Wat deed u om 22.35 uur bij metrostation Maashaven te Rotterdam?

Indien u op 6 maart 2007 tussen 22.00 uur en 00.00 uur met uw persoonsgebonden ov-chipkaart op metrostation Maashaven of Heemraadlaan in of uit heeft gecheckt, dan bent u bekend bij het Openbaar Ministerie.

De officier van justitie te Rotterdam was namelijk op zoek naar de dader van een aanranding die na zijn misdaad de metro zou hebben genomen. En ja, dan is het heel handig als je precies weet wie er allemaal de bewuste metropoortjes zijn gepasseerd. Gegevens die het Openbaar Ministerie (OM) opvroeg bij Trans Link Systems (TLS), het bedrijf dat namens openbaar vervoerbedrijven het elektronisch betaalsysteem beheert.

Grotere kaart weergeven

Hoeveel mensen zouden in of uitgestapt zijn bij die metrostations? Vijftig, honderd, tweehonderd? Wie op zijn privacy is gesteld doet er dus goed aan gewoon een anonieme kaart te nemen. Maar verdacht is dat natuurlijk wel. ‘Zo, niemand mag dus weten wie u bent en waar u heen reist? Wat voert u in uw schild?’

Pasfoto’s

Dit speurderswerk van justitie is aan het licht gekomen dankzij Brenno de Winter. De journalist maakt geregeld gebruik van de Wet openbaarheid bestuur (Wob) om overheidsdocumenten op te vragen. Dit keer ontving hij een beschikking van de rechtbank in Rotterdam, terwijl hij om iets anders gevraagd had. “Bijvangst”, aldus De Winter op zijn blog BigWobber.nl. Dat gebeurt trouwens vaker, zo bleek vandaag nog. De Utrechtse activist Kees van Oosten ontving het declaratieoverzicht van de gemeentelijk coördinator luchtkwaliteit Hans Haarsma, terwijl ook hij om iets anders vroeg. Maar dit terzijde.

Interessant aan de beschikking is dat Trans Link Systems (geheimzinnige naam trouwens voor een bedrijf dat precies weet wie waar wanneer reist) heeft geprotesteerd tegen het verzoek van het OM. Naam, adres, postcode, woonplaats: die informatie werd zonder morren overgedragen. Maar pasfoto’s, dat weigerde TLS, met een beroep op de Wet bescherming persoonsgegevens (Wbp). “Een foto geeft informatie over het ras en soms de levensovertuiging van iemand en kan daarom niet zomaar gevorderd kan worden”, aldus De Winter op nieuwssite Nu.nl. Het is niet verrassend dat het OM die foto’s alsnog heeft gevorderd. Waarschijnlijk om het signalement te vergelijken. Maar TLS vond dat te ver gaan en is naar de rechter gestapt met de eis het beeldmateriaal niet te gebruiken en te vernietigen.

Negen verschillende privacy policies

Het stelt gerust dat TLS niet zomaar akkoord gaat met verzoeken van justitie. Maar wat zegt het privacybeleid van dit bedrijf eigenlijk?

“U bent niet meer anoniem zodra u zich bekendmaakt aan TLS. (..) TLS verwerkt persoonsgegevens voor beheerswerkzaamheden, zoals het uitvoeren van administratieve procedures, het zorgen voor een goede werking van het ov-chipkaartsysteem en het samenstellen van anonieme managementinformatie, die niet meer tot personen te herleiden is.”

En wie hebben er nog meer toegang tot de gegevens?

“TLS kan voor de verwerking van uw persoonsgegevens gebruikmaken van de diensten van derde partijen. Deze derden mogen uw gegevens alleen verwerken als ze zich aan de instructies van TLS houden.”

Maar daarmee zijn we er nog niet. Studenten met een ov-jaarkaart of andere mensen met een abonnement moeten een ov-chipkaart namelijk koppelen aan een dienst van een ov-bedrijf. Dat zijn Arriva, Connexxion, GVB, GVU, Hermes, Novio, RET en Qbuzz. Acht bedrijven dus. En binnenkort komen daar nog bij: HTM, Syntus, Veolia en de Nederlandse Spoorwegen. In totaal twaalf bedrijven met een eigen privacybeleid.

Niet aansprakelijk

Moeten deze ov-bedrijven het beleid van gegevensbeheerder TLS onderschrijven? Dat is niet helemaal duidelijk. “Naast de algemene basisafspraken heeft iedere partij een eigen privacybeleid”, zo verklaart ov-chipkaart.nl, een site van TLS. En op haar eigen site Translink.nl wordt over die diverse privacybeloften gemeld dat TLS geen enkele verantwoordelijkheid draagt. “TLS is niet aansprakelijk voor het privacybeleid van ov-bedrijven.” Wie precies wil weten wat er met zijn reisgegevens gebeurt, zal dus een middagje vrij moeten nemen om alle sites van ov-bedrijven waar hij aan verbonden is te doorzoeken op artikelen over privacy. Althans, als het er al op staat. Want op de pagina van Connexxion over de ov-chipkaart vind ik niets over privacybeleid. Zelfs niet bij de antwoorden op ‘veelgestelde vragen’. Alhoewel, één vraag over het ontvangen van reclame bij gebruik van de kaart komt in de richting. “Nee, dit gebeurt alleen als u dit op het aanvraagformulier heeft aangegeven.” Wie die optie aanvinkt kan dus misschien ook post verwachten van winkels die op de dagelijkse route liggen. Gelukkig bestaat er wel een overkoepelend document, een gedragscode die door alle ov-bedrijven wordt onderschreven. En voor de mensen met weinig tijd is er een versie zonder kleine lettertjes.

Discrepantie tussen privacyactivist en burger

Het is overigens niet verwonderlijk dat er niets over privacy staat in de rubriek veelgestelde vragen van Connexxion. Tegenover dagblad Trouw zei een woordvoerder van NS het volgende. “Wie doen er zenuwachtig over de privacy? De Nederlanders? Nederlanders zijn daar juist helemaal niet zo angstig over, blijkt telkens weer uit onderzoek. Er is een grote discrepantie tussen de activisten op het gebied van privacy en de gewone burger.” Kortom, als het de burger niets uitmaakt, waarom zouden ov-bedrijven dan hun best doen de privacy te bewaken? Laat staan hen erover te informeren.

Verplichte gegevensverstrekking

Wat gegevensbeheer betreft hebben we dus te maken met ‘derden’ én op dit moment acht bedrijven die ook over de gegevens op reispassen kunnen beschikken. Is er nog meer? Ja. “Daarnaast kan de situatie zich voordoen dat TLS wettelijk verplicht is om persoonsgegevens te verstrekken, bijvoorbeeld aan politie of justitie.” Het verzoek van het OM kwam dus niet uit de lucht vallen.

Dus mocht er in de toekomst zich weer eens een misdrijf voordoen rondom een station op uw route (wat niet geheel uitgesloten is), kijk dan niet raar op als de politie voor uw deur staat.

Gepubliceerd: NRC