Enige tijd geleden zijn NS Reizigers B.V. en NS Group N.V. (hierna gezamenlijk: NS) in opspraak geraakt over de privacy die zij treinreizigers bieden. Het gaat om reizigers die gebruik maken van een voordeelurenabonnement. Het blijkt namelijk dat slechts gebruik kan worden gemaakt van deze kaart met een OV-chipkaart die op naam staat. Het gebruik van een anonieme OV-chipkaart is niet mogelijk. Dit betekent dat de NS de reisgegevens van de reiziger altijd bewaart als deze met korting wil reizen. De Autoriteit Persoonsgegevens (hierna: AP) zag hier geen probleem in. De rechtbank Gelderland wél. In dit artikel een korte uitleg over de zaak.

De bescherming van privacy komt in de praktijk veelal neer op de bescherming van gegevens over natuurlijke personen. Gegevens over het reisgedrag van mensen en hun locatie zijn dergelijke persoonsgegevens. Persoonsgegevens mogen niet zomaar overal worden opgeslagen en gebruikt, zo bepaalt de Wet bescherming persoonsgegevens (hierna: Wbp). Naast eisen over wanneer persoonsgegevens wel en niet mogen worden bewaard, geeft de wet normen over hoe er met de gegevens om moet worden gegaan. Een essentieel onderdeel van de bescherming van persoonsgegevens dient al terug te komen vóór de eerste verzameling van persoonsgegevens. Twee vragen moeten dan worden gesteld: ‘Slaan we niet te veel op?’ en ‘Kan het niet op een andere manier?’ Deze vragen gaan over de proportionaliteit en de subsidiariteit van de gegevensverwerking, beginselen die bij iedere gegevensverwerking moeten worden toegepast.

Juist deze vragen speelden in de zaak omtrent het voordeelurenabonnement van de NS. Moet de NS reisgegevens verwerken om korting te kunnen geven op een reis? Vóórdat de OV-chipkaart werd ingevoerd kon immers korting worden gekregen met een ‘zichtkaart’. De reiziger kocht dan een kaartje met korting en liet zijn kortingskaart zien wanneer hier om gevraagd werd. In de nieuwe situatie moet worden ingecheckt en kan alleen korting worden gekregen als het voordeelurenabonnement wordt gekoppeld aan een persoonlijke OV-chipkaart.

In ieder geval één persoon was het niet eens met deze werkwijze. Deze persoon vroeg daarom de AP om een onderzoek te doen naar de verwerking van persoonsgegevens door de NS. De AP wilde dit onderzoek niet uitvoeren. Er zijn volgens het AP geen aanknopingspunten gevonden dat sprake zou zijn van een overtreding van de Wbp. De NS heeft volgens de AP een grondslag om de reisgegevens te verwerken omdat dit noodzakelijk is voor het uitvoeren van de vervoersovereenkomst tussen de reiziger en de NS.

De betrokken persoon keert zich vervolgens tot de rechter. De rechter duikt in de materie van de voordeelurenabonnementen. Wordt er geen onevenredige inbreuk gemaakt op de belangen van de reizigers? Kan het doel, het verstrekken van korting aan de reizigers die hier vooraf voor betalen, niet op een andere manier worden bereikt? De rechter concludeert vervolgens dat AP deze vragen onvoldoende heeft onderzocht. Daarnaast heeft de reiziger die het geding begon ook enkele mogelijkheden genoemd hoe de NS korting kan verlenen op een manier die de privacy van de reizigers beter waarborgt. Volgens de rechter had de AP moeten onderzoeken of dit een goede en werkbare manier zou zijn. Nu dit niet is gebeurd, dient de AP het besluit tot afwijzing van het onderzoek opnieuw te nemen.

Naar aanleiding van het besluit van de rechter wordt het eerdere besluit van de AP dus vernietigd. De AP moet nu een nieuw besluit gaan nemen, vermoedelijk inhoudende dat alsnog onderzoek moet worden verricht naar de verwerking van persoonsgegevens door NS. Dit betekent niet dat de werkwijze omtrent het voordeelurenabonnement nu definitief van de baan is, maar wel dat extra onderzoek volgt.

Verwerkingen van persoonsgegevens vinden overal plaats. Niet alle gegevens mogen echter zomaar worden verwerkt. De beginselen van proportionaliteit en subsidiariteit worden hoog in het vaandel gehouden, zoals ook nu weer blijkt uit de uitspraak van de rechtbank. Het beste advies is om voorafgaande aan de eerste verzameling al een inschatting te maken van de proportionaliteit en subsidiariteit van de verzameling. Op deze manier wordt voorkomen dat een organisatie nodeloze investeringen doet in een techniek die achteraf in strijd met de Wbp wordt geacht.

De behandelde uitspraak is te vinden onder ECLI:NL:RBGEL:2016:4553