Toon items op tag: Autoriteit Persoonsgegevens

Recent waarschuwde Privacy First voor het kabinetsvoorstel Wet plan van aanpak witwassen waarmee een bancair sleepnet dreigt te worden ingevoerd. Vandaag stuurde Privacy First hierover onderstaande brief met bijbehorend memorandum naar de Tweede Kamer:  

Geachte Kamerleden,

Op 21 oktober jl. is door het kabinet het wetsvoorstel plan van aanpak witwassen ingediend.^[1] Op dezelfde dag waarschuwde de Autoriteit Persoonsgegevens in een nieuwsbericht “Nieuwe wet opent deur naar ongekende massasurveillance door banken”.^[2]

Stichting Privacy First is van mening dat het kabinet in het wetsvoorstel geen acht heeft geslagen op de eerdere kritiek van de Afdeling advisering van de Raad van State en de Autoriteit Persoonsgegevens. Het wetsvoorstel maakt een ongerechtvaardigde inbreuk op de grondrechten van Nederlandse burgers en dit voorstel hoort daarom geen wet te worden.

Het voorstel is onderdeel van regelgeving op het gebied van misdaadbestrijding (‘witwasbestrijding’) zoals opgenomen in de Wet ter voorkoming van witwassen en financieren van terrorisme (Wwft). De Wwft legt overheidstaken bij private ondernemingen zoals banken neer, zonder dat zorgvuldig is nagegaan of die private ondernemingen wel voor de beoogde taken geschikt zijn.

Het huidige voorstel voegt nieuwe onverstandige elementen aan de regelgeving toe:

• Het bancaire sleepnet.
• Een ‘navraagplicht’: de verplichting van Wwft-plichtige ondernemingen om bij hun concurrent navraag te doen naar criminaliteitsrisico’s bij ‘hoog risico’ klanten.
• Verwerking van strafrechtelijke en andere bijzondere persoonsgegevens door Wwft-plichtige ondernemingen.

Tegen al deze elementen heeft Privacy First grote bezwaren.

1. Bancair sleepnet

Volgens het voorstel van het kabinet zullen alle betalingstransacties die verlopen via Nederlandse banken^[3] worden geanalyseerd door middel van een aparte entiteit ten behoeve van de opsporing van criminaliteit (het constateren van ‘ongebruikelijke transacties’). Dit betekent dat van iedere burger en organisatie in Nederland een profiel zal worden opgesteld, waarmee wordt voorspeld of de rekeninghouder mogelijk een crimineel is. Daarmee is de gezamenlijke transactiemonitoring door de banken een bancair sleepnet dat een inbreuk is op de grondrechten van burgers. Zo’n inbreuk hoort goed te worden onderbouwd, echter, die onderbouwing ontbreekt.

Het voorstel is symptomatisch voor een ‘datagedreven’ overheid die meent dat maatschappelijke problemen alleen kunnen worden opgelost door het ongelimiteerd volgen en analyseren van burgers en via vele wegen verzamelen van gegevens over iedere burger. Privacy First vindt dat de overheid te optimistische verwachtingen heeft van de mogelijkheden van IT en de schaduwkanten onderschat.

Opvallend is dat in de memorie van toelichting wordt erkend dat het huidige systeem van criminaliteitsbestrijding door banken op grond van de Wwft niet werkt. Dat zou aanleiding moeten zijn om het hele systeem te heroverwegen en de grote bedragen die de banken nu aan detecteren van ongebruikelijke transacties besteden anders te gaan besteden. Helaas gebeurt dat niet.

Ons standpunt

1. Er is geen bewijs dat deze inbreuk op de financiële gegevensbeschermingsrechten van burgers gerechtvaardigd is en er voor zorgt dat de schade wordt verminderd die nu ontstaat door de criminaliteits­bestrijdingsactiviteiten door banken. Het bancaire sleepnet hoort er niet te komen.

En voor zover het sleepnet er wel zou komen:

2. Het sleepnet mag er alleen komen als de noodzaak is aangetoond en ook is aangetoond dat er geen alternatieven zijn en dat het sleepnet tot vermindering van de huidige criminaliteitsbestrijdingsschade leidt.

3. Er mag geen gegevensanalyse en profilering van natuurlijke personen (zowel consumenten als zzp’ers) plaatsvinden. (Als het niet anders kan, dan alleen boven een bepaalde drempel.)

4. Er dient volledige transparantie van overheid en banken te zijn inzake risico-indicatoren en de inzet van kunstmatige intelligentie. Ook de schade die wordt toegebracht door onnodige uitvragen moet worden gemeten. Er vindt onafhankelijke toetsing van de systemen en van de uitvoeringspraktijk plaats.

5. Er wordt gezorgd voor een adequate governance: de entiteit die de analyses uitvoert is onafhankelijk van de banken, houdt zich aan de Wet Normering Topinkomens en de Europese aanbestedingsregelgeving en betrekt de IT uitsluitend van Europese leveranciers.

6. De rechtsbescherming voor consumenten en mkb wordt verbeterd, zie hierna onder 4.

2. Navraagplicht

Het voorstel inzake de navraagplicht geldt voor alle ondernemingen die zich aan de Wwft moeten houden, dus van makelaar en boekhoudkantoor tot en met de banken en van eenmanszaak tot en met grootbedrijf. Bedoeling van het voorstel is dat in ‘hoog risico’ situaties navraag wordt gedaan bij collega’s uit dezelfde sector.

Privacy First is daar tegenstander van:

1. De categorie ‘hoog risico’ is veel te ruim, zodat daarvan vrijwel altijd sprake is. Veilig­heidshalve en uit angst voor boetes zullen Wwft-plichtigen zeer snel tot navraag overgaan.
2. Er ontbreekt een onderbouwing dat deze navraagplicht nuttig zou zijn voor alle soorten Wwft-plichtigen en alle soorten diensten.
3. Alternatieven zijn niet onderzocht.
4. In sommige sectoren zijn zoveel Wwft-plichtigen dat het doen van navraag onuitvoerbaar is.
5. In de financiële sector zal de navraagplicht leiden tot nog verdere beperking van de mededinging (die er nu al nauwelijks meer is, behalve voor sommige producten voor consumenten).

en in het onverhoopte geval dat de navraagplicht er komt:

6. De navraag dient beperkt te worden tot specifiek omschreven diensten, tot specifiek omschreven vermeende hoge risico’s en tot specifiek aangewezen Wwft-plichtigen. De afbakening wordt zorgvuldig getoetst.
7. Er dient een tijdsbepaling te worden opgenomen voor het navragen, aangezien sommige Wwft-plichtigen langdurige relaties met hun klanten hebben.
8. Het regelen van de uitwisseling tussen verschillende soorten Wwft-plichtigen (artikel 3b lid 6 voorstel) hoort niet in een algemene maatregel van bestuur maar in de wet thuis.
9. Zowel de cliënt als de betrokkenen dienen vooraf over de navraag te worden geïnfor­meerd alsmede over het vermeende risicoprofiel.
10. De rechtsbescherming voor consumenten en mkb wordt verbeterd, zie hierna onder 4.
    
    

3. Verwerking strafrechtelijke en andere persoonsgegevens

Privacy First acht het ongewenst dat alle soorten Wwft-plichtigen strafrechtelijke en andere persoons­gegevens mogen verwerken. Ons standpunt:

1. De verwerkingsnoodzaak voor ieder type Wwft-plichtigen moet worden onderbouwd en aangetoond.
2. Het dient alleen te worden toegestaan aan Wwft-plichtigen die gereguleerd zijn, een integriteitstoezicht kennen en aantoonbaar aan alle verplichtingen van de AVG voldoen.
3. Nadere gegevensbeschermingsregels horen niet thuis in een algemene maatregel van bestuur (zoals wordt voorgesteld) maar in de UAVG.
4. De rechtsbescherming voor consumenten en mkb wordt verbeterd, zie hierna onder 4.
   
   

4. Verbeterde rechtsbescherming voor consumenten en mkb

Op dit moment is de rechtsbescherming van cliënten van financiële instellingen – met name consumenten en mkb - onvoldoende.

Privacy First is van mening dat Wwft-plichtigen aan hun cliënten en de betrokkenen (in de zin van de AVG) verantwoording dienen af te leggen over het toegekende risicoprofiel en de wijze waarop zij het Wwft-cliëntenonderzoek uitvoeren.

Onafhankelijke rechter en financiële ombudsman

Het is gewenst dat geschillen­beslechting via de onafhankelijke rechter tot stand komt ten behoeve van consumenten en mkb (het Kifid kan ons inziens worden opgeheven^[4]), met bevoegdheid op het gebied van witwasbestrijding, kredietregistratie, zwarte lijsten en overige geschillen met financiële instellingen.

Verder is gewenst dat een onafhankelijke financiële ombudsman wordt ingesteld die op laagdrempelige wijze klachten over financiële instellingen en witwasbestrijdingsplichtigen kan ontvangen en onderzoeken kan instellen naar de praktijk van witwasbestrijding, kredietregistratie, zwarte lijsten en dergelijke.

Tot slot

Zie voor een meer uitvoerige toelichting ons memorandum (pdf) als bijlage bij deze brief (pdf).

Desgewenst zijn wij graag bereid om ons standpunt nader toe te lichten.

Hoogachtend,

Stichting Privacy First 

[1] https://www.rijksoverheid.nl/documenten/kamerstukken/2022/10/21/kamerbrief-bij-wetsvoorstel-plan-van-aanpak-witwassen

[2] https://autoriteitpersoonsgegevens.nl/nl/nieuws/nieuwe-wet-opent-deur-naar-ongekende-massasurveillance-door-banken

[3] Aangenomen mag worden dat in de toekomst betaaldienstverleners zullen worden toegevoegd.

[4] Bij Kifid ontbreekt de kwaliteit en de onafhankelijkheid. Dat blijkt onder andere uit de ernstige misslag in de zaak van de Accidental American, die door de geschillencommissie van Kifid werd veroordeeld voor valsheid in geschrifte, zie de uitspraak van 27 mei 2019, https://www.kifid.nl/wp-content/uploads/2020/07/Uitspraak-2020-630.pdf. Dit oordeel werd door de kort geding rechter meteen van tafel geveegd, zie ECLI:NL:RBMNE:2020:5647. De bodemrechter kwam daarna tot een ander oordeel, zie https://www.rechtspraak.nl/Organisatie-en-contact/Organisatie/Rechtbanken/Rechtbank-Midden-Nederland/Nieuws/Paginas/Volksbank-mag-rekeningen-onbedoelde-Amerikaan-niet-sluiten.aspx en laat zien dat Kifid diepgang mist.

Transactie Monitoring Nederland hoort er niet te komen

Sinds 2020 lopen de Nederlandse banken zich warm voor een gezamenlijke database waarmee alle financiële transacties van alle Nederlanders geanalyseerd zullen gaan worden. Doel van de analyse is om financiële criminaliteit op te sporen. Op 7 oktober jl. heeft het kabinet besloten dat er een wet zal komen die deze gezamenlijke misdaadopsporing van banken mogelijk moet maken.

Privacy First vindt dat geen goed idee. 

Misdaadbestrijding door banken

Al sinds 1994 hebben banken misdaadbestrijdingstaken op grond van Nederlandse wetgeving, die is gebaseerd op Europese regels. De regelgeving staat bekend als ‘witwasbestrijding’ en houdt in dat banken klantenonderzoek moeten doen naar al hun klanten, dus zowel naar organisaties en bedrijven als naar consumenten. Verder zijn banken verplicht om alle financiële transacties, klein en groot, te monitoren en na te gaan of er aanwijzingen zijn dat financiële middelen van een klant van misdaad afkomstig zijn. Als die aanwijzingen er zijn, moeten ze een melding doen aan FIU-Nederland (een onderdeel van de Politie), zodat er strafrechtelijk onderzoek kan worden ingesteld.

Die misdaadbestrijdingstaak is moeilijk uitvoerbaar voor banken, met als gevolg dat zij grote boetes van de overheid hebben gekregen. Verder kost het klantenonderzoekswerk de banken veel geld (de kosten worden aan de klanten doorberekend) en is er onvoldoende personeel dat in staat is om op een kwalitatief hoogwaardige wijze misdaad te detecteren.

Nu al gaat er het nodige mis met de uitvoering van deze taken door banken: mensen krijgen indringende vragen over betalingen en begrijpen niet waar de banken mee bezig zijn. In toenemende mate weigeren banken bankrekeningen te openen, met als argument dat het klantenonderzoek inzake de desbetreffende klant te duur zou zijn.

Dit alles was reden voor de banken om te pleiten voor gezamenlijke misdaadbestrijding via een eigen BV. 

Alle transacties in één database: Transactie Monitoring Nederland BV

De banken willen nu kosten gaan besparen door het klantenonderzoek ten behoeve van de misdaadbestrijding samen te doen via een in 2020 speciaal voor dat doel opgerichte BV, Transactie Monitoring Nederland BV (TMNL). Om mogelijk te maken dat alle transacties van Nederlandse banken door TMNL geanalyseerd kunnen worden is wetswijziging nodig.

Aanvankelijk werd er aan gedacht om de activiteiten van TMNL te legaliseren via het wetsvoorstel Gegevensverwerking door Samenwerkingsverbanden (WGS). De burgerrechtencoalitie die eerder met succes heeft gestreden tegen het Systeem Risico Indicatie (SyRI) heeft zich kritisch over WGS uitgelaten, zie het artikel Burgerrechtencoalitie: Eerste Kamer moet datasurveillancewet ‘Super SyRI’ afwijzen. Privacy First is tegen grootschalige financiële surveillance van alle burgers. 

