donatieknop english

Nieuwe rechtszaken Michiel Jonker tegen privacyschendingen in het openbaar vervoer

Nieuwe rechtszaken Michiel Jonker tegen privacyschendingen in het openbaar vervoer Foto: Bruce Mars, Unsplash.com

Rechtbank behandelt beroep van OV-reiziger inzake vier structurele privacy-inbreuken. Autoriteit Persoonsgegevens weigert deze inbreuken te onderzoeken of te handhaven.

Op 16 december 2019 zal de Rechtbank Gelderland in twee direct op elkaar volgende rechtszittingen de beroepen van Michiel Jonker behandelen tegen de afwijzing van twee handhavingsverzoeken door de Autoriteit Persoonsgegevens (AP). In juli 2018 verzocht Jonker in twee handhavingsverzoeken de AP om onderzoek en handhaving inzake:

  1. De weigering door vervoerbedrijf Connexxion van privacyvriendelijke, contante betaling voor eenmalige buskaartjes in de bus.
  2. Het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan Nederlandse Spoorwegen (NS) verstrekt.
  3. Het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken.
  4. Het in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.

De AP weigerde deze inbreuken op de privacy serieus te onderzoeken, omdat volgens de AP een "globaal (bureau)onderzoek" reeds zou hebben uitgewezen dat er geen sprake was van enige overtreding. Volgens de AP is de verwerking van persoonsgegevens in sommige gevallen niet aangetoond en zou daar dus geen sprake van zijn (2, 3, 4). Met betrekking tot de verkoop van internationale tickets van buitenlandse vervoerbedrijven door NS verklaarde de AP zichzelf eerst ten onrechte onbevoegd, maar beweert nu, nadat Jonker daartegen bezwaar maakte, dat Jonker op dit punt niet om handhaving zou hebben verzocht. Met betrekking tot de weigering van contante betaling in de bus (1) vindt de AP dat de inbreuk op de privacy acceptabel is. Ook wekt de AP, in navolging van Connexxion, de schijn dat er allerlei andere privacyvriendelijke betaalmogelijkheden voorhanden zijn, terwijl er in Jonkers woonplaats Arnhem slechts één plek is waar dat kan, maar dan wel tegen betaling van een extra toeslag. Jonker vindt dat er op die manier sprake is van privacy-discriminatie: het nadelig behandelen van mensen die met privacy willen blijven reizen.

Jonker: "Het gaat in deze zaken om drie dingen. Ten eerste dat mensen met behoud van privacy van het openbaar vervoer gebruik kunnen maken, niet alleen in een vergezochte theorie, maar ook gewoon in de dagelijkse praktijk. Het gaat er dan om dat er voldoende verkooppunten zijn waar je contant kunt betalen voor alle soorten vervoerbewijzen, en zonder dat je een extra toeslag hoeft te betalen ten opzichte van reizigers die er noodgedwongen in berusten dat hun persoonsgegevens zonder hun instemming worden verwerkt. En dat vervoerbedrijven ook geen reizigers misleiden, of stiekem hun gegevens verzamelen.

Ten tweede gaat het erom dat vervoerbedrijven niet met willekeur persoonsgegevens mogen verzamelen, als ze maar met wat algemene kreten zwaaien, bijvoorbeeld "veiligheid" of "fraudepreventie", zonder duidelijk te maken om welk specifiek, concreet probleem het nu eigenlijk gaat.

Ten derde gaat het erom dat de AP als toezichthouder en handhaver niet zomaar mag weigeren om iets te onderzoeken. Nu trekt de AP uit haar eigen weigering om het te onderzoeken, de conclusie dat er dus niks aan de hand is. Dat is alsof een politie-agent na de melding van een inbraak weigert het betreffende huis binnen te stappen, maar in plaats daarvan zegt: ik ga daar niet naar binnen, dus ik zie geen inbraak, dus er is geen inbraak, dus ik hoef daar niet naar binnen te gaan. Daar is een heel simpel woord voor: wegkijken. Veel Nederlandse toezichthouders, waaronder de AP, hebben nogal de neiging weg te kijken en op die manier aan struisvogelpolitiek te doen. Maar we betalen die toezichthouders wel van ons belastinggeld. Dat doen we niet om ze te laten wegkijken."

