Translink (en anderen): bescherm de persoonsgegevens die wij jullie toevertrouwen.

August 22, 2017
4

Duo (die de studiefinanciering afhandelt) blijkt aan Translink (de beheerder van het OV chipkaart systeem) reisgegevens van studenten met een OV chipkaart opgevraagd en gekregen te hebben om fraude met studiebeurzen te controleren. Zo wilde Duo controleren of studenten die zeggen uitwonend te zijn niet stiekem toch thuis wonen (en dus geen recht hebben op de hogere beurs voor uitwonenden, zoals die tot een paar jaar geleden nog bestond). Een student die gecontroleerd werd en op basis van zijn reisgegevens werd beschuldigd van fraude stapte naar de rechter. De rechter was het met de student eens dat Duo met deze vorm van fraudeonderzoek zijn privacy was geschonden.

Wat kunnen we hier van leren?

Artikel 8 van het Europese Verdrag van de Rechten van de Mens (EVRM) stelt dat de privacy van een burger alleen geschonden mag worden om een ander maatschappelijk belang (zoals veiligheid, economisch welzijn, etc.) te beschermen, als dat bij wet verplicht dan wel toegestaan is. Weliswaar mag een toezichthouder (zoals Duo dat is voor de uitvoering van de Wet of de Studiefinanciering) in bepaalde gevallen informatie opvragen voor het opsporen van fraude, maar nergens staat expliciet bij wet bepaald dat dat ook mag als het gaat om persoonsgegevens bij willekeurige derde partijen (zoals Translink).

De voorwaarden waaronder iemands privacy geschonden mag worden moeten dus duidelijk in een wet beschreven staan. En de processen die gebruikt worden om persoonsgegevens op te vragen en te verstrekken dienen deze voorwaarden te controleren.

Duo gaat buiten haar boekje door te proberen reisgegevens van studenten te verkrijgen. Maar in mijn ogen gaat vooral Translink hier volstrekt over de schreef. Translink zegt

Onze juristen hebben van Duo begrepen dat er een wettelijke grondslag is om bij ons gegevens op te vragen

Dat moeten ze niet aannemen, maar controleren! En een verzoek dat niet voldoende onderbouwd is moeten ze weigeren. Dat geldt helemaal voor een bedrijf als Translink dat de extreem gevoelige reisgegevens van miljoenen Nederlanders bewaard, voor maximaal achttien maanden.

Translink zou een voorbeeld moeten nemen aan de telecom aanbieders in Nederland. Voor het zetten van een telefoontap (en tot voor kort ook voor het beantwoorden van een verzoek om belgegevens zoals die bewaard moesten worden vanwege de Wet Bewaarplicht Telecommunicatiegegevens) controleren deze bedrijven de verzoeken nauwkeurig, voordat de gevraagde tap geplaatst wordt. Een informeel verzoekje wordt per kerende post geweigerd.

En dat zou een voorbeeld moeten zijn voor alle bedrijven die persoonsgegevens verwerken. Die persoonsgegevens zijn je toevertrouwd door je klanten. Daar moet je dus zorgvuldig mee omgaan. Het feit dat een vragende partij toezichthouder is betekent dus niet automatisch dat je verplicht bent om aan een verzoek om persoonsgegevens hoeft te voldoen. Soms moet dat wel, soms niet. Zorg er daarom voor dat er een duidelijk proces is, met een duidelijke procesverantwoordelijke, om met dergelijke verzoeken om te gaan. En informeer je uitgebreid over de voorwaarden waaronder je aan verzoeken tot inzage moet voldoen. En heb het lef om voor je klanten op te komen en niet valide of onduidelijke verzoeken te weigeren. Zoals SMSParking bijvoorbeeld, die weigerde aan de Belastingdienst de kentekens van alle geparkeerde auto's te geven.

Eigenlijk zouden we nog een stap verder moeten gaan, en veel meer dan nu het geval is het verzamelen en bewaren van persoonsgegevens moeten beperken. Door het toepassen van privacy by design is het mogelijk om dit te doen zonder de functionaliteit van het systeem te beperken. Zo is het prima mogelijk om een OV chipkaart, een parkeergarage, een afvalpasssysteem, etc. te maken zonder persoonsgegevens te verzamelen. Zo worden de privacyrisico's voor de burger kleiner. Dat is ook in het belang van de aanbieder: persoonsgegevens die je niet hebt kunnen ook niet opgevraagd worden. En als er niet om gevraagd wordt, hoef je er ook niet over na te denken, hoef je er geen proces voor in te richten, en kun je ook geen fouten maken.

Het wordt hoog tijd hier werk van te maken!

Naschrift: Translink heeft ook, zonder duidelijke juridische noodzaak, reisgegevens aan de Sociale Verzekeringsbank verstrekt.

En zoals Sheila Sitalsing terecht opmerkt: een studenten OV kaart is een abonnement waar het helemaal niet voor nodig is om reisgegevens van te administreren: je hebt immers toch al betaald! Daar was destijds bij de invoering van de OV chipkaart veel discussie over. Nu zien we helaas weer wie er gelijk had.…

In case you spot any errors on this page, please notify me!
Or, leave a comment.
Bart Jaspers
, 2017-08-22 21:21:29
(reply)

Graag: - een veilige link opnemen dan in de blog post, https://goo.gl/photos/zwBYKkDGPuRmMKdH8

  • een voorbeeld van hoe een gebruikers-token ook niet indirect tot een gebruiker is te herleiden?
Jaap-Henk
, 2017-08-23 09:49:07
(reply)

Veiliger is de link niet geworden, maar hij klopt nu wel ;-)

Wat je andere vraag betreft: je moet niet denken in termen van tokens, maar bijvoorbeeld aan attribuut gebaseerde credentials waarmee je kunt aantonen dat je een abonnement hebt (OV, zwembad, krant) zonder lijkbaar te zijn. Een andere privacy-by-design benadering is om het systeem decentraal in plaats van centraal in te richten. Bijvoorbeeld door alleen op de OV chipkaart zelf bij te houden waar je bent ingecheckt, en de betaling (anoniem) via de kaart af te handelen bij uitchecken.

Bart Jaspers
, 2017-08-23 16:16:48
(reply)

OK dank voor de link.

Ref. voorbeeld, betalingen móeten autoniem zijn in dit land. 1 van de redenen waarom “men” (de wetgever, de terrorisme-bestrijder, de overheid) niet van bitcoins houdt. Maw, er is altijd érgens een link tussen [reisbeweging] - [ov chip card] - [betaal-tx] - [debet-card#] - [IBAN] - [natuurlijk persoon].

Je neemt hier terecht een overheidsdienst de maat, maar vergeet niet dat iedereen met een smartphone real time zijn lokatiegegevens deelt met (buitenlandse) commerciële bedrijven als Google, Apple (en veel apps die weer op die telefoons draaien), telco’s etc. Natuurlijk gelden daar ook gebruiks- en privacyvoorwaarden - maar dáar zit mi veel meer privacy-dreiging dan bij een paar NL-overheidsdiensten.

Ik vrees dat we moeten wachten op homomorphic encryption, zo rond 2025.

Gilles Ampt
, 2017-08-24 08:16:46
(reply)

Hele goede en concrete suggestie om aldus Privacy by Design toe te passen. In 2008 heeft het Cbp in deze oplossingsrichting aan de Kamer geadviseerd in het kader van het wetsvoorstel Kilometerprijs (Rekening rijden). Anders ontstond het risico van een nationaal volgsysteem. https://www.autoriteitpersoonsgegevens.nl/sites/default/files/downloads/adv/z2008-01050_2.pdf