Ik hoop, verwacht eigenlijk zelfs, dat het CBP de handschoen oppakt en zich uitspreekt over deze, volgens mij onrechtmatige praktijken. Uiteindelijk zou natuurlijk de minister van Verkeer en Waterstaat de OV-bedrijven kunnen dwingen om zich te bekommeren om de persoonlijke levenssfeer van reizigers.
Stel privacy veilig bij verlenen concessie openbaar vervoer OV-bedrijven dreigen onnodig gegevens over reisgedrag van klanten te verzamelen
De Studenten OV-chipkaart is ingevoerd. Er is een weekkaart waarmee door de week ‘vrij’ kan worden gereisd, en er is een weekendkaart waarmee in het weekend ‘vrij’ kan worden gereisd. Als er vrij wordt gereisd, hoeft de reis niet te worden afgerekend. Het is dan dus niet nodig om gedetailleerd reisgegevens vast te leggen. Je zou dan ook verwachten dat de openbaarvervoerbedrijven in dat geval niet verlangen dat studenten in- en uitchecken op het station of in bus, tram en metro.
De werkelijkheid is anders. De openbaarvervoerbedrijven blijken te verlangen dat studenten altijd in- en uitchecken, ook als er vrij wordt gereisd. Enkele lokale vervoerbedrijven, zoals het GVB en de RET, gaan zelfs zover dat zij een boete van € 35 opleggen aan studenten die dat niet hebben gedaan. Ook als er vrij wordt gereisd willen openbaarvervoerbedrijven weten wie wanneer vanwaar waarheen reisde.
De redenen waarom laten zich wel raden. Het is bekend dat reisgegevens waardevol zijn. Er kan veel, heel veel geld mee worden verdiend, vooral door op basis daarvan gericht reclame te maken voor de eigen dienstverlening of die derden. Denk aan budget-stedentrips en kortingsacties voor pretparken, of speciale aanbiedingen voor hamburgermenu’s in de Burger King van station Leiden. En natuurlijk zijn de openbaarvervoerbedrijven er niet vies van om zo de winstcijfers op te poetsen. Je moet wat in tijden van crisis.
De vraag is natuurlijk of dat zomaar mag. En het antwoord is: natuurlijk niet. Wat dit betreft is de privacywetgeving duidelijk. Het is niet toegestaan zomaar persoonsgegevens te verzamelen. Dat mag alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden. Voorzover de gegevens niet nodig zijn voor de afhandeling van reistransacties, volgt uit de privacywet dat er voor het vastleggen daarvan ofwel ondubbelzinnige toestemming moet zijn ofwel dat er een belangenafweging heeft plaatsgevonden waarin ook gewicht is toegekend aan de belangen van de vrij-reizende reizigers. Waar het gaat om de Studenten OV-chip, en trouwens ook de gewone OV-chipkaarten is van geen van beide is sprake. De conclusie is dan ook dat het vastleggen van deze reisgegevens onrechtmatig is, want bovenmatig en onnodig.
Onze nationale privacywaakhond, het College Bescherming Persoonsgegevens, heeft zich nadrukkelijk bemoeid met de invoering van de OV-chip en de privacyimplicaties daarvan. En nog niet zo heel lang geleden stelde het zich op het standpunt dat reizigers niet, via prijsdwang of boetes, mogen worden gedwongen om meer reisgegevens af te staan dan nodig. Inmiddels is niet helemaal duidelijk of het college er nog steeds zo over denkt. In elk geval lijkt het vooralsnog niet echt van plan te zijn de openbaar vervoerbedrijven tot de orde te roepen. En daarbij is twijfelachtig of het college, gelet op zijn beperkte handhavingmiddelen, in staat is heel veel te doen.
De voor de hand liggende vraag is dan of er geen andere mogelijkheden zijn om de openbaarvervoerbedrijven zover te krijgen dat ze zich iets gelegen gaan laten liggen aan de privacybelangen van studenten en andere reizigers. Een tot dusver nog niet onderzochte mogelijkheid betreft de concessies en contracten op basis waarvan openbaarvervoerbedrijven werken. De concessies voor het openbaar vervoer worden verleend door overheden, vaak in open aanbestedingsprocedures zoals bij de busbedrijven en lokale vervoerders. In een enkel geval (lees: het spoor) wordt de concessie verkregen in een minder open procedure. In beide gevallen stelt de concessieverlenende overheid een pakket van eisen vast, waarna van de meedingende openbaarvervoerbedrijven wordt gevraagd aan te geven op welke wijze zij daaraan gaan voldoen.
Er is veel voor te zeggen om in het kader van zo een dergelijke concessieverlening voortaan nadrukkelijk van openbaarvervoerbedrijven te verlangen dat zij gaan voorzien in afdwingbare privacywaarborgen. Of wij willen of niet wij moeten ermee leven dat onze samenleving een informatiesamenleving is geworden. En daarin kan de kwaliteit van het openbaar vervoer niet meer worden afgemeten aan alleen de prijs per kilometer of betrouwbaarheid van de dienstregeling en het aantal beschikbare zitplaatsen. In het OV-chiptijdperk is minstens zo belangrijk dat openbaarvervoerbedrijven zich rekenschap geven van hun verantwoordelijkheid als verzamelaars van grote hoeveelheden privacygevoelige reisgegevens.