Kritiek wordt genegeerd

Ook officiële overheidsadviseurs hebben zich gekant tegen het voorstel dat banken samen transacties gaan analyseren. De Autoriteit Persoonsgegevens was kritisch over de WGS. In januari 2021 bracht de Raad van State een kritisch advies uit waarin ze zich keren tegen de bancaire samenwerking en schrijven: 

De massale schaal waarop banktransacties gezamenlijk zullen worden gemonitord is ongekend en betekent een vergaande inbreuk op de vertrouwelijkheid van gegevens van burgers en bedrijven. Daarbij gaat het niet alleen om het recht op privacy. Deze monitoring kan ook leiden tot uitsluiting en discriminatie. De Afdeling advisering is van oordeel dat het niet is aangetoond dat deze gezamenlijke transactiemonitoring noodzakelijk en proportioneel is. Daarbij komt dat het wetsvoorstel geen passende rechtsbescherming biedt; ook deze wordt als het ware uitbesteed aan de banken. Het advies is dan ook de grondslag voor de gezamenlijke transactiemonitoring uit het wetsvoorstel te schrappen.

Ondanks de kritiek van de Raad van State wil het kabinet toch doorgaan met TMNL. 

Privacy First is mordicus tegen een sleepnet van de gezamenlijke banken over de complete financiële transactiegegevens van Nederlandse mensen, bedrijven en organisaties en roept iedereen op tegen dit kabinetsplan te ageren. 

Privacy First wil de komende tijd meer aandacht besteden aan financiële privacy. Lees ook de column van Ben van der Burg: Met vuur spelende data-uitwisselaars.

Onderstaande oproep verzond Privacy First vandaag aan de Tweede Kamer: 

Geachte Kamerleden, 

Met grote afkeuring heeft Stichting Privacy First kennisgenomen van de geplande invoering van coronatoegangsbewijzen voor de horeca, evenementen en culturele instellingen. Dit zal leiden tot een tweedeling in de samenleving, uitsluiting van kwetsbare groepen en massale schending van ieders recht op privacy. Hieronder zal Privacy First dit kort toelichten.

Zware inbreuk op grondrechten

Het coronatoegangsbewijs (“coronapas”) vormt een zware inbreuk op talloze grondrechten en mensenrechten, waaronder het recht op bescherming van de persoonlijke levenssfeer, fysieke zelfbeschikking, lichamelijke integriteit en de vrijheid van beweging in combinatie met andere klassieke mensenrechten zoals het recht op deelname aan het culturele leven en diverse kinderrechten zoals het recht op recreatie. Iedere inperking van deze rechten dient strikt noodzakelijk, proportioneel en effectief te zijn. Bij de coronapas is dit tot op heden echter niet aangetoond en wordt de vereiste noodzakelijkheid in het algemeen belang simpelweg verondersteld. Privacyvriendelijker alternatieven om de maatschappij weer te kunnen openen en normaliseren lijken nooit serieus te zijn overwogen. Reeds om deze redenen kan de coronapas de mensenrechtelijke toets niet doorstaan en dient daarom te worden ingetrokken. In dit verband herinnert Privacy First u tevens graag aan landen zoals Engeland, België en Denemarken waar een vergelijkbare pas bewust niet is ingevoerd of inmiddels weer is afgeschaft. In Nederland is de laatste dagen een groot gebrek aan maatschappelijk draagvlak voor de coronapas gebleken en hebben vele duizenden ondernemers reeds laten weten hier niet aan te zullen meewerken. Privacy First verwacht dan ook dat invoering van de coronapas zal leiden tot massale burgerlijke ongehoorzaamheid en kansrijke rechtszaken tegen de Staat.

Sociale uitsluiting

De invoering van de coronapas is bovendien in strijd met het algemene verbod van discriminatie, aangezien hierdoor een breed maatschappelijk onderscheid wordt geïntroduceerd op basis van medische status. Dit zet het sociale leven onder druk en kan leiden tot grootschalige ongelijkheid, stigmatisering, maatschappelijke segregatie en zelfs mogelijke spanningen, aangezien grote groepen in de samenleving zich (om uiteenlopende redenen) niet (of niet stelselmatig) zullen willen of kunnen laten testen of vaccineren, of een digitaal test- of vaccinatiebewijs zullen kunnen bemachtigen. Reeds tijdens onze Nationale Privacy Conferentie begin 2021 nam Privacy First het standpunt in dat de invoering van een verplicht “coronapaspoort” een maatschappelijk ontwrichtende werking zou hebben.[1] Bij die gelegenheid nam o.a. de Autoriteit Persoonsgegevens nadrukkelijk stelling tegen de invoering van een coronapas. De genoemde maatschappelijke risico’s gelden des te sterker voor de vaccinatiedwang die het coronatoegangsbewijs impliceert. In dit verband herinnert Privacy First u graag aan het feit dat zowel uw Kamer als de Parlementaire Assemblée van de Raad van Europa zich tegen een directe of indirecte vaccinatieplicht hebben uitgesproken.[2] Daarnaast zal de coronapas precedentwerking kunnen krijgen voor andere medische aandoeningen en andere maatschappelijke sectoren, waardoor een veel breder scala aan sociaal-economische mensenrechten onder druk zal komen te staan. Om deze redenen roept Privacy First u op om de invoering van de coronapas te blokkeren.

Meervoudige privacyschending

Vanuit het perspectief van het recht op privacy gelden tevens een aantal specifieke bezwaren en vragen. Allereerst introduceert de coronapas een verplicht “gezondheidsbewijs” voor deelname aan een groot deel van het maatschappelijk leven, in flagrante strijd met het recht op privacy en de bescherming van persoonsgegevens. Middels het verplicht tonen van een ID-bewijs naast de coronapas wordt een geheel nieuwe identificatieplicht in openbare gelegenheden gecreëerd. De bestaande anonimiteit in de openbare ruimte wordt daardoor opgeheven, met alle gevaren en risico’s van dien. Bovendien roept deze nieuwe identificatieplicht vragen op over de bevoegdheid van een ondernemer om de identiteit van een persoon vast te stellen en de gezondheidstoestand door middel van de coronapas te beoordelen.

De onderliggende wetgeving resulteert daarnaast in inconsequente toepassing van bestaande wetgeving op dezelfde handeling, namelijk het testen, met verregaande gevolgen enerzijds voor een belangrijk goed als het medisch beroepsgeheim en het vertrouwen van de burger in dat beroepsgeheim, en anderzijds voor de praktische uitvoering van bewaartermijnen terwijl de verwerking niet verandert. Niet het resultaat van de test moet immers bepalend zijn of de registratie van het testen onder de Wet op de geneeskundige behandelingsovereenkomst (Wgbo) valt (met daarop een medisch beroepsgeheim en een bewaartermijn van 20 jaar) of juist onder de Wet publieke gezondheid (met een bewaartermijn van 5 jaar), maar de handeling van het testen zelf. Bovendien is het de vraag waarom er juist aansluiting is gezocht bij Wpg en/of Wgbo nu het gaat om het verkrijgen van een bewijs voor deelname aan de maatschappij en het niet een medische behandeling (Wgbo) noch publieke gezondheidstaak voor dat doel betreft. Hier zou de enige mogelijkheid voor verwerking van persoonsgegevens ten behoeve van het verkrijgen van een coronabewijs en voor doorbreking van het medisch beroepsgeheim de grondslag toestemming moeten zijn. In dit geval kan er echter geen sprake zijn van de wettelijk vereiste vrijelijk gegeven toestemming, nu het testen en vaccineren een dwingende voorwaarde zal zijn voor deelname aan de maatschappij.

Privacy vereist duidelijkheid

Veel andere zaken zijn en blijven voortdurend onduidelijk: welke gegevens zullen worden opgeslagen, waar, door wie en in welke systemen, in hoeverre vindt internationale en Europese uitwisseling van gegevens plaats, welke partijen met welke doelen hebben toegang of kopiëren gegevens of zetten die in enorme nieuwe, nationale databases met onze gezondheidsgegevens? In hoeverre zal er sprake kunnen zijn van persoonlijke localisering en identificatie, of slechts van incidentele verificatie en authenticatie? Waarom kunnen testuitslagen onnodig lang worden bewaard? Hoe groot zijn de risico’s op hacking, datalekken, fraude en vervalsing? In hoeverre is er überhaupt met enige serieuze aandacht nagedacht over decentrale, privacyvriendelijke technologieën en privacy by design, open source software, dataminimalisatie en anonimisering? Hoe lang zullen testbewijzen kosteloos blijven? Wordt er reeds gewerkt aan de introductie van een “alternatieve digitale drager” naast de CoronaCheck app, namelijk een chip(kaart), met alle bezwaren en risico’s van dien? Waarom is er geen sprake geweest van een onafhankelijke Privacy Impact Assessment (PIA)? Hoe vaak moet het land nog accepteren dat nood- en spoedwetten lekkende privacygaten dichten, als onze overbelaste en onderbezette Autoriteit Persoonsgegevens al opmerkt dat er geen wettelijke grondslag voor verwerking is? Hoe zullen onvoorzien gebruik en misbruik, doelverschuiving (function creep) en profilering worden voorkomen en hoe is het privacy-toezicht geregeld? Zullen er altijd niet-digitale, papieren alternatieven beschikbaar blijven? Waarom wordt het “gele boekje” niet geaccepteerd als privacyvriendelijk alternatief, zoals dat in andere landen wel gebeurt? Wat gebeurt er op de diverse testlocaties met het afgenomen testmateriaal, oftewel ieders DNA? En wanneer zal de coronapas weer worden afgeschaft? Met andere woorden: in hoeverre is dit daadwerkelijk "tijdelijk”?

In de optiek van Privacy First zal invoering van de coronapas slechts tot onwerkbare belasting van ondernemers, talloze wantoestanden en grote maatschappelijke kapitaalvernietiging leiden. Privacy First verzoekt u daarom om invoering van de coronapas te blokkeren. Bij gebreke hieraan behoudt Privacy First zich het recht voor om de wetgeving ter invoering van de coronapas aan internationaal en Europees recht te laten toetsen en door de rechter buiten werking te laten stellen. De voorbereidingen voor een dergelijke rechtszaak worden door ons en vele anderen reeds getroffen. 

Hoogachtend, 

Stichting Privacy First 

[1] Zie Nationale Privacy Conferentie 28 januari 2021, https://youtu.be/asEX1jy4Tv0?t=9378, vanaf 2u 36 min 18 sec.
[2] Zie Council of Europe, Parliamentary Assembly, Resolution 2361 (2021): Covid-19 vaccines: ethical, legal and practical considerations, https://pace.coe.int/en/files/29004/html, par. 7.3.1-7.3.2: “Ensure that citizens are informed that the vaccination is NOT mandatory and that no one is politically, socially, or otherwise pressured to get themselves vaccinated, if they do not wish to do so themselves; ensure that no one is discriminated against for not having been vaccinated, due to possible health risks or not wanting to be vaccinated.” Zie tevens o.a. Tweede Kamer, Motie van het lid Azarkan over geen coronavaccinatieplicht (28 oktober 2020), Kamerstuk 25295-676, https://zoek.officielebekendmakingen.nl/kst-25295-676.html: “De Kamer (...) spreekt uit dat er in de toekomst nooit sprake mag zijn van een directe of indirecte coronavaccinatieplicht”; Motie van het lid Azarkan over toegang tot publieke voorzieningen voor iedereen ongeacht vaccinatie- of teststatus (5 januari 2021), Kamerstuk 25295-864, https://zoek.officielebekendmakingen.nl/kst-25295-864.html: “De Kamer (...) verzoekt de regering om toegang tot publieke voorzieningen voor iedereen mogelijk te maken ongeacht vaccinatie- of teststatus.”

Een eerdere, vergelijkbare versie van dit commentaar verscheen reeds in maart 2021: 
https://www.privacyfirst.nl/aandachtsvelden/wetgeving/item/1224-standpunt-privacy-first-inzake-concept-wetsvoorstel-testbewijzen-covid-19.html.

Als NGO die zich inzet voor burgerrechten en privacybescherming houdt Privacy First zich al jaren bezig met financiële privacy. Sinds 2017 volgen we de ontwikkelingen rondom PSD2 op de voet, waarbij we wijzen op de gevaren voor de privacy van consumenten. In het bijzonder richten wij ons op privacyvraagstukken die zich voordoen rond ‘account information service providers’ (AISP’s) en de mogelijkheden die PSD2 biedt om persoonsgegevens verder te verwerken.

Ons PSD2-project begon in 2017. Toen dachten we dat het verstrekken van meer adequate informatie en meer transparantie aan consumenten voldoende zou zijn. De risico’s van PSD2 bleken echter groter en fundamenteler. Daarom heeft Privacy First een tweetalige (Nederlandse & Engelse) website gelanceerd genaamd PSD2meniet.nl om zowel onze zorgen als onze oplossingen ten aanzien van PSD2 te schetsen.

Centraal in ons project staat het filteren van bijzondere persoonsgegevens door het PSD2-me-niet register. Dit idee is op 7 januari 2019 door ons gelanceerd in het televisieprogramma Radar en in dit persbericht. Het PSD2-me-niet-register moet gebruikers daadwerkelijk een instrument geven waarmee zij hun eigen persoonsgegevens kunnen beschermen. Op termijn moet verdergaande filtering en beperking mogelijk worden. Met dit project draagt Privacy First bij aan positieve verbeteringen van PSD2 en de implementatie ervan, om zo een betere bescherming van persoonsgegevens te bereiken. Hierbij zijn we gesteund door het SIDN Fonds.

