45PNBANNER22
Gefaciliteerd door Burgerrechtenvereniging Vrijbit

OV chipkaart

Nieuwe ronde in privacy-strijd tussen NS en treinreiziger

Naar aanleiding van drie nieuwe pogingen van Nederlandse Spoorwegen om de privacy van treinreizigers te schenden, heeft NS-klant Michiel Jonker deze week een handhavingsverzoek ingediend bij de Autoriteit Persoonsgegevens. Het betreft:

  • Het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan NS verstrekt;
  • Het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken;
  • Het in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.

Als reiziger die zijn privacy wilde behouden, verzocht Jonker herhaaldelijk aan de Autoriteit Persoonsgegevens om deze overtredingen te onderzoeken en handhavingsmaatregelen te nemen. Jonker won daarover reeds verschillende rechtszaken tegen de AP, die aanvankelijk weigerde de meldingen zelfs maar te onderzoeken. 

Bij de beoordeling van de nieuwe schendingen door NS zal de onlangs in werking getreden Algemene Verordening Gegevensbescherming (AVG) een belangrijke rol spelen. Een ander onderwerp dat centraal zal staan, is het recht op betaling met contant geld als wettig betaalmiddel dat tevens de privacy beschermt.

Jonker: “In al deze zaken gaat het om de vraag of gebruikers van het Nederlandse OV recht hebben op een reële, effectieve bescherming van hun privacy. Die vraag is actueler dan ooit, als je ziet hoe er met mensen wordt omgegaan in situaties waarin de privacy niet adequaat wordt beschermd....  Bijvoorbeeld Frankrijk met zijn permanente noodtoestand en Nederland met de Sleepwet.”

Jonker wordt ook in deze nieuwe zaak gesteund door Stichting Privacy First (www.privacyfirst.nl) en Maatschappij Voor Beter OV (www.voorbeterov.nl).

Bron; Persbericht PrivacyFirst


 

Nieuwe OV-faal: Chipkaart op mobiele telefoon is ‘volledig mislukt’

De proef om te reizen met de OV-chipkaart op de mobiele telefoon is volledig mislukt. Het systeem blijkt niet geschikt voor grootschalig gebruik en de stekker gaat 15 juni eruit. De mensen die reizen met hun mobiele telefoon krijgen deze week te horen dat het systeem plat gaat en dat ze weer een OV-chipkaart aan moeten schaffen. 

Het mislukte systeem kende uiteindelijk slechts 8000 gebruikers. KPN-klanten werden al na een paar dagen afgesloten, zo groot was de chaos.

Alles bij de bron; TPO


 

DUO mag reisgegevens van studenten opvragen voor fraudedetectie oordeelt de rechter

De Centrale Raad van Beroep, in deze zaak de hoogste rechter, heeft bepaald dat de Dienst Uitvoering Onderwijs, oftewel DUO, reisgegevens van studenten mag opvragen om fraude te bestrijden met uitwonende beurzen.

De CRvB schrijft dat het opvragen van de gegevens, in dit geval bij Trans Link, een privacy-inbreuk oplevert, maar dat deze voor het doel van fraudebestrijding niet zo ernstig is dat hij niet door de beugel kan. De inbreuk is beperkt omdat aan de hand van de gegevens 'niet alle gangen van de student worden nagegaan'. ..

...De rechter merkt echter ook op dat reisgegevens weinig waarde hebben als zelfstandig bewijs en dat de DUO ook nog ander bewijs zal moeten leveren dat een student daadwerkelijk op een ander adres woonde dan aangegeven. In de uitspraak staat: "Als zelfstandig bewijs zullen, behoudens bijzondere omstandigheden, reisgegevens niet voldoende zijn om aannemelijk te maken of aan te tonen dat een student niet woont op zijn brp-adres. Als aanvullend bewijs zijn reisgegevens bruikbaar, zij het dat de bewijskracht dan – meestal – beperkt is."

Alles bij de bron; Tweakers


 

Translink ziet inzien saldo met willekeurig ov-chipkaartnummer niet als probleem

Translink vindt niet dat er een probleem is als mensen via zijn online saldochecker het saldo van willekeurige ov-chipkaartnummers kunnen opvragen zonder authenticatie. Onderzoeker Loran Kloeze ontdekte dat dit mogelijk was via de ov-chipkaartsite. Translink antwoordt op vragen van Tweakers dat een saldo niet herleidbaar is naar een persoon en dat er daarom geen probleem is.

Tweakers deelde de bevindingen van beveiligingsonderzoeker Loran Kloeze met het bedrijf. Die schrijft in een blogpost dat het zonder authenticatie mogelijk is om het saldo van een ov-chipkaart via de onlinedienst op te vragen. Daar is naast het huidige saldo ook de laatste bijwerkdatum te zien. Kloeze stelt dat het redelijk eenvoudig is om een kaartnummer te achterhalen, omdat iedereen in het openbaar in- en uitcheckt. Hij suggereert het invoeren van een aanvullende authenticatiestap.