Gevraagd of hij bijvoorbeeld "veiligheid" dan geen serieus thema vindt, antwoordt Jonker: "Natuurlijk vind ik dat een serieus thema. Juist daarom verdient het een serieuze behandeling. Maar dat is iets heel anders dan het thema veiligheid misbruiken om precies te gaan bijhouden welke routes miljoenen onschuldige reizigers op welke momenten afleggen. Ik ben voor een serieuze analyse van concrete veiligheidsproblemen, gevolgd door maatwerk om die specifieke problemen ook echt tegen te gaan. Connexxion heeft niet aannemelijk gemaakt dat contante betaling de veiligheid op zelfs maar één buslijn in de regio serieus in gevaar zou brengen. Ik woon al meer dan twintig jaar in Arnhem. Ik ging met lijn 3 naar de dierentuin, op een mooie, zonnige ochtend. Nooit geweten dat dat onveilig was... Het moet proportioneel blijven. Maar proportionaliteit kan heel subjectief worden opgevat. Dan mag je als vervoerbedrijf alles van reizigers eisen. Dat is op dit moment de basishouding van de AP. Als vervoerbedrijven iets willen, vindt de AP het dus nodig, en wil daarom niet handhaven of serieus onderzoeken."

Gevraagd naar zijn verwachtingen over de rechtszaken, antwoordt Jonker: "Sinds de uitspraken van de Rechtbank Gelderland in twee andere beroepsprocedures, op 5 september van dit jaar, ben ik zeer sceptisch over de kwaliteit van de rechtspraak van deze instantie. Tegen die uitspraken ben ik in hoger beroep gegaan bij de Raad van State. Ik heb de rechtbank verzocht om met de behandeling van deze nieuwe zaken te wachten tot de Raad van State uitspraak heeft gedaan, om een zinloze herhaling van zetten te voorkomen. Ook zijn er inmiddels prejudiciële vragen gesteld aan het Hof van Justitie van de Europese Unie over reisgegevens van OV-gebruikers. Dat wil ik ook graag afwachten, om alle partijen tijd en geld te besparen. Maar de rechtbank heeft dat verzoek helaas meteen afgewezen."

De rechtszittingen vinden plaats op 16 december 2019 om 10:30 uur in de Rechtbank Gelderland, Walburgstraat 2-4 te Arnhem. Klik HIER voor het beroepschrift van Jonker in de zaak over de weigering van contante betaling in de bus door vervoerbedrijf Connexxion (pdf).

Jonker wordt in beide zaken gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Update 17 december 2019: de twee rechtszaken werden op 16 december jl. behandeld door een meervoudige kamer van de rechtbank. Een vertegenwoordiger van Privacy First was als toehoorder aanwezig. Jonker had een enkele pleitnota voor beide zittingen gemaakt, maar de rechter stond hem niet toe die voor te lezen. Desgevraagd verwees de voorzittende rechter naar het "te ruste leggen" van de zogeheten "Nieuwe zaaksbehandeling" per 13 februari 2018, en gaf aan dat de rechtbank inmiddels werkt aan de hand van de zogeheten "professionele standaard", waarin niet meer is voorzien in de mogelijkheid voor partijen om een schriftelijk voorbereid pleidooi te houden. Jonker: "Natuurlijk moest ik daar ter zitting in berusten, immers de rechter bepaalt wat er ter zitting mag worden ingebracht. Maar het is een teken aan de wand hoe het er met onze rechtspraak voorstaat. Mijns inziens is het weigeren van pleidooien in strijd met artikel 6 van het EVRM (recht op een eerlijk proces), omdat in zo'n pleidooi de omstandigheden van het concrete geval en de ethische implicaties daarvan rechtstreeks kunnen worden verduidelijkt en bespreekbaar gemaakt. Achteraf heb ik op internet proberen na te gaan wat daarover te vinden is. In een publicatie van het Ministerie van Binnenlandse Zaken uit 2015 ("De praktijk van de Nieuwe zaaksbehandeling in het bestuursrecht") bleek dat sommige rechters mijn mening op dit punt delen." Voor de pleitnota van Jonker, klik HIER (pdf).

Tijdens beide zittingen werd eerst Jonkers verzoek behandeld om de zaken aan te houden in afwachting van uitspraken van het Hof van Justitie van de EU (HvJ EU) en de Afdeling bestuursrechtspraak van de Raad van State (ABRvS) over met name de eisen die moeten worden gesteld aan het aantonen van een noodzaak voor de verwerking van persoonsgegevens in het openbaar vervoer. De AP, NS en Connexxion zagen geen aanleiding om de zaken aan te houden. De rechtbank gaat het overwegen en zal partijen t.z.t. op de hoogte stellen van zijn standpunt.