Bescherming van bijzondere persoonsgegevens

Privacy First heeft zich in dit project vooral gericht op ‘bijzondere persoonsgegevens’. Betalingen aan vakbonden, politieke partijen, religieuze organisaties of LHBT-belangenorganisaties, of betalingen aan medische dienstverleners. Maar ook betalingen aan het CJIB: ze onthullen delen van ons leven die extra beschermd moeten worden. Deze gegevens zijn direct te relateren aan fundamentele mensenrechten. Wanneer een consument een rekeninginformatiedienst gebruikt kunnen deze gegevens breder gedeeld worden. Door PSD2 kunnen gegevens, die nu beschermd zijn, via een omweg toch breed bekend worden, bijvoorbeeld doordat ze opgenomen worden in een profiel. Of omdat ze gebruikt worden als zwarte lijst.

De beste bescherming is voorkómen dat bijzondere persoonsgegevens worden verwerkt. We hebben daarom een PSD2-me-niet register opgezet en daaromheen een API, een privacyfilter. Met dit filter kan een AISP rekeningnummers detecteren en filteren en zo voorkomen dat bijzondere persoonsgegevens onnodig verwerkt of verstrekt worden. Bovendien wordt een consument geïnformeerd en krijgt deze een echte keuze om gegevens te delen of dat niet te doen.

Hoe nu verder?

Een groot deel van onze resultaten hebben we vervat in een Whitepaper. Deze is verstuurd aan stakeholders zoals de Europese Commissie, de European Data Protection Board (EDPB) en de Autoriteit Persoonsgegevens. En natuurlijk zoveel mogelijk AISP’s, want als zij de maatregelen overnemen beschermen zij privacy ‘by design’.  Onze Whitepaper bevat daarnaast een aantal andere voorbeelden hoe privacy beter te beschermen. Zoals de ‘good practices’ om betere transparantie over rekeninginformatiediensten te krijgen. We hopen dat AISP’s de adviezen in onze Whitepaper ter harte zullen nemen.

Onze API is opgenomen in een dienstverlener, Gatekeeper for Open Banking. We steunen hun doorontwikkeling en denken mee hoe het privacyfilter opgenomen kan worden in hun ontwerp en dienstverlening. Wanneer AISP’s de Gatekeeper gebruiken krijgen consumenten de regie over hun data die zij verdienen.

Met de Whitepaper en de API hebben we de instrumenten ontwikkeld en verspreid die gebruikt kunnen worden door AISP’s. De Europese Commissie evalueert de PSD2 pas vanaf 2022. Daarom zijn we blij dat we op deze manier onze gedachten hebben kunnen overdragen.

Privacy First blijft dit dossier monitoren. Onze website PSD2meniet.nl blijft in de lucht en zal een basis blijven voor dit onderwerp.

Heb je suggesties of wil je weten hoe het verder gaat? Laat het ons weten via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.!

Politie doet aan 24/7 tracking van burgers

Stichting Privacy First heeft de bescherming van de privacy bij Burgernet beoordeeld en maakt zich grote zorgen. Privacy First roept de Tweede Kamer op om te onderzoeken of het systeem van 24/7 tracking van burgers door de Politie wel in overeenstemming is met de beginselen van onze rechtsstaat.

Burgernet is een samenwerkingsverband tussen politie, gemeenten en burgers met als doel meer en sneller criminele zaken op te lossen. Bij inbraak, beroving, of een vermist persoon krijgen app-gebruikers in de omgeving van het incident een bericht van de politie om relevante informatie terug te koppelen.

Deze manier van werken betekent dat Burgernet 24/7 de locatiegegevens van alle deelnemers registreert. Daar dient uiteraard zeer zorgvuldig mee om te worden gegaan vanuit de AVG en de grondrechten van burgers. Privacy First heeft bekeken of er binnen Burgernet wel sprake is van die benodigde zorgvuldigheid, maar constateert verschillende problemen.

Van wie is Burgernet eigenlijk?

De wet schrijft voor dat altijd helder moet zijn welke (rechts)persoon de persoonsgegevens verwerkt. Dat is bij Burgernet niet het geval. Burgernet zat o.a. in een BV, In-Pact BV, maar die is inmiddels, volgens de Kamer van Koophandel, opgeheven. Maar waarom staat deze niet-bestaande BV bij de Burgernet app in de Apple store dan nog altijd vermeld als provider?

De website https://www.burgernet.nl vermeldt uitsluitend dat het een samenwerking is van burgers, gemeenten en politie. Contactgegevens ontbreken en het privacy statement van Burgernet vermeldt hier evenmin iets over. Burgernet lijkt inmiddels van de Politie te zijn, getuige onder meer een recente brief[1] en antwoorden[2] van demissionair minister Grapperhaus op Kamervragen, maar dit wordt binnen de app of de website van Burgernet nergens vermeld.

Geen (afdoende) toestemming voor 24/7 tracking

Voor het registreren en verwerken van locatiegegevens moet toestemming worden gevraagd. De app van Burgernet vraagt inderdaad toestemming om berichten te kunnen sturen die relevant zijn voor de buurt waarin de deelnemer zich bevindt. Volgens de AVG is gegeven toestemming echter pas geldig als het gaat om een specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betreffende verwerking van persoonsgegevens wordt aanvaard. Privacy First meent dat eenieder die zich aanmeldt bij Burgernet moet worden verteld dat zijn/haar locatie door de Politie kan worden vastgesteld. Pas dan is er sprake van rechtsgeldige toestemming. Dat gebeurt nu echter nog niet.

Risico’s op ander gebruik van locatiegegevens

Het privacy statement van Burgernet vermeldt niet wat het doel is van de verwerking van persoonsgegevens, hoewel de AVG dat wel voorschrijft. Daarom is het niet duidelijk of Burgernet echt uitsluitend gegevens verzamelt en verwerkt ten behoeve van het versturen van alerteringen, of dat er meer mee gedaan wordt. De vraag rijst dan of de politie de locatiegegevens mogelijk ook voor andere doelen gebruikt. In dat verband valt op dat het privacy statement verwijst naar de Wet politiegegevens (Wpg). Dit doet vermoeden dat de persoonsgegevens mogelijk ook gebruikt worden voor andere politietaken. De politie kan in de verleiding komen om de locatiegegevens van de deelnemers van de Burgernet-app veel breder te gebruiken, zoals bijvoorbeeld bij voetbalrellen. Kan die goedbedoelende deelnemer aan Burgernet die daar toevallig in de buurt is, dan door gebruik van de app verdachte worden? En als dat zo is, volstaat dan een korte verwijzing naar de Wpg in het privacy statement? Privacy First meent van niet.

Niet voldaan aan het voorschrift van minimale gegevensverwerking

Burgernet geeft zelf aan dat er locatiegegevens verzameld worden met als doel om alleen relevante berichten te kunnen versturen. Het is onnavolgbaar waarom de app ook vraagt naar postcode en huisnummer; voor verzending van een alertering is iemands huidige verblijfplaats relevant, maar iemands privéadres in het geheel niet. Daarmee handelt Burgernet in strijd met het beginsel van dataminimalisatie. Daarnaast lijkt er binnen Burgernet geen Functionaris Gegevensbescherming te zijn, die hierop en op bovengenoemde zaken toezicht houdt.

Is het effect van dit alles behoorlijk beoordeeld?

De AVG schrijft ook voor dat bij gegevensverwerking waarbij nieuwe technologieën worden gebruikt, welke een hoog risico kunnen inhouden voor de rechten en vrijheden van natuurlijke personen, altijd een behoorlijke analyse moet worden verricht van de mogelijke effecten. Nu de Politie via de Burgernet-app grootschalig gevoelige persoonsgegevens verzamelt en verwerkt met 24/7 tracking van Burgernet-leden, is een behoorlijke risicoanalyse volgens Europees recht verplicht. Privacy First heeft niet kunnen terugvinden dat een dergelijke grondige risicoanalyse ten aanzien van deze app ooit heeft plaatsgevonden. Privacy First vermoedt dat, als dat wel was gedaan, de app er heel anders uit zou hebben gezien.

Oproep aan Tweede Kamer

Privacy First roept de Tweede Kamer op om zo snel mogelijk een onafhankelijk onderzoek in te laten stellen naar de vraag (van) wie Burgernet tegenwoordig is, welke gegevens verzameld worden en waarom. Hierbij moet worden onderzocht of er wel voldaan wordt aan de huidige wetgeving. Tot slot vraagt Privacy First zich af of de doelen van Burgernet binnen een rechtsstaat niet beter gerealiseerd kunnen worden door de persoonsgegevens weg te halen bij de Politie.

[1] Zie brief d.d. 1 april 2021, Stand van zaken functionaliteit Alertering Vermist Kind, Kamerstukken II 2020-2021, 29668-57, p. 2, https://zoek.officielebekendmakingen.nl/kst-29668-57.html.

[2] Zie Antwoorden op vragen van de leden Kathmann en Van Nispen over het stopzetten van AMBER Alert, 4 mei 2021, Aanhangsel van de Handelingen II 2020-2021, nr. 2595, https://zoek.officielebekendmakingen.nl/ah-979655.

Vandaag verstuurde Stichting Privacy First onderstaande brief (pdf) aan informateur Tjeenk Willink. Privacy First roept de informateur hierin op om bij de kabinetsformatie serieuze aandacht aan het onderwerp privacy te besteden: 

Geachte heer Tjeenk Willink,

Graag vragen wij hierbij uw aandacht voor privacy als noodzakelijk onderwerp binnen de gesprekken die door u en de partijen gevoerd worden.

De Coronacrisis waarin we momenteel leven heeft niet alleen veel geld gekost en de gezondheid van heel veel Nederlanders op het spel gezet, maar heeft ook het belang van goede bescherming van de persoonlijke levenssfeer van Nederlanders benadrukt. De CoronaMelder app en het datalek bij de GGD’en zijn pijnlijke voorbeelden van een gebrekkige bescherming van de persoonlijke levenssfeer en in deze gevallen meer specifiek de bescherming van persoonsgegevens. Andere voorbeelden zijn de talloze incidenten in de (semi)publieke en private sector, alsook de vaststelling[1] dat de meeste grote bedrijven in ons land zich bewust niet aan de (U)AVG houden.

Uit reacties in politiek en samenleving wordt de AVG onterecht en soms zelfs onrechtmatig gekarikaturiseerd als een stapel nieuwe, strenge maatregelen, die onhaalbare inspanningen van bedrijven (of overheid) vraagt en effectiviteit en efficiency bij overheid en ondernemers belemmert. Het zorgvuldig omgaan met persoonsgegevens is niet alleen een kwestie van normaal fatsoen: het is een fundamenteel recht, een mensenrecht.[2] De wettelijke voorwaarden waaraan organisaties moeten voldoen om dit recht te beschermen zijn bovendien voor bijna alle organisaties goed te realiseren. Zorgvuldige omgang met persoonsgegevens en respect voor het privéleven zal altijd uitgangspunt moeten zijn binnen organisaties en bij de ontplooiing van hun activiteiten. Dat kan doorgaans met redelijke inspanningen worden gerealiseerd, waardoor niet alleen aan de minimale eisen vanuit de wet wordt voldaan, maar bovendien wordt bijgedragen aan transparantie, vertrouwen en betere (klanten)binding met betrokkenen. Zeker wanneer privacy en gegevensbescherming worden gezien als onderdeel van een kwalitatieve dienstverlening. Sinds het van toepassing worden van de AVG, maar zeker ook in het afgelopen jaar waarin de gemiddelde Nederlandse burger zich steeds bewuster is geworden van het belang van de bescherming van de eigen persoonlijke levenssfeer, is het brede belang van privacy terechte aandacht gaan krijgen. Dit is een goed begin, maar er valt nog veel te leren en veel winst op verschillende vlakken te behalen; naast persoonlijk zeker ook economisch.

Het is daarom onze wens, aansluitend op de visie van onze stichting, dat het aankomende kabinet:

1. zich voldoende bewust is van het belang van bescherming van dit grondrecht en dit ook expliciet onderkent en uitdraagt;
2. hierbij zelf het goede voorbeeld geeft door haar eigen verantwoordelijkheden voldoende zorgvuldig in te richten;
3. hierbij de positieve effecten onderkent en praktisch vertaalt, volgend uit zorgvuldige omgang met persoonsgegevens van Nederlanders, vergelijkbaar met zorgvuldige omgang met hun (belasting)geld;
4. het bedrijfsleven en alle andere sectoren actief aanspoort en waar nodig en mogelijk dit ook te doen;
5. de Autoriteit Persoonsgegevens alsnog snel de ruimte en middelen biedt die nodig zijn om haar taken volwaardig te kunnen uitoefenen;[3]
6. de ambitie overweegt om op dit terrein van Nederland een internationaal voorbeeldland te maken door:
   1. als overheid heel transparant te zijn;
   2. open te staan voor leren van, investeren in en samenwerken met goede initiatieven;
   3. open te staan voor toetsing van wetgeving,
   4. waar nodig via rechtspraak en/of
   5. leidend tot aanpassing van nationale wetgeving of
   6. inzet tot aanpassing van Europese wet- en regelgeving.

Wij hopen dat u het belang van privacy en gegevensbescherming en de serieuze aandacht die hiervoor in ons land nodig is, deelt en in uw gesprekken in de informatiefase meeneemt. Voor concrete input per politieke partij verwijzen wij u naar het onafhankelijke rapport van de Datavakbond[4] waarin de standpunten uit de meeste partijprogramma’s op het gebied van privacy en informatieveiligheid zijn verzameld.