Kloeze schrijft bovendien dat het via de NS-site mogelijk is om via een ov-chipkaartnummer de bijbehorende geboortedatum te achterhalen. De NS heeft laten weten zijn bestelformulier dinsdagmiddag aan te passen zodat gebruikers zelf hun geboortedatum moeten invullen. Het bedrijf heeft daarnaast melding gemaakt bij de Autoriteit Persoonsgegevens.

Alles bij de bron; Tweakers


 

Translink deelde ook reisgegevens met Sociale Verzekeringsbank

Onlangs werd bekend dat Translinks zonder tussenkomst van de rechter reisgegevens van studenten aan het ministerie van Onderwijs verstrekte. De gegevens werden opgevraagd door de Dienst Uitvoering Onderwijs (DUO), die onderzoekt of studenten met hun basisbeurs frauderen door onjuiste informatie over hun woonadres op te geven. De overeenkomst tussen DUO en Translink werd op 28 augustus 2015 gesloten.

De rechtbank Den Haag oordeelde in mei van dit jaar dat het gebruik van reisgegevens op deze manier in strijd is met het Europees Verdrag tot bescherming van de rechten van de mens en de fundamentele vrijheden (EVRM).

Kamerleden van D66 hadden de staatssecretaris ook gevraagd of Translink vaker gegevens met derden deelt. Dat is volgens Dijksma inderdaad het geval geweest. Naast DUO vorderden ook de Sociale Verzekeringsbank (SVB) en een aantal gemeenten reisgegevens. Translink zegt dat het geen aantallen bijhoudt van de vorderingen en reizigers waarvan reisgegevens worden gevorderd worden hiervan niet door Translink op de hoogte gesteld.

Alles bij de bron; Security


 

Schending privacy: maar het kabinet blijft achter DUO staan

In de strijd tegen fraude met de basisbeurs mag DUO best reisgegevens van studenten opvragen, vindt minister Bussemaker van Onderwijs. Ook staatssecretaris Sharon Dijksma (Infrastructuur en Milieu) steunt de tactiek van de Dienst Uitvoering Onderwijs om kwaadwillende studenten te betrappen dankzij het gebruik van hun ov-chipkaart.

Sinds augustus 2015 heeft DUO 377 keer reisinformatie over studenten opgevraagd bij ov-chipkaartbedrijf Translink, schrijft Dijksma. In 307 gevallen bleek er sprake van misbruik van de basisbeurs voor uitwonenden. Het idee: als studenten dagelijks naar het adres van hun ouders reizen, kun je op je vingers natellen dat ze er nog wonen.

GroenLinks en D66 stelden schriftelijke vragen toen de Volkskrant over de opsporingsmethode schreef. De aanleiding was een verloren rechtszaak van DUO tegen een student: die vond dat DUO geen recht had om reisgegevens op te vragen. Sinds die uitspraak geeft Translink geen inzage meer.

Alles bij de bron; AdValvas


 

Security.nl interpreteert RvS uitspraak anders en stelt; Autoriteit Persoonsgegevens hoeft NS niet uitgebreid te onderzoeken. Eiser reageert persoonlijk.

Volgens website Security hoeft de Autoriteit Persoonsgegevens de NS niet uitgebreid te onderzoeken omdat treinreizigers met een anonieme OV-chipkaart geen voordeelurenkorting van het vervoersbedrijf krijgen, zo heeft de Raad van State deze week geoordeeld. Arnhemmer Michiel Jonker vroeg de Autoriteit Persoonsgegevens om tegen deze "privacy-discriminatie" handhavend op te treden, wat de toezichthouder weigerde.

Vorig jaar gaf de Rechtbank Gelderland Jonker deels gelijk en gelaste dat de AP de zaak alsnog serieus moest onderzoeken, maar verplichtte de Autoriteit Persoonsgegevens nog niet om handhavend op te treden. Zowel de toezichthouder als Jonker gingen in hoger beroep bij de Raad van State.

Reactie eiser Michiel Jonker;

Euh... Ik denk dat hier sprake is van een misverstand bij de redactie. Jullie schrijven: "Toch stelt de Raad van State dat de rechtbank de Autoriteit Persoonsgegevens niet mag verplichten om een uitgebreid onderzoek naar de NS in te stellen." 

Dat klopt niet. De Raad van State heeft gezegd dat de rechtbank de Autoriteit Persoonsgegevens NOG niet mag verplichten een (uitgebreid) onderzoek op grond van artikel 60 Wbp te doen. Echter, de Raad van State heeft ook gezegd dat de rechtbank terecht heeft geoordeeld dat het eerdere onderzoek van de AP niet uitgebreid genoeg was.

Dit is één van de eigenaardigheden van het Nederlandse bestuursrecht: soms mag een rechtbank een slecht besluit wel vernietigen, maar er nog geen goed besluit voor in de plaats stellen - dat laatste wordt het bestuursorgaan (de overheidsinstantie, in dit geval de AP) geacht vervolgens uit zichzelf te doen. En als de AP opnieuw niet voldoende onderzoek pleegt, of daaruit geen adequate conclusies trekt, dan kan de rechtbank straks het vervangende besluit opnieuw vernietigen, waarna de AP het voor de derde keer mag proberen. Enzovoort, enzovoort, in beginsel ad infinitum.

