• Buro Jansen & Janssen is een onderzoeksburo dat politie, justitie, inlichtingendiensten, de overheid in Nederland en Europa kritisch volgt. Een grond-rechten kollektief dat al 30 jaar publiceert over uitbreiding van repressieve wetgeving, publiek-private samenwerking, bevoegdheden, overheids-optreden en andere staatsaangelegenheden.
    Buro Jansen & Janssen Postbus 10591, 1001EN Amsterdam, 020-6123202/06-34339533, info@burojansen.nl.
    Steun Buro Jansen & Janssen. Word donateur, NL56 INGB 0000 6039 04 ten name van Stichting Res Publica, Postbus 11556, 1001 GN Amsterdam.
  • Publicaties

  • Europa

  • Politieklachten

  • De Trein; Subtiele datahonger in het openbaar vervoer

    Het is een vrijdagmiddag ergens in januari, en de trein is vol. Niet alleen alle zitplaatsen zijn bezet, ook de gangpaden en balkons staan vol met opeengepakte forenzen. Het fluitsignaal klinkt, de deuren sluiten, maar de trein blijft staan. Men slaakt een zucht: de dag is al lang genoeg geweest, het is benauwd, oncomfortabel, en we willen naar huis. Dan klinkt de stem van de machinist: “In verband met mijn veiligheid zal deze trein niet vertrekken voordat het gangpad van de eerste klas is vrijgemaakt.” Verbazing onder de passagiers. Wat is dit nu? Ongenoegen vermengt zich met onvermogen. Zelfs als men zou willen, de mensen die in het gangpad van de eerste klas op elkaar staan geperst kunnen nergens heen. Minuten verstrijken totdat ook de conductrice zich via het omroepsysteem laat horen: “Wilt u in verband met uw en onze veiligheid het gangpad van de eerste klas vrij maken?”

    Uw en onze veiligheid. Ik kijk om mij heen en vraag me af op welke manier mijn veiligheid in het geding is. Als de trein zich uiteindelijk, met flinke vertraging, alsnog in beweging zet is het gangpad van de eerste klas voor zover ik kan zien nog even vol. Blijkbaar is het toch veilig genoeg. De binnendeur van de machinist komt uit op de eerste klas, en deze deur moet logischerwijs ook vrij blijven. Maar het hele gangpad? En als een noodgeval zo ernstig is dat de machinist als een haas de eerste klas uit moet, hoe zit het dan met de overige passagiers in de propvolle trein?

     

    De klantenservice

    Ik besluit een e-mail te sturen naar de klantenservice van de Nederlandse Spoorwegen, in de hoop wat duidelijkheid te krijgen over hoe het precies zit met veiligheid en een propvol gangpad. Een week later krijg ik een automatisch antwoord. Het is helaas niet gelukt binnen 5 werkdagen te reageren, met excuses, en men hoopt mijn bericht alsnog zo snel mogelijk te beantwoorden. Het is helaas een bekend fenomeen. De nadruk van de NS Klantenservice lijkt op social media te liggen. Een bericht op twitter wordt doorgaans binnen enkele minuten opgepikt door het webcare team, terwijl email dagen blijft liggen. Ik wacht af.

    Ruim een maand later heb ik nog steeds geen antwoord op mijn vragen over veiligheid in de trein. Wel krijg ik plotseling nog een geautomatiseerde email. Het frisse blauw en geel van de NS straalt me vanuit mijn mailbox tegemoet. De mail is ondertekend, met handtekening en al, door de manager operatie van de NS Klantenservice. Helaas geen inhoudelijke reactie, maar de vraag of ik mee wil doen aan een klanttevredenheidsonderzoek, naar aanleiding van mijn contact met de klantenservice. Een grote blauwe knop met de tekst “Ja ik doe mee!” lonkt. Dan bekijk ik de email wat nauwkeuriger. Ondanks het NS logo en de kleuren blijkt de email helemaal niet afkomstig van de NS, maar van Startonderzoek.nl, wat weer een schuilnaam is voor marktonderzoeksbureau MetrixLab.

