Feb 182010
 
Voor het Fd schreef ik een opinietekst over de OV-bedrijven die de invoering van de Studenten OV-chip gebruiken om op grote schaal reisgegevens te gaan vastleggen, zonder dat daartoe enige noodzaak is. Ik schreef daarover al eerder.
 
Ik hoop, verwacht eigenlijk zelfs, dat het CBP de handschoen oppakt en zich uitspreekt over deze, volgens mij onrechtmatige praktijken. Uiteindelijk zou natuurlijk de minister van Verkeer en Waterstaat de OV-bedrijven kunnen dwingen om zich te bekommeren om de persoonlijke levenssfeer van reizigers.
 
Stel privacy veilig bij verlenen concessie openbaar vervoer OV-bedrijven dreigen onnodig gegevens over reisgedrag van klanten te verzamelen

De Studenten OV-chipkaart is ingevoerd. Er is een weekkaart waarmee door de week ‘vrij’ kan worden gereisd, en er is een weekendkaart waarmee in het weekend ‘vrij’ kan worden gereisd. Als er vrij wordt gereisd, hoeft de reis niet te worden afgerekend. Het is dan dus niet nodig om gedetailleerd reisgegevens vast te leggen. Je zou dan ook verwachten dat de openbaarvervoerbedrijven in dat geval niet verlangen dat studenten in- en uitchecken op het station of in bus, tram en metro.
 
De werkelijkheid is anders. De openbaarvervoerbedrijven blijken te verlangen dat studenten altijd in- en uitchecken, ook als er vrij wordt gereisd. Enkele lokale vervoerbedrijven, zoals het GVB en de RET, gaan zelfs zover dat zij een boete van € 35 opleggen aan studenten die dat niet hebben gedaan. Ook als er vrij wordt gereisd willen openbaarvervoerbedrijven weten wie wanneer vanwaar waarheen reisde.
 
De redenen waarom laten zich wel raden. Het is bekend dat reisgegevens waardevol zijn. Er kan veel, heel veel geld mee worden verdiend, vooral door op basis daarvan gericht reclame te maken voor de eigen dienstverlening of die derden. Denk aan budget-stedentrips en kortingsacties voor pretparken, of speciale aanbiedingen voor hamburgermenu’s in de Burger King van station Leiden. En natuurlijk zijn de openbaarvervoerbedrijven er niet vies van om zo de winstcijfers op te poetsen. Je moet wat in tijden van crisis.
 
De vraag is natuurlijk of dat zomaar mag. En het antwoord is: natuurlijk niet. Wat dit betreft is de privacywetgeving duidelijk. Het is niet toegestaan zomaar persoonsgegevens te verzamelen. Dat mag alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Voorzover de gegevens niet nodig zijn voor de afhandeling van reistransacties, volgt uit de privacywet dat er voor het vastleggen daarvan ofwel ondubbelzinnige toestemming moet zijn ofwel dat er een belangenafweging heeft plaatsgevonden waarin ook gewicht is toegekend aan de belangen van de vrij-reizende reizigers. Waar het gaat om de Studenten OV-chip, en trouwens ook de gewone OV-chipkaarten is van geen van beide is sprake. De conclusie is dan ook dat het vastleggen van deze reisgegevens onrechtmatig is, want bovenmatig en onnodig.
 
Onze nationale privacywaakhond, het College Bescherming Persoonsgegevens, heeft zich nadrukkelijk bemoeid met de invoering van de OV-chip en de privacyimplicaties daarvan. En nog niet zo heel lang geleden stelde het zich op het standpunt dat reizigers niet, via prijsdwang of boetes, mogen worden gedwongen om meer reisgegevens af te staan dan nodig. Inmiddels is niet helemaal duidelijk of het college er nog steeds zo over denkt. In elk geval lijkt het vooralsnog niet echt van plan te zijn de openbaar vervoerbedrijven tot de orde te roepen. En daarbij is twijfelachtig of het college, gelet op zijn beperkte handhavingmiddelen, in staat is heel veel te doen.
 
