiel, er werd dus niet zomaar bij iedereen meegekeken.

Maar dat is niet genoeg natuurlijk: dergelijke reisgegevens zijn persoonsgegevens, en dat moet dus netjes gebeuren binnen de Wet bescherming persoonsgegevens. Hier gaat het dan ook nog eens om een overheidsinstantie (DUO is de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, Cultuur en Wetenschap) en dan moet het al helemáál strak geregeld zijn: er moet een wettelijke regeling zijn die specifiek hierover gaat en die fatsoenlijk rekening houdt met de privacy van eerlijke mensen.

In de zaak van een student in mei ging het mis op dat eerste. Er is geen wettelijke grondslag voor wat DUO deed. Een protocol tussen DUO en TLS is geen wet.

Ook de Algemene Wet Bestuursrecht is geen wet, althans geen voldoende precieze wettelijke grondslag zoals onder de Wbp vereist:

Naar het oordeel van de rechtbank voldoen de artikelen 5:16 en 5:17 van de Awb niet aan dit vereiste. Deze artikelen bepalen dat een toezichthouder bevoegd is inlichtingen te vorderen en bevoegd is inzage te vorderen van zakelijke gegevens en bescheiden. Uit de memorie van toelichting volgt dat onder zakelijke gegevens moet worden verstaan ‘gegevens die gebruikt worden ten dienste van het maatschappelijk verkeer’. Zoals hierboven al is overwogen zijn de door verweerder opgevraagde Trans Link gegevens op de persoon van eiser herleidbaar. Deze gegevens zijn daarmee niet langer zakelijk in de zin van artikel 5:17 Awb.

Daarmee is het niet toegestaan die gegevens te vergaren. Gezien de ernst van de onrechtmatige verwerking worden de aldus verkregen gegevens uitgesloten van het bewijs. Dat is in Nederland uitzonderlijk bij gewone rechtszaken, maar het ging hier dus om een overheidsinstantie en die worden veel strenger daarop afgerekend.

DUO heeft al aangekondigd geen gebruik meer te maken van deze constructie om reisgegevens op te vragen totdat de Centrale Raad van Beroep zich over hoger beroep heeft gebogen.

En die officier van justitie dan? Die is totaal irrelevant, ook als het niet om overheidsinstanties zou gaan. Persoonsgegevens afgeven moet als de wet dat eist, en toezichthouders zoals DUO kunnen dat onder omstandigheden eisen. Privépartijen ook, onder het Lycos/Pessers arrest. Daar zit allemaal geen gerechtelijk bevel tussen of toetsing door een officier van justitie. Die kreet is een amerikaanserechtbankfictie. Het is eigenlijk nog veel simpeler: waar in de wet staat dat dit mag?

Arnoud

DUO stuurt onterecht deurwaarder naar 10.000 mbo-studenten

automatische-incasso-formulier-betalen.jpgIn februari stond bij ruim tienduizend mbo-studenten een deurwaarder op de stoep, las ik bij Nu.nl. De studenten waren te laat met de betaling van het lesgeld voor studiejaar 2014-2015, en hadden de berichten in in Mijn DUO niet gezien waarin ze daarop gewezen werden. Aandacht van Kassa zorgt er nu voor dat DUO zelf de incassokosten gaat dragen.

Op zich is het natuurlijk niet gek dat je aanmaningen en daarna een deurwaarder krijgt, die een stevige partij incassokosten komt vorderen, als je niet op tijd betaalt. Maar in dit geval is het niet enkel een kwestie van de facturen in de kachel stoppen: de betalingsherinneringen en andere berichten waren alleen te vinden als je inlogde in “Mijn DUO”, een portaal waar “Alles online geregeld” wordt.

Het vervelende met zulke portalen is dat je steeds moet inloggen op allerlei vage interfaces waar het elke keer net wat anders werkt. Plus er staat zelden iets werkelijks relevants. Ik leef vanuit mijn inbox – net als jullie gok ik – dus ik verwacht een alertberichtje als er iets is.

Dat berichtje stuurde DUO ook, alleen was dat nogal neutraal: “U heeft een nieuw bericht” en een uitnodiging in te loggen op Je Mijn DUO. (Je Mijn, ja Ruud ik krijg er ook jeuk van.) Bij dergelijke dingen zou ik ook denken, láát maar, ik kijk wel een keer. Terwijl als het “Laatste aanmaning!!1! Niet lezen=€1000 dokken” als onderwerpregel had, ik wellicht wél in actie zou zijn gekomen. Zoals ook veel studenten, zo bleek.

DUO steekt de hand in eigen boezem:

De mails die we hebben gestuurd waren blijkbaar geen trigger voor studenten om in te loggen. We hadden dwingender moeten communiceren. Omdat het om zo’n grote groep gaat, hebben we besloten dat de extra kosten voor onze rekening komen.

Wat ik me daarbij verder nog afvraag, is waarom die deurwaarder überhaupt al in beeld was. Er is hooguit per mail of portaalbericht aangemaand, en aanmanen moet van de wet toch echt schriftelijk. Goed, er zijn een paar uitspraken dat e-mail ook telt als schriftelijke aanmaning, maar volgens mij was dat nog niet echt de hoofdlijn in de rechtspraak.

Wat vinden jullie? Domme studenten, je moet gewoon elke keer inloggen op Mijn DUO en kijken of het een aanmaning is dan wel een “Graag wijzen we je op de nieuwe nieuwsbrief met actuele informatie over DUO en haar organisatie”? Of domme DUO, die geen gedifferentieerde alerts kan sturen voor financieel best wel belangrijke zaken?

Arnoud