     

    De privacywet

    Met de invoering van de nieuwe privacywet, de Algemene Verordening Gegevensbescherming, is er veel veranderd. Veel dingen die eerst waren toegestaan op het gebied van gegevensverwerking, zijn nu verboden of aan strenge regels gebonden. Dat is even wennen, voor veel bedrijven en organisaties. Zo moet iedere verwerking van persoonsgegevens plaatsvinden op basis van een wettelijke grondslag. Er zijn er zes. Een veelgebruikte grondslag is ‘toestemming’. Als je vraagt aan iemand of je zijn of haar persoonsgegevens mag verwerken, en die persoon stemt toe, dan mag het. Je moet dan wel precies uitleggen welke gegevens je verwerkt, en wat je er mee doet. Een andere veelgebruikte grondslag is ‘voor de uitvoering van een overeenkomst’. Bijvoorbeeld wanneer je een webshop hebt, en iemand besteld wat, dan mag je voor het uitvoeren van die bestelling adres en rekeningnummer verwerken. Om aan te geven hoe strikt de wet is: als je vervolgens ook het koopgedrag van je klant wil analyseren, dan heb je daar weer apart toestemming voor nodig.

    Terug naar de email van MetrixLab, met de uitnodiging voor het klanttevredenheidsonderzoek. De NS heeft blijkbaar mijn emailadres doorgegeven aan een marktonderzoeksbureau en heeft daarvoor aan mij geen toestemming gevraagd. Mag dat? Ik besluit hierover een email te sturen naar de Functionaris Gegevensbescherming van de NS, de persoon die wettelijk verantwoordelijk is voor deze zaken. Binnen drie dagen had ik een inhoudelijke reactie. Kijk, zo kan het ook.

     

    Gerechtvaardigd belang

    De NS maakt gebruik van externe onderzoeksbureaus, zo schrijft de Functionaris Gegevensbescherming. Met die bureaus sluit de NS verwerkersovereenkomsten af. Dat betekend dat de NS verantwoordelijk blijft voor de persoonsgegevens. Het is in feite, in juridische zin, alsof de gegevens nooit het kantoor van de NS verlaten hebben. Ze huren alleen iemand anders in om ermee aan de slag te gaan. De grondslag voor het verwerken van mijn emailadres, om mij die uitnodiging voor dat klanttevredenheidsonderzoek te versturen, is ‘gerechtvaardigd belang’. Aldus de functionaris.

    Ah. Gerechtvaardigd belang. Zoals ik eerder schreef zijn er zes grondslagen op basis waarvan persoonsgegevens verwerkt mogen worden. De grondslag ‘gerechtvaardigd belang’ is een beetje de bezemwagen van die zes. Wanneer de verwerking van persoonsgegevens noodzakelijk is om je bedrijfsactiviteiten te verrichten, dan is er al sprake van een gerechtvaardigd belang. Als voorbeeld noemt de Autoriteit Persoonsgegevens het voeren van een personeelsadministratie. Hoe algemeen dit ook klinkt, ook deze grondslag is aan regels gebonden. Zo moet het belang “rechtmatig en duidelijk verwoord” zijn. Daarnaast moet een afweging gemaakt worden tussen de belangen van de verwerker, en de belangen van de persoon. Het doel van de verwerking moet in verhouding staan tot de inbreuk op de privacy. Zo is het, om een extreem voorbeeld te noemen, niet toegestaan om iemands volledige medische dossier te verwerken alleen maar om een kortingsbon voor runderlapjes op te sturen. Er moet sprake zijn van proportionaliteit en subsidiariteit, zoals dat heet. De inbreuk moet proportioneel zijn voor het doel, en het mag niet zo zijn dat een lichter alternatief (waarbij de inbreuk kleiner is) ook afdoende was geweest om hetzelfde doel te bereiken.

    Nu leek de inbreuk, in dit geval, niet zo heel erg groot. Ze hebben mijn emailadres verwerkt, en wat dan nog? Aan de andere kant, het doel van de verwerking, dat klanttevredenheidsonderzoek, vond ik ook niet zo overtuigend. Wat is het gerechtvaardigd belang van de NS? Hoe noodzakelijk is dit om hun bedrijfsactiviteiten te verrichten? De primaire bedrijfsactiviteit van de NS is het tegen betaling vervoeren van mensen, en alhoewel dat niet helemaal zonder slag of stoot is gegaan die vrijdag in januari is dat uiteindelijk wel gelukt. De tevredenheid over de NS Klantenservice lijkt een stuk minder belangrijk, getuige ook het feit dat het meer dan een maand kost om een email te beantwoorden. Ik had er m’n vraagtekens bij, dit gerechtvaardigd belang, maar uiteindelijk is het aan de Functionaris Gegevensbescherming om de afweging te maken. Ik vroeg hem om toelichting.