De voor de hand liggende vraag is dan of er geen andere mogelijkheden zijn om de openbaarvervoerbedrijven zover te krijgen dat ze zich iets gelegen gaan laten liggen aan de privacybelangen van studenten en andere reizigers. Een tot dusver nog niet onderzochte mogelijkheid betreft de concessies en contracten op basis waarvan openbaarvervoerbedrijven werken. De concessies voor het openbaar vervoer worden verleend door overheden, vaak in open aanbestedingsprocedures zoals bij de busbedrijven en lokale vervoerders. In een enkel geval (lees: het spoor) wordt de concessie verkregen in een minder open procedure. In beide gevallen stelt de concessieverlenende overheid een pakket van eisen vast, waarna van de meedingende openbaarvervoerbedrijven wordt gevraagd aan te geven op welke wijze zij daaraan gaan voldoen.
 
Er is veel voor te zeggen om in het kader van zo een dergelijke concessieverlening voortaan nadrukkelijk van openbaarvervoerbedrijven te verlangen dat zij gaan voorzien in afdwingbare privacywaarborgen. Of wij willen of niet wij moeten ermee leven dat onze samenleving een informatiesamenleving is geworden. En daarin kan de kwaliteit van het openbaar vervoer niet meer worden afgemeten aan alleen de prijs per kilometer of betrouwbaarheid van de dienstregeling en het aantal beschikbare zitplaatsen. In het OV-chiptijdperk is minstens zo belangrijk dat openbaarvervoerbedrijven zich rekenschap geven van hun verantwoordelijkheid als verzamelaars van grote hoeveelheden privacygevoelige reisgegevens.

Jan 012010
 

Eind vorig jaar verscheen de NVvIR-bundel Who controls the internet (red. Visser & Weij). De bijdrage van mijzelf, Annemarie Bloemen-Patberg en Thomas de Weerd bespreekt wie er bepaalt wat mag met IP-adressen en verkeers- en locatiegegevens. De volledige publicatie, met verder bijdragen van onder andere Engelfriet en Groothuis, is binnenkort te vinden op de website van de NVvIR — ook voor niet-leden van de vereniging.

Oct 232009
 

Er blijft discussie over hoe OPTA de nieuwe opt-in regels voor commerciele email uitlegt. De opinie die eerder in het Financieel dagblad stond heb ik in iets gewijzigde vorm naar Adformatie gestuurd.

Inmiddels lijkt OPTA enig afstand te nemen van zijn nog-al-kort-door-de-bocht opvatting over het benaderen van bestaande klanten c.q. de personen van wie e-mailadressen zijn verkregen in het kader van de verkoop van een dienst of product.

Continue reading »

Oct 132009
 

Vorige week is het zakelijk spamverbod in werking getreden (net als het bel-me-niet-register voor telemarketing). Eerder op deze blog heb ik al eens opgemerkt dat ik mij niet kan vinden in de wijze waarop OPTA die nieuwe regels uitlegt. Inmiddels blijkt dat actueel. In het Financieel dagblad verscheen vorige week een opinierende tekst van mij hierover. In de Adformatie van deze week zal die opinie ook in iets aangepaste vorm worden opgenomen. In het juridisch periodiek Mr-online stond al een wat uitgebreider verhaal.

Dit is wat in Adformatie komt te staan: 

Continue reading »

Oct 112009
 

Op de website van de juridische glossy MR stond vorige week een wat uitgebreider verhaal over het zakelijk spamverbod en hoe advocaten daarmee om zijn gegaan. Wat mij verbaast is dat velen halsoverkop opt-in emailtjes hebben uitgestuurd, en daarmee de facto driekwart van hun emailbestand hebben afgeschreven. Merkwaardig en waarschijnlijk in veel gevallen niet echt nodig. 

Oct 062009
 

In April this year the article about the scope of the Dutch Data Protection Act was published in Privacy & Informatie. At the request of the Dutch Data Protection Authority we made a translation of the text, which can be used in international discussions about the interpretation of art. 4(1) of the privacydirective 95/46/EC (eg. the Art. 29 Working Party).