Hoogachtend,

Stichting Privacy First

[1] Zie o.m. https://fd.nl/economie-politiek/1379255/meerderheid-nederlandse-bedrijven-voldoet-na-drie-jaar-nog-niet-aan-privacywet, met als kanttekening dat wij stellen dat het bedrijfsleven in dit artikel de schuld te ver buiten de eigen verantwoordelijkheden legt, omdat zij dit voor veruit de meeste vraagstukken goed kunnen, maar vaak nog niet voldoende serieus oppakken.

[2] Het recht op de bescherming van privacy is o.a. vastgelegd in de Nederlandse Grondwet (art. 10), Handvest van de grondrechten van de Europese Unie (art. 7 en 8), het Europees Verdrag voor de Rechten van de Mens (art. 8) en het Internationaal Verdrag inzake Burgerrechten en Politieke Rechten (art. 17).

[3] https://www.trouw.nl/nieuws/autoriteit-persoonsgegevens-kampt-met-dramatische-achterstand-nog-10-000-klachten-op-de-plank~b808a335/.

[4] https://datavakbond.nl/?page_id=2725.

Met grote zorg heeft Privacy First kennisgenomen van het concept-wetsvoorstel testbewijzen covid-19. Onder dit wetsvoorstel zal een negatief corona-testbewijs verplicht worden voor toegang tot openbare gelegenheden, waaronder horeca, evenementen, sport en jeugdactiviteiten, culturele instellingen en waarschijnlijk ook een deel van het (hoger) onderwijs, e.e.a. op straffe van hoge boetes. Dit zet ieders recht op privacy onder druk.

Zware inbreuk op grondrechten

Het concept-wetsvoorstel vormt een zware inbreuk op talloze grondrechten en mensenrechten, waaronder het recht op bescherming van de persoonlijke levenssfeer, de lichamelijke integriteit en de vrijheid van beweging in combinatie met andere relevante mensenrechten zoals het recht op deelname aan het culturele leven, het recht op onderwijs en diverse kinderrechten zoals het recht op recreatie. Iedere inperking van deze rechten dient strikt noodzakelijk, proportioneel en effectief te zijn. Bij het huidige concept-wetsvoorstel is dit echter niet aangetoond en wordt de vereiste noodzakelijkheid in het algemeen belang simpelweg verondersteld. Privacyvriendelijker alternatieven om de maatschappij weer te kunnen openen en normaliseren lijken niet te zijn overwogen. Reeds om deze redenen kan het voorstel de mensenrechtelijke toets niet doorstaan en dient daarom te worden ingetrokken.

Sociale uitsluiting

Het voorstel is daarnaast in strijd met het algemene verbod van discriminatie, aangezien hierdoor een breed maatschappelijk onderscheid wordt geïntroduceerd op basis van medische status. Dit zet het sociale leven onder druk en kan leiden tot grootschalige ongelijkheid, stigmatisering, maatschappelijke segregatie en zelfs mogelijke spanningen, aangezien grote groepen in de samenleving zich (om uiteenlopende redenen) niet (of niet stelselmatig) zullen willen of kunnen laten testen. Ook tijdens de recente Nationale Privacy Conferentie van Privacy First en ECP bleek dat de invoering van een verplicht “coronapaspoort” een maatschappelijk ontwrichtende werking kan hebben.[1] Bij die gelegenheid nam o.a. de Autoriteit Persoonsgegevens hier dan ook nadrukkelijk stelling tegen. Dergelijke maatschappelijke risico’s gelden des te sterker voor de indirecte vaccinatieplicht die in het verlengde van het corona-testbewijs ligt. In dit verband herinnert Privacy First graag aan het feit dat recentelijk zowel de Tweede Kamer als de Parlementaire Assemblée van de Raad van Europa zich tegen een directe of indirecte vaccinatieplicht hebben uitgesproken.[2] Daarnaast zal het onderhavige concept-wetsvoorstel precedentwerking kunnen hebben voor andere medische aandoeningen en andere maatschappelijke sectoren, waardoor een veel breder scala aan sociaal-economische mensenrechten onder druk zal komen te staan. Om al deze redenen adviseert Privacy First het kabinet met klem om dit concept-wetsvoorstel in te trekken.

Meervoudige privacyschending

Vanuit het perspectief van het recht op privacy gelden bovendien een aantal specifieke bezwaren en vragen. Allereerst introduceert het concept-wetsvoorstel een verplicht “gezondheidsbewijs” voor deelname aan een groot deel van het maatschappelijk leven, in flagrante strijd met het recht op privacy en de bescherming van persoonsgegevens. Ook introduceert het concept-wetsvoorstel een identificatieplicht “aan de voordeur” bij openbare gelegenheden, in strijd met het recht op anonimiteit in de openbare ruimte. Het wetsvoorstel resulteert daarnaast in inconsequente toepassing van bestaande wetgeving op dezelfde handeling, namelijk het testen, met verregaande gevolgen enerzijds voor een belangrijk goed als het medisch beroepsgeheim en het vertrouwen van de burger in dat beroepsgeheim, en anderzijds voor de praktische uitvoering van bewaartermijnen terwijl de verwerking niet verandert. Niet het resultaat van de test moet immers bepalend zijn of het dossier onder de Wgbo valt (met daarop een medisch beroepsgeheim en een bewaartermijn van 20 jaar) of juist onder de Wet publieke gezondheid (met een bewaartermijn van 5 jaar), maar de handeling van het testen zelf. Bovendien is het de vraag waarom er in het huidige concept-wetsvoorstel aansluiting wordt gezocht bij Wpg en/of Wgbo als het hier enkel gaat om het verkrijgen van een testbewijs met als doel deelname aan de maatschappij (en dus geen medische behandeling noch publieke gezondheidstaak voor dat doel). Hier zou de enige mogelijkheid voor verwerking en voor doorbreking van het medisch beroepsgeheim de grondslag toestemming moeten zijn. In dit geval kan er echter geen sprake zijn van de wettelijk vereiste vrijelijk gegeven toestemming, nu het testen een dwingende voorwaarde zal zijn voor deelname aan de maatschappij.

Privacy vereist duidelijkheid

Veel andere zaken zijn nog onduidelijk: welke gegevens zullen worden opgeslagen, waar, door wie en wat zal er kunnen worden uitgewisseld? In hoeverre zal er sprake zijn van persoonlijke localisering en identificatie, of slechts van incidentele verificatie en authenticatie? Waarom kunnen testuitslagen onnodig lang (5 of zelfs 20 jaar) worden bewaard? Hoe groot zijn de risico’s op hacking, datalekken, fraude en vervalsing? In hoeverre zal er sprake zijn van decentrale, privacyvriendelijke technologie en privacy by design, open source software, dataminimalisatie en anonimisering? Zullen testbewijzen kosteloos blijven en in hoeverre zal er sprake kunnen zijn van privacyvriendelijke diversiteit en keuzevrijheid bij test-applicaties? Wordt er reeds gewerkt aan de introductie van een “alternatieve digitale drager” i.p.v. de CoronaCheck app, namelijk een chip, met alle risico’s van dien? Hoe zullen doelverschuiving (function creep) en profilering worden voorkomen en hoe is het privacy-toezicht geregeld? Zullen er altijd niet-digitale, papieren alternatieven beschikbaar blijven? Wat gebeurt er met het afgenomen testmateriaal, oftewel ieders DNA? En wanneer zullen de corona-testbewijzen weer worden afgeschaft?

Zolang dergelijke bezwaren en vragen onbeantwoord blijven, heeft indiening van dit wetsvoorstel überhaupt geen zin en zal het corona-testbewijs slechts tot maatschappelijke kapitaalvernietiging leiden. Privacy First verzoekt u daarom nogmaals om het huidige voorstel in te trekken en dit niet bij het parlement in te dienen. Bij gebreke hieraan zal Privacy First zich het recht voorbehouden om e.e.a. door de rechter te laten toetsen en onrechtmatig te laten verklaren.

[1] Zie Nationale Privacy Conferentie 28 januari 2021, https://youtu.be/asEX1jy4Tv0?t=9378, vanaf 2u 36 min 18 sec.
[2] Zie Council of Europe, Parliamentary Assembly, Resolution 2361 (2021): Covid-19 vaccines: ethical, legal and practical considerations, https://pace.coe.int/en/files/29004/html, par. 7.3.1-7.3.2: “Ensure that citizens are informed that the vaccination is NOT mandatory and that no one is politically, socially, or otherwise pressured to get themselves vaccinated, if they do not wish to do so themselves; ensure that no one is discriminated against for not having been vaccinated, due to possible health risks or not wanting to be vaccinated.” Zie tevens o.a. Tweede Kamer, Motie van het lid Azarkan over geen coronavaccinatieplicht (28 oktober 2020), Kamerstuk 25295-676, https://zoek.officielebekendmakingen.nl/kst-25295-676.html: “De Kamer (...) spreekt uit dat er in de toekomst nooit sprake mag zijn van een directe of indirecte coronavaccinatieplicht”; Motie van het lid Azarkan over toegang tot publieke voorzieningen voor iedereen ongeacht vaccinatie- of teststatus (5 januari 2021), Kamerstuk 25295-864, https://zoek.officielebekendmakingen.nl/kst-25295-864.html: “De Kamer (...) verzoekt de regering om toegang tot publieke voorzieningen voor iedereen mogelijk te maken ongeacht vaccinatie- of teststatus.”

Nederlandse privacy-activist wint Finse zaak over elektronische sleutels

Bewoners van appartementen in een flatgebouw hebben in beginsel het recht om onbespied hun eigen woning te betreden. Dat heeft de Finse privacy-autoriteit op 29 juli 2020 bevestigd in een zaak die was aangespannen door de Arnhemse privacy-activist Michiel Jonker. De installatie van een elektronisch systeem dat monitort met welke adresgebonden en gechipte sleutel op welk tijdstip welke deur wordt geopend, is volgens de Finse privacywaakhond Tietosuojavaltuutettu (Finnish Data Protection Ombudsman) in strijd met de AVG.

Het gaat om een Fins gebouw met kleine appartementen waarin zowel huurders als eigenaren wonen. In 2018 had de Vereniging van Eigenaren (VvE) besloten om het elektronische bewakingssysteem te installeren op alle externe ingangen van het gebouw. Het voornemen was om ook alle individuele appartementen aan te sluiten op het systeem. Het systeem wordt beheerd door een ingehuurd bedrijf en zou alleen in opdracht van de politie worden geraadpleegd, al dan niet op verzoek van het bestuur van de VvE.

Aanleiding vormden enkele incidenten waaruit volgens het bestuur bleek dat zich voormalige bewoners in de kelder van het gebouw hadden bevonden en daar sporen hadden achtergelaten. Het vermoeden was dat zij gebruik hadden gemaakt van niet-ingeleverde sleutels. Volgens het bestuur van de VvE werden er geen persoonsgegevens verwerkt, omdat de nieuwe, elektronische sleutels weliswaar adresgebonden waren, maar niet persoonsgebonden.

Jonker maakte bezwaar tegen het systeem en stelde dat de noodzaak voor een dergelijke monitoring niet was aangetoond. De VvE had geen wettelijke grondslag gegeven voor de gegevensverwerking. Ook waren de huurders niet geraadpleegd, waardoor een grote groep bewoners geen toestemming had gegeven. Jonker achtte de verwerkte gegevens wel herleidbaar tot personen, in het bijzonder in het geval van eenpersoonshuishoudens.

De Finse privacy-autoriteit stelde Jonker op al deze punten in het gelijk, en wees erop dat de Finse wetgeving met betrekking tot de besluitvorming van VvE's geen vrijbrief vormt voor besluiten die in strijd zijn met de AVG. Ook wees de autoriteit erop dat een verhuurder niet namens een huurder toestemming kan geven voor de verwerking van persoonsgegevens. Voorts wees de autoriteit erop dat een toestemming voor de verwerking van persoonsgegevens door elke betrokkene (ongeacht of dat een huurder of een eigenaar is) op elk moment kan worden ingetrokken, conform de AVG.

De autoriteit benadrukte dat het belang van een derde (bijvoorbeeld de politie) geen rechtvaardiging kan vormen voor gegevensverwerking die onder verantwoordelijkheid van de VvE plaatsvindt. Ten slotte wees de autoriteit erop dat de VvE ten onrechte geen alternatieven had onderzocht die geen of een minder grote inbreuk op de privacy plegen, daarbij inbegrepen een vervanging van analoge sleutels door nieuwe analoge sleutels.

De privacy-autoriteit gaf de VvE opdracht de omgang met persoonsgegevens in overeenstemming te brengen met de AVG.

Jonker: "Het was voor mij een vreemde, nieuwe ervaring om door een privacy-autoriteit in het gelijk gesteld te worden zonder tussenkomst van een rechter. In Nederland heb ik dat met de Autoriteit Persoonsgegevens nog nooit meegemaakt. Ook in Finland ging het trouwens niet zonder slag of stoot. Na twee jaar wachten op de behandeling van mijn zaak, heb ik daar een klacht ingediend bij de zogeheten Parlementaire Ombudsman. Enkele dagen daarna ging de Finse privacy-autoriteit er alsnog mee aan de slag, en nam twee maanden later een beslissing. Ook in Finland is er bij de privacy-toezichthouder een tekort aan personele capaciteit, waardoor de beslistermijnen van de AVG structureel niet worden gehaald. Maar ik ben tevreden over de inhoud van deze beslissing. Natuurlijk is het nu zaak dat de VvE de opdracht van de privacy-autoriteit ook daadwerkelijk gaat uitvoeren."

Contactverzoeken voor dhr. Jonker kunnen worden ingediend via Stichting Privacy First.

Klik HIER voor de volledige uitspraak van de Finse privacy-autoriteit (in het Fins).

Media:
https://www.security.nl/posting/666564/Finse+toezichthouder+noemt+elektronisch+sleutelsysteem+flat+in+strijd+met+AVG
https://frontpage.fok.nl/nieuws/835884/1/1/50/nederlandse-privacy-activist-wint-zaak-over-elektronische-sleutels.html
https://www.is.fi/digitoday/tietoturva/art-2000006600839.html (grote Finse tabloid)
https://www.hs.fi/politiikka/art-2000006601066.html (grootste krant van Finland en Scandinavië) 
https://www.kotitalolehti.fi/sahkolukko-seuraa-liikkeitasi-kuka-tallentaa-tiedot/ (vergelijkbaar met Nederlands tijdschrift Eigen Huis van VEH)
https://www.hameensanomat.fi/kanta-hame/tietosuojavaltuutettu-sahkolukkojen-keraamat-ovenavaustiedot-ovat-henkilotietoja-1451149/
https://www.tivi.fi/uutiset/taloyhtio-asensi-sahkolukot-mutta-mokasi-gdprn-kanssa-nain-paatti-tietosuojavaltuutettu/a7401466-c107-43f3-a3e9-86514efd28d4
https://www.tekniikkatalous.fi/uutiset/onko-teillakin-sahkolukkojarjestelma-tietosuojavaltuutettu-antoi-maarayksen-lainvastaisesti-toimineelle-taloyhtiolle/c868846a-15f5-4903-a8e1-339c3a726747
https://www.is.fi/digitoday/tietoturva/art-2000006616790.html

Een noodsituatie vergt noodmaatregelen. Daar zijn we ons terdege van bewust. Maar ook noodmaatregelen moeten proportioneel, transparant en toetsbaar zijn. En daar lijkt de Autoriteit Persoonsgegevens (AP) nu toch een belangrijke steek te hebben laten vallen. Omdat die haar goedkeuring heeft gegeven aan een problematische noodmaatregel, de zogenaamde ‘corona opt-in’, waarmee het medisch beroepsgeheim systematisch buitenspel wordt gezet. De medische privacy van alle Nederlandse burgers komt hiermee in gevaar.

Waar gaat het om? Ruim de helft van alle Nederlanders heeft nog geen toestemming gegeven om hun medische gegevens via het Landelijk Schakelpunt (LSP) te laten uitwisselen door zorgverleners. Daardoor is er een groot niemandsland van potentiële corona-patiënten waarvan huisartsenposten en ziekenhuizen niet weten wat hun medische achtergrond is. Terwijl ze daar wel behoefte aan hebben, als de nood aan de man komt. Vandaar dat ze aan het ministerie van VWS gevraagd hebben om daar iets voor te regelen.

Het ministerie van VWS heeft hiervoor de zogenaamde ‘corona opt-in’ bedacht. Een verwarrende term, omdat er door die maatregel juist géén expliciete toestemming (opt-in) meer vereist is; er wordt uitgegaan van een soort stilzwijgende toestemming dat je gegevens gedeeld mogen worden via het LSP. Tenzij je alsnog bezwaar maakt. De nieuwe praktijk wordt daarmee: wie zwijgt, stemt toe (opt-out). Wat wettelijk gezien gewoon niet mag.

De Autoriteit Persoonsgegevens vindt deze ‘corona opt-in’ niet bezwaarlijk, met dien verstande dat de patiënt nog wel even ter plekke toestemming moet geven. In haar reactie op het voorstel stelt de AP:
“Artsen op de huisartsenpost of spoedeisende hulp mogen alleen met toestemming van coronapatiënten het medisch dossier bij hun huisarts inzien via een elektronisch uitwisselingssysteem. Wie nog geen toestemming heeft gegeven, kan dat ter plekke doen. Dat mag in dit geval ook mondeling. Alleen als een patiënt niet in staat is om toestemming te geven, is inzage zonder toestemming toegestaan.”

Medisch beroepsgeheim massaal omzeild

Klinkt logisch en redelijk. Vooral ook vanwege de extra voorwaarden die de AP heeft toegevoegd, zoals: dat deze maatregel tijdelijk is, en dat de gegevens alleen ingezien mogen worden door de huisartsenpost of de spoedeisende hulp. Maar toch kleven er aan deze oplossing belangrijke bezwaren. We noemen er vier (maar er zijn er nog meer).

Ten eerste is er een technisch probleem. Je kunt als patiënt wel zéggen dat je toestemming geeft, maar dan kan de arts nog steeds niet in je dossier. Degene die je dossier moet ontsluiten is namelijk de huisarts die je medische gegevens heeft vastgelegd in zijn patiëntdossier. Deze noodmaatregel is nou juist bedoeld om het beroepsgeheim dat daarop rust te omzeilen. Hoe dit logistiek moet worden gerealiseerd, wordt niet helder uit de brief van de AP. Maar wie is ingewijd in de technische kant van het LSP, weet dat dit alleen maar kan door álle dossiers waarvoor nog geen toestemming voor uitwisseling is gegeven, alsnog te ontsluiten (via een update van huisarts-systemen). Een volkomen disproportionele maatregel. En ook nog bloedlink, getuige het tweede probleem.

Het tweede probleem is ook technisch van aard: de raadpleging van je dossier zou beperkt moeten blijven tot de zorgverleners die direct bij je behandeling zijn betrokken. Maar dat is in het LSP technisch niet mogelijk. Dit informatiesysteem biedt geen mogelijkheid tot gericht opvragen: het is alles of niets. In dit geval dus alles, oftewel iedere zorgverlener aangesloten op het LSP. Dat zijn tienduizenden potentiële ingangen voor hackers. De Eerste Kamer, die het LSP in 2011 unaniem verwierp, noemde het systeem daarom destijds “een dossier met duizend deuren aan de achterkant.”

Schijnzeggenschap

De ‘corona opt-in’ biedt daarmee slechts een schijnzeggenschap aan de patiënt – het derde bezwaar. Ongeacht of de patiënt toestemming geeft, zal diens dossier namelijk technisch al open staan voor raadpleging vanuit tienduizenden toegangspunten. De toestemming die patiënten volgens de AP moeten geven, is daarmee niets meer dan een holle formaliteit. Door in haar brief aan het Ministerie van Volksgezondheid ten onrechte te stellen dat deze toestemming een harde eis is om het dossier raadpleegbaar te maken, gaat de AP voorbij aan de verstrekkende technische implicaties van deze maatregel – en daarmee ook de juridische.

Daarmee komen we aan bij het vierde en overkoepelende bezwaar. De AP houdt officieel toezicht op de naleving van privacywetten, maar nergens in haar brief valt te lezen op welke wettelijke basis de ‘corona opt-in’ is gebaseerd. Evenmin wordt duidelijk waarom de AP van mening is dat de voorgestelde ‘corona opt-in’ een noodzakelijke en proportionele maatregel en dat dit probleem niet op een minder ingrijpende manier kan worden opgelost. Van een privacytoezichthouder in crisistijd mogen we een transparant en grondiger onderbouwd oordeel verwachten, waarbij bovenstaande gevolgen van de ‘corona opt-in’ expliciet worden meegewogen.

Toezicht op naleving van de privacywetgeving en de principes van het privacyrecht zijn de kerntaken van de AP, juist in crisistijd. Als iemand nu het hoofd koel moet houden en niet mee moet gaan in overhaaste crisismaatregelen met onoverzienbare gevolgen, is het de nationale toezichthouder op de privacy.

Platform Bescherming Burgerrechten
Privacy First
Humanistisch Verbond
Stichting KDVP

Dit gezamenlijke standpunt is eerder tevens gepubliceerd op https://platformburgerrechten.nl/2020/04/10/ap-sta-ons-bij/ en https://specifieketoestemming.nl/ap-sta-ons-bij/.

Autoriteit Persoonsgegevens weigert te onderzoeken of te handhaven

Op 6 maart jl. heeft OV-reiziger Michiel Jonker hoger beroep ingediend bij de Raad van State inzake de afwijzing van twee handhavingsverzoeken door de Autoriteit Persoonsgegevens (AP). In juli 2018 verzocht Jonker in twee handhavingsverzoeken de AP om onderzoek en handhaving inzake:

1. Het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan Nederlandse Spoorwegen (NS) verstrekt;
2. Het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken;
3. Het in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.
4. De weigering door vervoerbedrijf Connexxion van privacyvriendelijke, contante betaling voor eenmalige buskaartjes in de bus.

De AP weigerde deze inbreuken op de privacy serieus te onderzoeken, omdat volgens de AP een "globaal (bureau)onderzoek" reeds uitwees dat er geen sprake was van enige overtreding. Jonker bestrijdt dat, omdat er ofwel zonder aangetoonde noodzaak persoonsgegevens worden verwerkt (1, 2, 4), ofwel zonder aangetoonde noodzaak reizigers die hun privacy willen behouden, worden gediscrimineerd ten opzichte van reizigers die hun persoonsgegevens afstaan (3).

Met betrekking tot de verkoop van internationale treintickets (2) heeft Jonker in februari 2020 geconstateerd dat NS ter zitting van de rechtbank (op 16 december 2019) heeft gezwegen over het feit dat er bij veel internationale tickets die NS aan klanten verkoopt, sinds november 2019 wel degelijk van klanten geëist wordt dat zij hun naam en soms ook hun geboortedatum door NS laten verwerken in een digitaal systeem. Het eerdere "ATB-systeem" waarmee voorheen anoniem tickets konden worden verstrekt is toen uitgeschakeld, en nu moeten klanten verplicht met het zogeheten "Atlantis"-systeem een "Homeprint" aanschaffen.

Jonker: "NS vindt van zichzelf dat NS daar niet verantwoordelijk voor is, omdat dit in opdracht zou gebeuren van buitenlandse vervoerbedrijven. Maar NS is als verwerker wel mede-verantwoordelijk en moet zich aan de AVG houden. De AP heeft zichzelf eerst ten onrechte onbevoegd verklaard op dit punt. Toen ik dat had ontzenuwd, vond de AP opeens dat mijn handhavingsverzoek hier niet over ging. En de rechtbank zei vervolgens dat mijn handhavingsverzoek "te onbepaald" was, hoewel ik aan de AP specifiek materiaal had aangeleverd waaruit bleek dat het anonieme systeem zou worden uitgeschakeld. Ze draaien zich in duizend bochten om redenen te vinden om mijn handhavingsverzoek af te wijzen."

Om het risico te verminderen dat het ATB-systeem niet technisch ontmanteld wordt voordat de AP alsnog onderzoek heeft gedaan, heeft Jonker bij de Raad van State tevens een verzoek om voorlopige voorziening ingediend (een soort kort geding). Hij wil dat de rechter de AP opdraagt om de privacyvriendelijke infrastructuur van het ATB-systeem te beschermen zolang er nog geen onderzoek is gedaan. Het verzoek zal vooralsnog op 30 april 2020 door de Raad van State worden behandeld.

Bij Connexxion is volgens Jonker ten eerste niet aangetoond dat de "sociale veiligheid" op buslijnen in zijn regio gevaar loopt, en ten tweede is er volgens hem ook niet aangetoond dat het weigeren van contante betaling, als één maatregel in een pakket van 23 maatregelen, op die lijnen effect heeft op de veiligheid. Jonker: "Ze roepen het woord 'veiligheid' en vinden dat ze dan voor alle buslijnen in heel Nederland iets hebben aangetoond. Maar dan kan ik net zo goed gaan roepen dat alle CV-ketels gevaarlijk zijn en daarom moeten worden afgeschaft. Deze quasi-paranoia van een club van overheden en vervoerbedrijven die al onze persoonlijke OV-data in handen wil krijgen, wordt door de AP en de Rechtbank Gelderland klakkeloos geaccepteerd. Dat is in strijd met artikel 5 AVG, waarin staat dat er een noodzaak en een welbepaald doel moeten worden aangetoond."

Het volledige hoger-beroepschrift van Jonker staat HIER online (getiteld "Lof der individualiteit - privacy, connectiviteit en autoritair denken", 191 pp).

Jonker wordt in beide zaken gesteund door Privacy First en Maatschappij Voor Beter OV (www.voorbeterov.nl).

(door omstandigheden is dit bericht met vertraging gepubliceerd)

Update 26 juni 2020: de voorzieningenrechter bij de Raad van State heeft op 12 juni jl. uitspraak gedaan en Jonkers verzoek afgewezen. Voor de uitspraak, zie https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RVS:2020:1379. Jonker: "Het is jammer, maar in ieder geval heeft mijn verzoek om voorlopige voorziening ertoe geleid dat de voorzieningenrechter vragen aan NS heeft gesteld die de AP nooit wilde stellen. Uit het antwoord van NS blijkt dat er al in 2018 door NS en andere vervoerbedrijven een besluit is genomen om het privacyvriendelijke ATB-systeem voor ticketverkoop te gaan afschaffen. Vanwege het door mij betaalde griffierecht is het wel erg duur om als burger op die manier aan waarheidsvinding te moeten doen, omdat de AP haar taak op dat punt niet wil vervullen. Maar nu dit feit bekend is, kan ik dat meenemen in de bodemprocedure."

In de bodemprocedure heeft Jonker naar aanleiding van de uitspraak van de voorzieningenrechter op 22 juni jl. een nadere motivering ingediend, waarin de reikwijdte van zijn handhavingsverzoek centraal staat. Voor de tekst van die motivering, klik HIER (pdf).

Update 26 november 2020: de Afdeling bestuursrechtspraak van de Raad van State heeft aangekondigd drie hoger beroepen van Jonker inzake privacy in het openbaar vervoer ter zitting te zullen behandelen op maandag 8 februari 2021. Het betreft de volgende zaken:

- Contante betaling in de bus; AP en Connexxion (zaaknr. 2020-01625)
aanvang: 9:30u.

- Aanschaf internationale treintickets, restsaldo OV-chipkaart, servicekosten OV-chipkaart; AP, NS en mogelijk anderen (zaaknr. 2020-01629)
aanvang: 10:30u.

- Privacy-discriminatie bij OV-chipkaart; de-anonimisering van "anonieme" OV-chipkaart (zaaknr. 2019-07478)
aanvang: 11:30u.

Alle drie de zaken worden behandeld in het gebouw van de Afdeling bestuursrechtspraak aan de Kneuterdijk 22 in Den Haag.

Update 26 januari 2021: op 15 januari jl. heeft Jonker de motivering van zijn hoger beroepen aangevuld vanwege recente ontwikkelingen. In zijn aanvulling, getiteld "Bewegingscontrole en bewegingsbeperking", brengt Jonker naar voren dat een combinatie van attitudes bij vervoerbedrijven, de Nederlandse staat en sommige Nederlandse rechters het grondrecht van Nederlandse burgers dreigt uit te schakelen op bewegingsvrijheid met behoud van privacy, ook in situaties waar het niet nodig is dat grondrecht aan te tasten. Hij pleit voor een onafhankelijke rechterlijke toetsing waarbij de bedoeling van geldende wetten en verdragen wordt gerespecteerd.

Als gevolg van persoonlijke omstandigheden die verband houden met Covid-19, is Jonker verhinderd voor de geplande zittingen op 8 februari 2021. Hij heeft zich bereid verklaard om vragen van de Afdeling bestuursrechtspraak schriftelijk te beantwoorden.

Jonker: "Het is vervelend, maar het is niet anders. Ik hoop dat de Afdeling zelf naar wegen zoekt om het proces toch op een faire manier te laten plaatsvinden, mede met het oog op het maatschappelijke belang ervan."

Update 15 februari 2021: vanwege een falende video-verbinding op 8 februari jl. heeft de Raad van State de behandeling van Jonkers hoger beroepen tot nader orde uitgesteld.

Jonker: "Het is voor alle betrokkenen heel frustrerend. Ik begrijp het belang van een zitting waarin live van gedachten kan worden gewisseld. Als dat technisch niet lukt, ben ik persoonlijk bereid om, gezien de uitzonderlijke omstandigheden, schriftelijk te reageren op eventuele vragen van de Afdeling bestuursrechtspraak van de Raad van State, en op inbreng van andere partijen ter zitting, zoals die in de zittingsaantekeningen is vastgelegd. Het is in het belang van alle OV-reizigers dat de zaak niet voor onbepaalde tijd wordt aangehouden. Het is aan de Afdeling bestuursrechtspraak om te bepalen hoeveel uitstel de zaak kan verdragen, met andere woorden: op welk moment de rechtszekerheid van OV-reizigers vereist dat de behandeling op enige wijze wordt voortgezet. Zoals het gezegde luidt: justice delayed is justice denied..."

Update 8 juli 2021: de Afdeling bestuursrechtspraak van de Raad van State heeft op 5 juli jl. de drie hoger beroepen van Jonker over privacy in het OV behandeld in drie opeenvolgende zittingen. In elke zitting ging het over de weigering van de AP om (voldoende) onderzoek te doen en de weigering van de AP om handhavend op te treden:

Zitting 1: de weigering van contante betaling in de bus door Connexxion.

Zitting 2: drie inbreuken op de privacy door NS:
a) verwerking persoonsgegevens bij teruggave van restsaldo op "anonieme" OV-chipkaarten aan de eigenaar;
b) NS eist persoonsgegevens van reizigers die aan de balie een internationaal treinkaartje binnen de EU willen aanschaffen;
c) NS brengt extra service-kosten in rekening aan reizigers die aan de balie privacy-vriendelijk (en dus contant) willen betalen voor het opladen van hun "anonieme" OV-chipkaart.

Zitting 3: drie inbreuken op de privacy door NS:
a) ontbrekende anonimiteit van de tot voor kort als "privacy-vriendelijk" verkochte "anonieme" OV-chipkaart, en het bedrog van NS daarover totdat het uitkwam;
b) privacy-discriminatie van houders van een voordeelurenabonnement (VDU): zij krijgen geen voordeelurenkorting als zij reizen met een "anonieme" OV-chipkaart;
c) privacy-discriminatie bij de uitvoering van de regeling Geld Terug Bij Vertraging (GTBV): houders van "anonieme" OV-chipkaarten krijgen alleen hun geld terug als zij hun OV-chipkaart feitelijk de-anonimiseren, waardoor niet alleen de vertraagde reis, maar ook alle andere reizen door NS en/of TLS geregistreerd kunnen worden.

Jonker: "De zeven inbreuken op de privacy die in deze drie zittingen werden behandeld, geven een beeld hoe Nederlandse vervoerbedrijven gezamenlijk aan alle kanten proberen om de reisgegevens (plaatsen en tijden van de privé-reizen van mensen) buit te maken, en om het reizigers die hun privacy proberen te behouden, zo moeilijk mogelijk te maken. Dit wordt gestimuleerd door verschillende ministeries, andere overheidsinstanties (bijvoorbeeld het CBS) en allerlei en gremia uit het zogenoemde "maatschappelijke middenveld" (de polder). De Autoriteit Persoonsgegevens weigert ertegen op te treden. De data-roof is in volle gang. Het lijkt of ook rechters die niet willen stoppen. Mijn analyse van oktober 2019 dat er in Nederland sprake is van een conglomeraat van overheden en bedrijven dat reële privacy in het openbaar vervoer wil afschaffen, wordt op deze manier opnieuw bevestigd.

Als de Raad van State gaat oordelen dat deze willekeur van vervoerbedrijven bij het verwerken van persoonsgegevens is toegestaan, en die willekeur daarmee gaat legaliseren, dan is het duidelijk dat privacy in Nederland in rechte niet meer wordt beschermd en daarmee in de praktijk wordt afgeschaft. Het grondrecht op privacy is er dan niet meer. In plaats daarvan is privacy dan alleen nog een gunst die in sommige gevallen aan sommige mensen wordt verleend, met willekeur en op instrumentele gronden, bijvoorbeeld politieke of relationele gronden - maar aan andere mensen niet. De overheid en grote bedrijven mogen dan, zonder onze toestemming, ongehinderd tot diep in ons privé-leven doordringen en ons via die weg aansturen, belonen en straffen."

Een interview met Jonker, video-samenvattingen van de drie zittingen en de integrale video-opnamen van de zittingen zijn te vinden op de site van Potkaars: https://potkaars.nl/blog/2021/7/7/de-veronderstelling-dat-je-het-recht-hebt-anoniem-door-het-leven-te-gaan-ter-discussie-gesteld-door-de-ns

Media:
Volkskrant verslaggeverscolumn 6 juli 2021: Privacy bestaat niet meer, en dat lieten we zelf gebeuren 

Update 22 november 2021: op 10 november 2021 heeft de Afdeling bestuursrechtspraak van de Raad van State uitspraak gedaan in de drie hoger beroepen die Jonker had ingesteld tegen de weigeringen van de AP om handhavend op te treden tegen de aantasting van privacy in het openbaar vervoer:

- zaak OV-chipkaart: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RVS:2021:2509 

- zaak-Connexxion (contante betaling): http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RVS:2021:2511 

- zaak-NS 3e tranche (o.a. internationale treintickets): http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RVS:2021:2514.

De Raad van State verklaarde alle hoger beroepen op alle onderdelen ongegrond. Jonker geeft aan de uitspraken nog nader te zullen bestuderen wanneer hij "weer energie heeft verzameld", voordat hij definitieve conclusies trekt. Wel wil hij al het volgende kwijt:

Jonker: "Met deze uitspraken heeft de Raad van State het recht op privacy in het openbaar vervoer afgeschaft. Iedere individuele reiziger mag overal gevolgd en geregistreerd worden, zonder dat daarvoor een specifieke noodzaak hoeft te worden aangetoond. Het is bijvoorbeeld voldoende dat een vervoerbedrijf het zelf 'efficiënt' vindt om dat te doen. Volgens de interpretaties van de Raad van State biedt de AVG daar geen bescherming tegen. Artikelen 5 en 6 AVG zijn door de RvS op deze manier betekenisloos gemaakt. Nadat vervoerbedrijven zoals NS en Connexxion de privacy feitelijk al hadden afgeschaft, heeft de Raad van State dat nu achteraf voorzien van juridische goedkeuring en het daarmee gelegaliseerd. Ik heb in 2019 al een analyse aangeleverd aan de Tweede Kamer en de Raad van State over wat er met privacy in het OV aan het gebeuren is. Daar heeft de Tweede Kamer niets mee gedaan. Nu blijkt ook de Raad van State die analyse en mijn andere argumenten nagenoeg volledig te hebben genegeerd."

Gevraagd of dit voor hem persoonlijk een klap is, antwoordt Jonker: "Ja, althans in zoverre dat ik dit al enige tijd zag aankomen, zoals ik afgelopen zomer ook in een interview heb aangegeven. Het is goed dat de rechtszittingen op 5 juli van dit jaar integraal op video zijn opgenomen en gepubliceerd bij dat interview. Zo kan iedereen zelf zien tot welk bedroevend niveau de heren rechters zich op sommige momenten verlaagden. Het is me nu definitief duidelijk dat Nederland op wezenlijke punten, waaronder het grondrecht op privacy, geen rechtsstaat meer is. Vorige week was er in het nieuws dat de voorzitter van de Afdeling bestuursrechtspraak met veel bombarie 'oprechte excuses' aanbood voor het feit dat de Raad van State in de Toeslagenaffaire allerlei zaken had genegeerd. Zulke excuses vind ik volstrekt ongeloofwaardig en opportunistisch. Die worden alleen gegeven omdat de hoge rechters in die zaak betrapt zijn en het daar niet meer onder het vloerkleed kunnen vegen. Zoals de uitspraken in mijn hoger beroepen laten zien, denderen die rechters ondertussen gewoon door als uitvoerders van het machtsapparaat waar ze deel van uitmaken. Ik zie ze niet langer als rechters, maar als prelaten, bekleed met de arrogantie van de macht. Onze machthebbers willen dat wij geen reële privacy meer hebben, maar alleen nog genadebrood eten voor zover zij ons dat met hun gedigitaliseerde systemen toestaan, in de vorm van tijdelijke gunsten. Zo van: je moet erop vertrouwen dat wij jou nu eventjes niet zullen volgen, ook al hebben wij al onze beloften op dat punt in het verleden gebroken..."

Gevraagd wat hij nu verder gaat doen, antwoordt Jonker: "Ten eerste ga ik nu onderzoeken hoe ik me als individuele onderdaan - niet langer burger - het beste kan verhouden tot het feit dat we niet meer in een rechtsstaat leven. Zonder privacy is er geen werkelijke vrijheid, en wordt het moeilijker om onze vrijheid te verdedigen of te herstellen. Voor mij is dit een groot verlies. Ik zal waarschijnlijk ook steun zoeken bij geestverwanten, om te kijken of er mogelijkheden zijn voor het leggen van een basis voor een terugkeer van de rechtsstaat. Ik begrijp dat veel mensen zich hier niet erg druk om maken zolang er maar brood op de plank is en er van tijd tot tijd feest kan worden gevierd. Ik sta daar anders in, vooral ook met het oog op de langere termijn.

Ten tweede zal ik, wanneer ik mijn energie weer verzameld heb, kijken of het zinvol is om over deze drie uitspraken een verzoekschrift in te dienen bij het Europese Hof voor de Rechten van de Mens (EHRM). Er is mij al geadviseerd dat dat niet kansrijk is, omdat het EHRM tegenwoordig in veel gevallen dezelfde anti-rechtsstatelijke houding aanneemt als de Nederlandse Raad van State. 90% van de verzoekschriften wordt niet eens in behandeling genomen, en ik heb begrepen dat men in de burelen van het EHRM privacy-zaken soms ridiculiseert. Ze maken zich boos over wat er in Polen met het constitutionele hof aldaar gebeurt, niet omdat dat anti-rechtsstatelijk is - we hebben in Nederland niet eens een constitutioneel hof - maar omdat het niet in lijn is met de wensen van centrale machthebbers in de EU. Bij Polen of bij de Brexit en Noord-Ierland wordt er door de EU gezwaaid met het belang van 'the rule of law', maar voor de EU en het EHRM zijn de rechtsstaat en privacy in de praktijk vooral economische en politieke instrumenten, geen zelfstandige of intrinsieke doelen.

Ik zal proberen te kijken of het indienen van een verzoekschrift in die omstandigheden toch zinvol kan zijn, als signaal of ter documentatie voor later. Bijvoorbeeld om de verantwoordelijkheid voor de afschaffing van reële privacy-bescherming in het openbaar vervoer op alle juridische niveaus zichtbaar en aantoonbaar te maken."

Privacy First steunt Jonker indien hij besluit een verzoekschrift bij het EHRM in te dienen. 

Media:
Security.nl, 23 november 2021: Privacyactivist verliest hoger beroep over anonieme OV-chipkaart 
Tweakers, 23 november 2021: Autoriteit Persoonsgegevens hoeft van Raad van State niet op te treden tegen NS 
TechnologIE, privacy en recht, 10 december 2021: Privacy activist loses appeal over anonymous OV chip card! 

Update 2 maart 2022: op 25 februari jl. heeft Jonker een verzoekschrift verzonden naar het Europees Hof voor de Rechten van de Mens (EHRM, ECtHR), waarin hij naar voren brengt dat de drie uitspraken van de Afdeling bestuursrechtspraak van de Raad van State d.d. 10 november 2021 niet in overeenstemming zijn met artikel 8 en 14 van het Europees Verdrag voor de Rechten van de Mens (EVRM, ECHR).

Het Engelstalige verzoekschrift (een zogeheten "application") heeft als titel: "Public Transport - a Railroad to Surveillance?". In het verzoekschrift stelt Jonker het belang van materieel recht ("substantive justice") centraal. Als het Europese mensenrechtenverdrag alleen formeel en procedureel wordt geïnterpreteerd, wordt het recht op privacy niet adequaat beschermd. Jonker: "Het was een hele klus om het volgens de regels van het Europese Hof te doen. Uiteindelijk ging het om een pakket van 993 pagina's: het aanvraagformulier van 13 pagina's, een annex van 19 pagina's en de overige bijlagen: 961 pagina's - allemaal enkelzijdig afgedrukt en handmatig doorgenummerd. Ik hoop dat ik aan alle regels heb voldaan. Als het Europese Hof mijn verzoekschrift desondanks niet-ontvankelijk zou verklaren, dan zou dat duidelijk maken dat individuele Europese burgers in de praktijk geen toegang hebben tot het hof dat hun mensenrechten dient te beschermen. Ik hoop natuurlijk dat het hof ziet dat dit om een serieuze zaak gaat: de mogelijkheid voor Nederlandse en Europese burgers om met het openbaar vervoer te reizen zonder continu gemonitord te worden. Als wij geen China 2.0 willen worden, dan is openbaar vervoer met behoud van privacy van cruciaal belang."

Voor de tekst van Jonkers verzoekschrift, klik HIER (pdf). 

Media: 
TechnologIE, privacy en recht, 10 mei 2022: Dutch public transport - a railroad to surveillance?

Update 8 augustus 2022: na de uitspraak van de voorzieningenrechter op 12 juni 2020 (zie update 26 juni 2020 hierboven) diende Jonker op 20 juni 2020 voorzorgshalve een tweede handhavingsverzoek in met betrekking tot de door NS en buitenlandse vervoerbedrijven afgedwongen verwerking van persoonsgegevens bij de aanschaf van internationale treintickets binnen de EU en het Schengen-gebied. In april 2022 heeft de AP dit extra handhavingsverzoek in behandeling genomen en aan Jonker per brief o.a. gevraagd waarom die in deze zaak meent "betrokkene" te zijn in de zin van de Algemene Verordening Gegevensbescherming.

Jonker heeft daarop geantwoord bij brief van 7 mei 2022, waarin hij als bijlage ook de volledig uitgeschreven tekst opnam van een gesprek aan de stationsbalie op 20 februari 2020 waarvan door hem heimelijk een geluidsopname was gemaakt in bijzijn van een getuige. Voor de tekst van deze documenten (geschoond van bepaalde persoonlijke gegevens), zie HIER (pdf).

Bij brief van 21 juli 2022 heeft de AP Jonker in de gelegenheid gesteld om met een "zienswijze" te reageren op antwoorden van NS op vragen van de AP. Jonker heeft op 6 augustus 2022 deze zienswijze aan de AP toegestuurd. Voor de tekst van de zienswijze, zie HIER (pdf). 

Jonker: "Op dit moment lijken twee zaken centraal te staan. Ten eerste de vraag wie de verwerkingsverantwoordelijken zijn bij de afgedwongen verwerking van persoonsgegevens bij de verkoop van internationale treintickets. Ik ben er vrijwel zeker van dat dit de buitenlandse vervoerbedrijven zijn die de treinreizen aanbieden en aan de klant verkopen. Die bepalen immers welke persoonsgegevens er verwerkt worden. Dat betekent dat de AP in deze zaak zou moeten samenwerken met buitenlandse toezichthouders. NS lijkt dat te willen verhinderen en noemt zichzelf daarom verwerkingsverantwoordelijke voor alle internationale tickets, ook wanneer NS helemaal niet bepaalt welke persoonsgegevens er worden verwerkt.

De tweede vraag is wat nu het doel, de noodzaak en de wettelijke grondslag zijn voor de afgedwongen verwerking van de persoonsgegevens. NS wil mij een digitaal Homeprint-ticket in de maag splitsen, maar ik wil alleen maar een anoniem ticket kunnen kopen, zoals tientallen jaren lang normaal was - dat waren die stevige, papieren ATB-tickets. Het enige inhoudelijke argument wat NS daartegen inbrengt, is dat NS mij op elk tijdstip overal ter wereld wil kunnen informeren over treingerelateerde zaken - dus niet alleen op stations en in treinen, maar bij wijze van spreken ook in mijn eigen slaapkamer. Daarom vindt NS het nodig om te beschikken over mijn persoonsgegevens zodat ze mij via apps op mijn smartphone steeds kunnen benaderen. Dat noemt NS dan een gerechtvaardigd belang van NS. Nou, mooi niet.

Ik wil thuis of in mijn vrije tijd niet gestoord worden door NS. Ik gebruik niet eens een smartphone en wil dat ook niet. Maar ik wil wel in Europa met de trein kunnen, om mijn familie te zien en voor vakantie. En zonder overbodig gegluur door vervoerbedrijven en de stiekeme data-winkels die ze hebben opgezet."  

Update 25 augustus 2022: naar aanleiding van de door Jonker ingediende zienswijze heeft de SP (Renske Leijten en Mahir Alkaya) op 24 augustus jl. schriftelijke Kamervragen gesteld aan de minister van Infrastructuur en Waterstaat, zie https://zoek.officielebekendmakingen.nl/kv-1045732.pdf. 

De Kamervragen zijn des te actueler vanwege plannen van NS en andere vervoerbedrijven om een "OVpay"-systeem in te voeren waarmee reizigers in al hun bewegingen tot op een paar meter nauwkeurig kunnen worden gevolgd, en vanwege geruchten over plannen van NS om de laatste bemenste stationsbalies af te schaffen, waardoor een privacyvriendelijke aanschaf van tickets op nog weer een andere manier onmogelijk zou worden gemaakt.

Jonker: "Het begint meer mensen op te vallen dat de steeds verdere aantasting van privacy in het OV (en trouwens ook elders) op een samenhangende manier lijkt plaats te vinden. Privacyvriendelijke betaalmethoden worden overal afgeschaft of onaantrekkelijk gemaakt, terwijl mensen worden 'genudged' en onder druk gezet om hun privé-gedrag tot in detail te laten monitoren via digitale systemen. Ik ben verheugd dat twee volksvertegenwoordigers nu aandringen op duidelijkheid van de kant van de verantwoordelijke minister waar het gaat om het openbaar vervoer. De Tweede Kamer heeft aangegeven dat er altijd een analoog alternatief moet blijven voor digitale transacties. Zelfs de VVD heeft benadrukt dat de baliefunctie behouden moet blijven. Maar tot nu toe heeft de overheid allerminst naar die woorden gehandeld en menselijke dienstverlening juist zoveel mogelijk uitgefaseerd. Als concessieverlener aan de OV-bedrijven moet de Nederlandse Staat op dit punt nu eindelijk, na meer dan tien jaar wegkijken, eisen aan die bedrijven gaan stellen. Respect voor mensen moet weer centraal komen te staan in hoe onze maatschappij wordt ingericht. Alleen dan kunnen we ook op een respectvolle manier met onze omgeving omgaan."

Media:
https://www.security.nl/posting/765576/ (over de Kamervragen)
https://www.privacynieuws.nl/index.php/binnenlands-nieuws/ov-chipkaart (over OVpay)
https://www.security.nl/posting/763487/Landelijk+inchecken+met+betaalpas+in+openbaar+vervoer+uitgesteld+naar+2023 (over OVpay)

Update 6 oktober 2022: op 8 september jl. heeft het Europese Hof voor de Rechten van de Mens (EHRM) het verzoekschrift van Jonker niet-ontvankelijk verklaard en daarmee geweigerd de zaak in behandeling te nemen. Het hof motiveert deze beslissing summier: "Op grond van zijn jurisprudentie (...), in het licht van het materiaal waarover hij beschikt en voor zover de zaken waarover geklaagd wordt binnen zijn competentie vallen, is het Hof van oordeel dat deze niet aannemelijk maken dat er sprake zou zijn van een aantasting van de rechten en vrijheden zoals bedoeld in het Verdrag of de daarbij behorende Protocollen en dat er niet voldaan is aan de ontvankelijkheidsvereisten in artikelen 34 en 35 van de Conventie." (vertaling door Jonker)

Na het raadplegen van de jurisprudentie waarnaar het EHRM verwijst (twee eerdere uitspraken van het EHRM), spreekt Jonker van een "bizarre beslissing die de geloofwaardigheid van de rechtbescherming die artikel 8 EVRM heet te bieden, fundamenteel aantast". Uit de weigering van het Hof om deze zaak zelfs maar te in behandeling te nemen, blijkt volgens Jonker dat "de privacy van reizigers in het openbaar vervoer in het geheel niet wordt beschermd door de rechterlijke instantie die, als alle andere bescherming faalt, als enige nog een waarborg kan bieden, en ook moet bieden, dat artikel 8 van het EVRM daadwerkelijk wordt toegepast."

Het EHRM verwijst naar twee eerdere uitspraken in zaken die volgens het EHRM kennelijk "in wezen gelijk" zijn aan de door Jonker naar voren gebrachte zaak. Het lijkt of het EHRM de behandeling van Jonkers zaak om die reden niet nodig vindt en hem daarom niet-ontvankelijk heeft verklaard. De twee zaken waarnaar het EHRM verwijst, hebben beide betrekking op bedrijven die enkele werknemers hadden ontslagen na hen te hebben gemonitord en misdragingen te hebben geconstateerd. In die zaken kwam het EHRM tot de conclusie dat het ontslag, ondanks de heimelijke verwerking van persoonsgegevens, niet onrechtmatig was. Het EHRM lijkt het heimelijk monitoren van werknemers door hun eigen werkgever, op grond van concrete verdenkingen, gelijk te stellen aan het monitoren van de privé-reizen van miljoenen OV-gebruikers door vervoerbedrijven.

Jonker: "Het EHRM stelt het recht van een werkgever om zijn eigen medewerkers tijdens werktijd voldoende te controleren na een specifieke verdenking, ten onrechte gelijk aan een recht van een vervoerbedrijf om privégegevens van willekeurige reizigers te verzamelen, zonder dat die klanten van enige overtreding worden verdacht. Eigenlijk zegt het EHRM hiermee twee dingen: 1. OV-reizigers mogen qua gegevensverwerking behandeld worden alsof ze geen klanten van het vervoerbedrijf zijn, maar werknemers van dat bedrijf. En 2. OV-reizigers mogen qua gegevensverwerking behandeld worden alsof er op hen een concrete verdenking rust. Op deze manier blijft er van het recht op privacy natuurlijk niets over. Als iedere privépersoon mag worden behandeld als een verdachte werknemer, dan leven we in een surveillance-maatschappij. Artikel 8, tweede lid van het EVRM staat surveillance alleen toe voor zover die noodzakelijk is in een democratische samenleving. Dat wordt door het EHRM op deze wijze genegeerd."

Gevraagd wat de verklaring zou kunnen zijn voor deze beslissing van het EHRM, antwoordt Jonker: "Ik kan natuurlijk niet in het hoofd van de betreffende rechter kijken. Het enige waar ik op af kan gaan, is de summiere motivering en de jurisprudentie waarnaar verwezen wordt. Door de zaak niet eens in behandeling te nemen, maakt het EHRM het onmogelijk om hierover duidelijkheid te krijgen, want tegen deze beslissing staat geen rechtsmiddel open. Op deze manier maakt het EHRM natuurlijk een lachertje van het idee dat er sprake zou zijn van kenbaar recht. Maar als ik mag raden naar mogelijke redenen, dan zie ik er twee. Ten eerste denk ik dat het EHRM, met zijn enorme werklast en structureel gebrek aan personeelscapaciteit, heel pragmatisch zoveel mogelijk zaken niet-ontvankelijk wil verklaren, en dus naar redenen zoekt - desnoods voorwendselen - om dat te kunnen doen. Dus dan denkt zo´n rechter: waar vind ik jurisprudentie waarmee ik deze zaak terzijde kan schuiven? Wie zoekt zal vinden, en als zo'n rechter dan iets ziet wat op het eerste gezicht bruikbaar lijkt, dan denkt-ie: waarom niet? Dat het dan om een heel ander soort zaak gaat, maakt voor zo'n rechter dan niet uit, want de indiener van het verzoekschrift kan toch niets meer doen als de zaak niet-ontvankelijk wordt verklaard. Ik denk dat de directe reden voor de niet-ontvankelijkheidsverklaring heel oppervlakkig en pragmatisch kan zijn."

Een tweede mogelijke reden ziet Jonker in het feit dat een vervoersbewijs, bijvoorbeeld een treinticket, door de rechter wordt opgevat als een "contract" en om die reden wordt gelijkgesteld aan het arbeidscontract dat een werknemer heeft met zijn werkgever. Jonker: "Hier zie je de politieke doorwerking van het neoliberalisme in de opvattingen van rechters die onafhankelijk de wet zouden moeten uitleggen. Ze wensen niet meer te zien dat er een verschil is tussen een contract waarvoor een werknemer willens en wetens heeft getekend toen hij vrijwillig werk aanvaardde, en de algemene voorwaarden die een vervoerbedrijf eenzijdig heeft opgesteld en oplegt aan miljoenen OV-reizigers die afhankelijk zijn van het openbaar vervoer. Dit is tekenend voor de manier waarop de EU en kennelijk ook het EHRM een neoliberale logica hebben geïnternaliseerd die in strijd is met internationale verdragen zoals het EVRM. Ik heb in mijn verzoekschrift aan het EHRM op het misbruik van het contractbegrip gewezen en aangegeven dat er geen democratische noodzaak bestaat voor de betreffende aantastingen van de privacy. Ik heb aangegeven dat de Raad van State heeft geweigerd om de zaak rechtstreeks aan het EVRM te toetsen. Maar nu weigert het EHRM zelf óók om de zaak inhoudelijk aan het EVRM te toetsen. Tja, als het EHRM weigert mijn verzoekschrift te behandelen, dan kunnen er over het cruciale punt van de verhouding tussen een democratische noodzaak en de bepalingen in een door een bedrijf opgesteld contract ook geen argumenten worden gewisseld. Er ontstaat dan een juridisch stilzwijgen dat de weg vrijmaakt voor een voortzetting van het machtsmisbruik. Er is dan geen rechtsbescherming." Voor Jonkers nadere analyse van de door het EHRM genoemde jurisprudentie, zie HIER (pdf).

Gevraagd welke conclusies hij trekt uit de zaak, antwoordt Jonker: "Juridisch gezien is dit het einde van het verhaal. Ik constateer dat zowel Nederlandse rechters als het Europese mensenrechtenhof weigeren het grondrecht op privacy in het openbaar vervoer te beschermen. Als die rechters met steekpenningen omgekocht waren, had de uitkomst niet slechter kunnen zijn. Dit is slechts één voorbeeld van de manier waarop privacy in naam wordt gerespecteerd, maar in feite wordt geëlimineerd. Eén van de gevolgen daarvan is dat er van mijn vertrouwen dat we in een zogeheten 'rechtsstaat' zouden leven, weinig meer over is. Het recht - 'de rule of law' - is gereduceerd tot een retorisch middel om bepaalde politieke doelen te dienen."

Jonker vergelijkt wat er in de EU op dit moment met de privacy van inwoners gebeurt, met de drie Poolse delingen aan het eind van de achttiende eeuw. "Europese machthebbers wilden Polen niet alleen als reëel bestaande staat van de kaart vegen, maar probeerden na de laatste deling ook de herinnering aan wat Polen ooit geweest was, uit te wissen. Het duurde meer dan honderdtwintig jaar voordat Polen weer boven water kwam, in een nieuwe, andere vorm. Tegenwoordig vinden we het gedrag dat de grote Europese mogendheden destijds vertoonden, misdadig - kijk maar hoe we denken over Poetin en zijn huidige poging om Oekraïne op te delen. Misschien zullen we ooit op dezelfde manier kijken naar de manier waarop Europese machthebbers tegenwoordig onze privacy om zeep helpen, met collaboratie van rechters op alle niveaus. Die machthebbers en rechters zullen niet worden gestraft, net zo min als Catharina de Grote, de Habsburgers, de Pruisische vorsten en hun dienaren destijds werden gestraft om wat ze met Polen deden. Door het falen en de hypocrisie van zogenaamde vertegenwoordigers van de Europese rechtsorde, begin ik de laatste tijd meer begrip te krijgen voor mensen die de EU als een onderdrukker zien. Ik hoop bijvoorbeeld dat de Oekraïners, wanneer ze de Russische aanvallers eenmaal hebben verdreven, zich vervolgens niet van de weeromstuit met huid en haar aan een steeds imperialistischer EU zullen zullen overleveren, maar hun vrijheid, inclusief hun privacy, ook dan zullen verdedigen. Maar ik vrees het ergste."

Hij trekt een zuur gezicht. "Ik heb sinds het begin van deze zaak in 2014 consequent mijn zogenaamd anonieme OV-chipkaart gebruikt, terwijl ik jaarlijks ook 60 euro betaalde voor mijn dalurenkaart die 40% korting had moeten bieden, maar die door NS ongeldig werd verklaard in combinatie met de anonieme OV-chipkaart. Ik heb dus acht jaar lang 66% te veel betaald voor mijn treinreizen in de daluren, plus een abonnement dat NS mij niet toestond te gebruiken met behoud van privacy. Jaarlijks gaat het dan toch om enkele honderden euro's. Dat geld zal ik nooit meer terugkrijgen, dat is door NS gestolen. Dit is Nederland, een land van dieven met witte boorden."

Is dat dan het einde van het verhaal voor wat betreft privacy in het openbaar vervoer? Jonker: "Misschien nog niet helemaal. Naar aanleiding van één onderdeel van de zaak, namelijk het eisen van persoonsgegevens bij internationale treintickets, heb ik om juridisch-technische redenen in 2020 een tweede handhavingsverzoek ingediend. Inmiddels heeft de AP naar aanleiding daarvan een onderzoek gestart. Ook heeft de SP daarover recentelijk schriftelijke kamervragen gesteld aan de minister. Dat loopt dus nog. Maar gezien het ontbreken van Europese of internationaalrechtelijke rechtsbescherming, vraag ik me af of er voldoende politieke druk kan ontstaan om de privacy van internationale treinreizigers serieus te gaan nemen. En zelfs als dat gebeurt, zou dat niet meer zijn dan een druppel op een gloeiende plaat. Want de systematische, grootschalige privacy-schending met het Nederlandse OV-chipkaart-systeem, die wordt gewoon toegestaan - dat wil zeggen door de AP gedoogd en door de rechters gelegaliseerd of niet behandeld."

Gevraagd welke conclusies hij voor zichzelf trekt, antwoordt Jonker: "Ik heb in deze zaak de juridische weg tot het einde toe gevolgd, mede om te testen of er uiteindelijk nu wel of geen sprake is van rechtsbescherming op het gebied van privacy. Als je het als een experiment ziet, dan is de uitkomst na acht jaar procederen duidelijk: er is geen serieuze rechtsbescherming, de AVG en artikel 8 EVRM worden in de praktijk misbruikt als wassen neuzen. Er lopen nog een paar andere privacy-procedures, die wil ik netjes afmaken, maar ik verwacht er niet veel meer van. Als het recht faalt, blijft de politiek over. Maar ik ben geen politiek dier. En bovendien is het ontwikkelen van politieke kracht afhankelijk van het bewustzijn van mensen. Misschien dat ik op een bescheiden manier iets kan bijdragen aan privacy-bewustzijn."

Jonker zegt dat hij in één van zijn motiveringen aan de raad van State, op 29 april 2020, schreef over wat hij "de banaliteit van het derde kwaad" noemt. "Dat hoofdstuk eindigde als volgt: 'Dit derde kwaad, de sluipende eliminatie van humaan bewustzijn, kan niet op spectaculaire wijze bedwongen worden met tanks of raketten, maar alleen door middel van aanwending van individueel en collectief bewustzijn, de daaruit voortvloeiende collectieve wil, en de daar weer uit voortvloeiende wetgeving, rechtspraak en wetshandhaving.' Dus ik denk dat het zaak is om te werken aan nieuw bewustzijn als basis om uit te groeien boven de huidige, technocratische tunnelvisie. Het echte probleem is humanitair, niet technisch. Alleen door humaniteit centraal te stellen, kunnen we komen tot een herstel van een humane rechtsstaat. De afgelopen tweeënhalf jaar, sinds de coronacrisis, zijn er al enorm veel mensen wakker geworden over hoe we onze vrijheid en humaniteit steeds verder dreigen te verliezen. Dus ik denk dat er zeker een basis gelegd is die verder kan groeien. Of dat genoeg is om op dit punt een ramp te voorkomen, daar durf ik geen voorspelling over te doen. Het gaat erom nieuwe bronnen te vinden en tegelijk oude bronnen van humaniteit en recht te blijven kennen en respecteren."

Vindt hij dat niet een beetje zweverig en passief? Jonker: "Nee hoor. Het is een misverstand om te denken dat bewustzijn zou betekenen dat je niet meer bereid bent om ergens voor te knokken. Kijk naar Oekraïne. Daar is razendsnel een collectief bewustzijn gegroeid over humane en nationale waarden die men wil beschermen en verdedigen. Desnoods ook met geweld van wapenen. Ik hoop natuurlijk dat het hier in Nederland nooit nodig zal zijn. Maar dat kan ik ook niet uitsluiten. Je ziet dat onze huidige regering niet bijster geïnteresseerd is in redelijke argumenten. Maar als boeren met tractoren snelwegen blokkeren, dan neemt de interesse van onze regering in een dialoog opeens toe. Iets vergelijkbaars hebben we gezien met de Gele Vestjes in Frankrijk. Waarom is de Franse overheid wel bereid om alle Franse burgers effectief te beschermen tegen extreem hoge energieprijzen, terwijl de Nederlandse regering er tot voor kort indirect blijk van gaf hele bevolkingsgroepen voor de bus te willen gooien? Dat heeft alles te maken met die Gele Vestjes. Wie weet zullen er ooit gele, groene of paarse vestjes nodig zijn om onze privacy te verdedigen of terug te winnen." 

Update 18 januari 2023: de op 24 augustus 2022 door de SP gestelde Kamervragen (zie hierboven bij update 25 augustus 2022) zijn blijkens de website van de Tweede Kamer op 21 november 2022 beantwoord. Voor de antwoorden, zie HIER (pdf). De betreffende bewindslieden stellen zich kort samengevat op het standpunt dat vervoerbedrijven persoonsgegevens van OV-reizigers mogen verwerken tenzij de AVG dat verbiedt.

Jonker: "Dat is de omgekeerde wereld. De regering neemt op deze wijze geen enkele verantwoordelijkheid voor het adequaat beschermen van de persoonsgegevens van OV-reizigers. In plaats van zelf pal te staan voor de bescherming van de privésfeer van reizigers, juridiseert de regering het door het over te laten aan de handhaving van een wet door de Autoriteit Persoonsgegevens (AP), die echter van diezelfde regering veel te weinig budget krijgt om haar taak adequaat te vervullen.

Mijn twee handhavingsverzoeken over dit specifieke onderwerp zijn ingediend in juli 2018 en juni 2020. Een paar dagen geleden kreeg ik het zoveelste bericht van de AP dat de termijn waarbinnen de AP op mijn verzoek moet beslissen, opnieuw met drie maanden naar achteren is geschoven, vanwege gebrek aan personeelscapaciteit. Waarom grijpt de regering niet zelf in via regulier overleg met de vervoerbedrijven en via de concessieverlening? Voor wat betreft NS is de Staat 100% eigenaar van dat vervoerbedrijf, maar staat al jaren toe en stimuleert zelfs dat NS de privacy van reizigers blijft schenden en zelfs steeds verdergaand schendt.”

In antwoord op de laatste van de zeven vragen schrijven de bewindslieden dat uit de antwoorden op de voorafgaande vragen al zou blijken dat er voor reizigers "gebruiksvriendelijke niet-digitale alternatieven beschikbaar zijn".

Jonker: "Dat is simpelweg een onwaarheid. In 2012 waren er nog tien Nederlandse treinstations met balies waar je internationale treintickets kon kopen, nu zijn dat er nog vijf (Rotterdam, Schiphol, Amsterdam, Utrecht en Arnhem). Dus de regering vindt het 'gebruiksvriendelijk' dat een inwoner van Groningen, Friesland of Limburg twee uur moet reizen om in Arnhem of Utrecht aan de balie een internationaal treinticket te kunnen kopen...  Waarom is er sinds 2012 op vijf stations zulke dienstverlening aan de balie afgeschaft, terwijl in een Kamerdebat over digitale zaken op 30 juni 2022 de grootste regeringspartij (VVD) bij monde van Kamerlid Q.M. Rajkowski beweert: 'Zoals de VVD bij alle digitale ontwikkelingen zegt: de baliefunctie moet open blijven, en digitalisering, digitale oplossingen en digitale communicatie mogen niet verplicht worden.' Dit komt niet overeen met het beleid dat de VVD en andere regeringspartijen sinds 2012 in werkelijkheid hebben gevoerd. De woorden en de daden komen niet overeen, en dat is precies hoe privacy in de praktijk wordt afgeschaft."

Gevraagd wat hij gaat doen als de AP de beslissing op zijn handhavingsverzoek eindeloos blijft uitstellen, antwoordt Jonker: “Ik ben een redelijk mens, maar de antwoorden van NS en mijn daaropvolgende zienswijze liggen nu alweer bijna een half jaar op een plank bij de AP, nadat de AP er eerder al vier jaar over deed alvorens aan NS enkele voor de hand liggende vragen te stellen. Als de AP niets blijft doen, overweeg ik de AP in gebreke te stellen wegens het niet tijdig nemen van een besluit. Privacy-toezicht is op deze manier een lachertje in Nederland. Straks neemt geen enkele organisatie de AVG meer serieus. En dat lijkt ook precies te zijn waar onze regering op aanstuurt, gezien haar beleid sinds de inwerkingtreding van de AVG in 2018. Nederland blijft als EU-lidstaat grof in gebreke. Maar dat kan de EU niet veel schelen, want ook daar lijkt de bescherming van privacy niet echt gewenst te worden. Die wordt zogenaamd belangrijk gevonden, maar ondertussen op verschillende manieren gesaboteerd en indirect in een slecht daglicht gesteld.”