     

    Transparantie

    Het toverwoord van de nieuwe privacywet: transparantie. Wees duidelijk over welke gegevens je verwerkt en waarom. Toestemming moet expliciet gevraagd worden, gebruikers moeten goed geïnformeerd zijn, privacy verklaringen moeten helder en in duidelijke taal geschreven zijn. En het gerechtvaardigd belang moet “rechtmatig en duidelijk verwoord zijn”. Mijn verbazing was dan ook groot toen de Functionaris Gegevensbescherming van de NS ronduit weigerde het gerechtvaardigde belang van de NS toe te lichten. Ik mocht ervan uit gaan dat als hij de afweging had gemaakt, tussen mijn belangen en die van de NS, dat het in orde was. Hij voelde zich niet geroepen die afweging met me te delen.

    De medewerker van de Autoriteit Persoonsgegevens, die ik belde om advies, deelde mijn verbazing. Ze verwees me naar het wetsartikel (artikel 13, lid 1, sub d) van de AVG waaruit blijkt dat de verwerker de betrokkene moet informeren over het gerechtvaardigd belangen. Ook interessant zijn de zogenaamde ‘guidelines’ van de Autoriteit Persoonsgegevens rondom transparantie (Groep gegevensbescherming artikel 29; Richtsnoeren inzake transparantie overeenkomstig Verordening (EU) 2016/679). Hieruit blijkt dat betrokkenen wel degelijk op verzoek informatie moeten krijgen over de afweging die er is gemaakt voor het gerechtvaardigd belang. “Dit is essentieel voor een doeltreffende transparantie wanneer betrokkenen twijfels hebben over de billijkheid van de gemaakte afweging of een klacht willen indienen bij een toezichthoudende autoriteit.”

     

    Verantwoording

    Na lang aandringen gaf de Functionaris Gegevensbescherming uiteindelijk schoorvoetend toe. De NS wordt door de staat verplicht om klanttevredenheidsonderzoeken te doen, zo schreef hij. In die zin is er dus wel degelijk een noodzaak. Daarnaast helpt het de dienstverlening te verbeteren. Uitsluitend de persoonsgegevens die nodig zijn voor dit doel worden verwerkt. Ze worden in bulk overgedragen aan MetrixLabs die vervolgens de uitnodigingen voor het onderzoek verstuurd. Een alternatief is er niet. De inbreuk is beperkt. Het belang gerechtvaardigd.

    Voor de zekerheid vroeg ik nog welke persoonsgegevens precies verwerkt werden om mij dat e-mailtje met die uitnodiging te versturen. De functionaris schreef: voorletters, achternaam, voorvoegsel, geslacht, telefoonnummer, klantnummer, geboortedatum, postcode, email en het registratienummer van het contact.

     

    Datahonger

    Wanneer je een treinabonnement, ov-chipkaart of E-ticket koopt bij de NS, verwerken ze contactgegevens, geboortedatum en bankgegevens. In het geval van een ov-chipkaart komt daar nog een pasfoto bij. Om ‘de relatie met u te kunnen onderhouden’ verwerkt de NS  transactiegegevens, reisgedrag, contacthistorie, klikgedrag en ‘afgeleide voorkeuren’. Volgens de Functionaris Gegevensbescherming maakt de NS gebruik van een Customer Relationship Management systeem (CRM) waarin vermoedelijk al deze gegevens samenkomen. Ondanks dat ik al jaren geen persoonsgegevens zoals geslacht of telefoonnummer meer met de NS deel weten ze deze informatie moeiteloos in hun CRM op te speuren en te koppelen aan mijn emailadres. Zolang je klant bent van de NS, heeft de NS een gerechtvaardigd belang om je gegevens te bewaren en te verwerken. Aldus de NS.

    De proportionaliteit is echter zoek. De afweging, dat gegevens zoals postcode en geboortedatum noodzakelijk zijn om een email te versturen over een klanttevredenheidsonderzoek, slaat nergens op. Wat dat betreft lijkt de NS, zoals wel meer bedrijven en organisaties, nog te moeten wennen aan de nieuwe realiteit van de Algemene Verordening Gegevensbescherming, de nieuwe privacywet. Ze verwerken persoonsgegevens in bulk, als vanzelfsprekendheid, en grotendeels onzichtbaar. Toen ik de uitnodiging voor het klantonderzoek ontving, had ik geen idee welke gegevensverwerking achter dit simpele e-mailtje schuilging. Dat is nu in ieder geval duidelijk. Nu nog hopen dat het iets minder kan.

    O ja, begin maart reageerde de NS Klantenservice uiteindelijk op mijn oorspronkelijke vraag. Treinstellen zijn veilig, het is belangrijk dat de deur van de machinist vrij blijft, en het treinpersoneel kan verder naar eigen inzicht en gevoel aanwijzingen geven. Met excuses als dit onaangenaam over is gekomen. Uw ervaring is doorgegeven aan de verantwoordelijke manager.