Deze merkwaardige eigenschap van de Nederlandse bestuursrechtsrechtspraak (een bijna panische angst van rechters om ook maar de geringste schijn te wekken dat ze op de heilige "stoel van de bestuurder" zouden gaan zitten) doet afbreuk aan de rechtsbescherming van Nederlandse burgers. Immers, het biedt bestuursorganen de ruimte om procedures langdurig te traineren en te compliceren als ze geen zin hebben zich aan de wet te houden.

Ik heb in mijn beroepschrift, en opnieuw in hoger beroep, voor deze gang van zaken gewaarschuwd, en de rechters gevraagd om uitspraken die mij als burger daadwerkelijk enige bescherming zouden bieden. De rechtbank heeft de redelijkheid daarvan een beetje ingezien en is er een klein beetje aan tegemoetgekomen - maar is op dat punt nu dus weer teruggefloten door de Raad van State.

Nederlandse bestuursrechters beschermen vaak bijna instinctief bestuursorganen tegen burgers, in plaats van andersom (zoals zou moeten). Ik vermoed dat dit te maken heeft met de poldercultuur en met de regentencultuur die nog uit onze Gouden Eeuw stamt: hoogmogenden houden elkaar waar mogelijk uit de wind. "Don't rock the boat - because it is a polder". Daaroverheen is in de Franse tijd (kort na 1800) een laag rationele wetgeving aangebracht volgens welke alle burgers als gelijken moeten worden behandeld. Maar een oude cultuur laat zich ook na tweehonderd jaar moeilijk beteugelen.

Toch blijkt uit de motivering van deze uitspraak van de Raad van State dat de RvS van de AP verwacht dat die zijn huiswerk nu beter gaat doen (of eigenlijk: reeds gedaan heeft in de vorm van het door de rechtbank opgedragen onderzoek). Dus ik verwacht dat als de AP in de volgende ronde opnieuw mijn handhavingsverzoek te makkelijk van tafel zou vegen, en ik daarna opnieuw in beroep zou gaan, de rechters dan minder lankmoedig jegens de AP zouden zijn (ik kan me natuurlijk vergissen...).

Probleem is dat de meeste mensen helemaal niet bestand zijn tegen zo'n uitputtingsslag. De stroperigheid van de procedure en de talrijke ontwijk- en "reparatie"-mogelijkheden die door rechters aan overheden worden gegeven, ondermijnen op die manier de effectiviteit van de rechtsbescherming van de zwakste partij, namelijk de burgers, waardoor die vaak niet eens meer proberen hun recht te halen.

De rechterlijke en bestuurlijke cultuur en de daaruit voortkomende jurisprudentie over procedures leveren op die manier strijd op met het door het EVRM vereiste "hoge, volledige en doeltreffende" beschermingsniveau op het gebied van de bescherming van de persoonlijke levenssfeer (artikel 8 EVRM). Het is een soort bestuurlijk-rechterlijke hindermacht die burgers ontmoedigt en afhoudt van hun recht.

Toch zullen de meeste toonaangevende Nederlandse bestuursrechters minzaam zeggen dat er niet zoveel aan de hand is ("Tut tut, u kunt zich beter niet zo opwinden..."), want als je als burger maar lang genoeg volhoudt, dan kun je (in ieder geval in theorie) toch tot je recht komen? Nou dan! Gaat u maar rustig slapen, wij waken wel over wat goed voor u is...

Ik ervaar deze zaak als waden door een zuigend moeras van goed gesalarieerde bestuurders en rechters. Of ik de overkant bereik, weet ik nog niet... Wordt vervolgd! 

Vriendelijke groet, Michiel Jonker

Alles bij de bron; Security


 

Treinreiziger uit Arnhem krijgt weer gelijk: AP moet v/d RvS meer onderzoek doen naar privacy-discriminatie ov-chipkaart

De Autoriteit Persoonsgegevens moest meer onderzoek doen naar de manier waarop de NS persoonsgegevens verwerkt. Dat heeft de Raad van State vrijdag bepaald. De zaak is aangespannen door treinreiziger Michiel Jonker uit Arnhem. Die kreeg van de rechtbank in Arnhem eerder al gelijk. En nu dus ook bij het hoogste rechtsorgaan.

Michiel Jonker wil zijn voordeelurenkorting behouden als hij met een anonieme chipkaart reist, maar de NS verbiedt dit. Sinds het papieren treinkaartje twee jaar geleden werd afgeschaft, geldt de korting alleen voor treinreizigers die inchecken met een persoonlijke ov-chipkaart. 

Jonker ziet niets in zo'n persoonlijke ov-chipkaart: hij is gehecht aan zijn privacy. 'Ik wil niet dat de NS weet waar en wanneer ik ergens naartoe ga.' Hij vindt het onrechtvaardig dat de anonieme reiziger geen voordeel krijgt, maar mensen met een persoonlijke ov-chipkaart wel. 'Dat is discriminatie.' Hij vroeg de Autoriteit Persoonsgegevens in te grijpen, maar die weigerde dat. 

Lees alles bij de bron; OmroepG'land