In de eerste zitting kwam naast de vraag of er een noodzaak voor de privacy-inbreuken is aangetoond, ook de vraag aan de orde naar de precieze omvang van de verantwoordelijkheid van verwerkingsverantwoordelijken zoals NS. Is NS verantwoordelijk voor het gedrag van haar eigen baliemedewerkers, als die zonder noodzaak NAW-gegevens opeisen bij de aankoop van internationale treintickets? Jonker betoogde van wel, en op dit punt leek de AP het met hem eens te zijn. Daarnaast betoogde Jonker dat de verantwoordelijkheid voor gegevensverwerking niet mag worden zoekgemaakt tussen (binnenlandse of buitenlandse) "verwerkingsverantwoordelijken" en "verwerkers".

Voor het eerst deed NS zelf een uitspraak over het doel waarmee NS legitimatie eist wanneer iemand het restsaldo op een anonieme OV-chipkaart terugvraagt. Volgens NS is dat om een "drempelverhogend effect" te creëren om personen af te schrikken die een gestolen anonieme OV-chipkaart proberen in te leveren. Jonker wees erop dat, als dit klopt, er sprake is van een illegale handeling van NS, omdat het eisen van legitimatie om mensen af te schrikken, niet rechtmatig is en NS daartoe ook niet bevoegd is. Ook wees Jonker erop dat in geval van het teruggeven van saldo van meer dan dertig euro, er in opdracht van NS wel degelijk persoonsgegevens worden verwerkt, namelijk door Translink Systems (TLS).

Met betrekking tot het in rekening brengen van zogeheten "servicekosten" bij het contant betalen voor het opladen van anonieme OV-chipkaarten met bankbiljetten aan de balie, zonder dat er gelijkwaardige, privacyvriendelijke alternatieven zijn, werden er geen nieuwe argumenten ingebracht.

In de tweede rechtszitting ging het onder andere over de vraag of de noodzakelijkheid voor het verwerken van persoonsgegevens ten behoeve van de uitvoering van een contract (art. 6 lid 1 onder b AVG) afgeleid kan worden uit willekeurige, algemeen geformuleerde doelen die een verwerkingsverantwoordelijke (Connexxion) heeft vastgesteld, of dat er ook sprake moet zijn van een objectiveerbare, materiële noodzaak. Jonker betoogde dat uit de aangeleverde documentatie geen noodzaak viel af te leiden voor het weigeren van contant geld in de regio Arnhem-Nijmegen. Connexxion betoogde dat het niet nodig was om zo'n noodzaak voor deze regio aan te tonen, en zelfs niet eens om een "risicoprofiel per regio of per buslijn" op te stellen. Ook zag Connexxion voor zichzelf geen plicht of verantwoordelijkheid om te zorgen voor alternatieve, toegankelijke manieren voor privacyvriendelijk betalen. Dit omdat de verkooppunten volgens Connexxion niet door haarzelf worden bepaald, maar door de Stadsregio Arnhem-Nijmegen. Jonker betoogde dat een verwerkingsverantwoordelijke bij het treffen van maatregelen die een inbreuk vormen op de privacy, zelf verantwoordelijk blijft voor het zorgen voor een alternatief (subsidiariteitsbeginsel).

Ten slotte wees Connexxion erop dat Jonker niet verplicht is om het OV te gebruiken. Jonker reageerde dat het OV geen "winkel met prullaria" is, maar een essentiële publieke nutsfunctie waarvan hij en talloze andere mensen afhankelijk zijn om maatschappelijk te kunnen participeren.

Voorafgaand aan de zitting had Connexxion schriftelijk verzocht om Jonker te veroordelen tot het vergoeden van haar proceskosten vanwege "kennelijk onredelijk gebruik van het procesrecht". Na een vraag hierover van één van de rechters trok Connexxion dat verzoek aan het eind van de zitting in.

Gevraagd naar zijn indruk over de zittingen, zei Jonker: "Als je kijkt naar de letter van de wet en de bedoeling van de wetgever, sta ik sterk. Maar ik weet inmiddels uit ervaring dat dat niet alles zegt over de uitkomst van rechtszaken. Het zal er mede van afhangen of de rechters bereid zijn om niet alleen te kijken naar theoretische, algemene, niet-onderbouwde verhalen van NS en Connexxion, maar ook naar hoe het in de feitelijke praktijk functioneert, en naar de manier waarop de verschillende inbreuken op de privacy elkaar versterken. Cumulatief ontstaan er daardoor grote effecten waardoor er van de privacy weinig overblijft."

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
Control Privacy
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon