Toon items op tag: Privacy

Autoriteit Persoonsgegevens weigert te onderzoeken of te handhaven

Op 6 maart jl. heeft OV-reiziger Michiel Jonker hoger beroep ingediend bij de Raad van State inzake de afwijzing van twee handhavingsverzoeken door de Autoriteit Persoonsgegevens (AP). In juli 2018 verzocht Jonker in twee handhavingsverzoeken de AP om onderzoek en handhaving inzake:

1. Het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan Nederlandse Spoorwegen (NS) verstrekt;
2. Het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken;
3. Het in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.
4. De weigering door vervoerbedrijf Connexxion van privacyvriendelijke, contante betaling voor eenmalige buskaartjes in de bus.

De AP weigerde deze inbreuken op de privacy serieus te onderzoeken, omdat volgens de AP een "globaal (bureau)onderzoek" reeds uitwees dat er geen sprake was van enige overtreding. Jonker bestrijdt dat, omdat er ofwel zonder aangetoonde noodzaak persoonsgegevens worden verwerkt (1, 2, 4), ofwel zonder aangetoonde noodzaak reizigers die hun privacy willen behouden, worden gediscrimineerd ten opzichte van reizigers die hun persoonsgegevens afstaan (3).

Met betrekking tot de verkoop van internationale treintickets (2) heeft Jonker in februari 2020 geconstateerd dat NS ter zitting van de rechtbank (op 16 december 2019) heeft gezwegen over het feit dat er bij veel internationale tickets die NS aan klanten verkoopt, sinds november 2019 wel degelijk van klanten geëist wordt dat zij hun naam en soms ook hun geboortedatum door NS laten verwerken in een digitaal systeem. Het eerdere "ATB-systeem" waarmee voorheen anoniem tickets konden worden verstrekt is toen uitgeschakeld, en nu moeten klanten verplicht met het zogeheten "Atlantis"-systeem een "Homeprint" aanschaffen.

Jonker: "NS vindt van zichzelf dat NS daar niet verantwoordelijk voor is, omdat dit in opdracht zou gebeuren van buitenlandse vervoerbedrijven. Maar NS is als verwerker wel mede-verantwoordelijk en moet zich aan de AVG houden. De AP heeft zichzelf eerst ten onrechte onbevoegd verklaard op dit punt. Toen ik dat had ontzenuwd, vond de AP opeens dat mijn handhavingsverzoek hier niet over ging. En de rechtbank zei vervolgens dat mijn handhavingsverzoek "te onbepaald" was, hoewel ik aan de AP specifiek materiaal had aangeleverd waaruit bleek dat het anonieme systeem zou worden uitgeschakeld. Ze draaien zich in duizend bochten om redenen te vinden om mijn handhavingsverzoek af te wijzen."

Om het risico te verminderen dat het ATB-systeem niet technisch ontmanteld wordt voordat de AP alsnog onderzoek heeft gedaan, heeft Jonker bij de Raad van State tevens een verzoek om voorlopige voorziening ingediend (een soort kort geding). Hij wil dat de rechter de AP opdraagt om de privacyvriendelijke infrastructuur van het ATB-systeem te beschermen zolang er nog geen onderzoek is gedaan. Het verzoek zal vooralsnog op 30 april 2020 door de Raad van State worden behandeld.

Bij Connexxion is volgens Jonker ten eerste niet aangetoond dat de "sociale veiligheid" op buslijnen in zijn regio gevaar loopt, en ten tweede is er volgens hem ook niet aangetoond dat het weigeren van contante betaling, als één maatregel in een pakket van 23 maatregelen, op die lijnen effect heeft op de veiligheid. Jonker: "Ze roepen het woord 'veiligheid' en vinden dat ze dan voor alle buslijnen in heel Nederland iets hebben aangetoond. Maar dan kan ik net zo goed gaan roepen dat alle CV-ketels gevaarlijk zijn en daarom moeten worden afgeschaft. Deze quasi-paranoia van een club van overheden en vervoerbedrijven die al onze persoonlijke OV-data in handen wil krijgen, wordt door de AP en de Rechtbank Gelderland klakkeloos geaccepteerd. Dat is in strijd met artikel 5 AVG, waarin staat dat er een noodzaak en een welbepaald doel moeten worden aangetoond."

Het volledige hoger-beroepschrift van Jonker staat HIER online (getiteld "Lof der individualiteit - privacy, connectiviteit en autoritair denken", 191 pp).

Jonker wordt in beide zaken gesteund door Privacy First en Maatschappij Voor Beter OV (www.voorbeterov.nl).

(door omstandigheden is dit bericht met vertraging gepubliceerd)

Update 26 juni 2020: de voorzieningenrechter bij de Raad van State heeft op 12 juni jl. uitspraak gedaan en Jonkers verzoek afgewezen. Voor de uitspraak, zie https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RVS:2020:1379. Jonker: "Het is jammer, maar in ieder geval heeft mijn verzoek om voorlopige voorziening ertoe geleid dat de voorzieningenrechter vragen aan NS heeft gesteld die de AP nooit wilde stellen. Uit het antwoord van NS blijkt dat er al in 2018 door NS en andere vervoerbedrijven een besluit is genomen om het privacyvriendelijke ATB-systeem voor ticketverkoop te gaan afschaffen. Vanwege het door mij betaalde griffierecht is het wel erg duur om als burger op die manier aan waarheidsvinding te moeten doen, omdat de AP haar taak op dat punt niet wil vervullen. Maar nu dit feit bekend is, kan ik dat meenemen in de bodemprocedure."

In de bodemprocedure heeft Jonker naar aanleiding van de uitspraak van de voorzieningenrechter op 22 juni jl. een nadere motivering ingediend, waarin de reikwijdte van zijn handhavingsverzoek centraal staat. Voor de tekst van die motivering, klik HIER (pdf).

Update 26 november 2020: de Afdeling bestuursrechtspraak van de Raad van State heeft aangekondigd drie hoger beroepen van Jonker inzake privacy in het openbaar vervoer ter zitting te zullen behandelen op maandag 8 februari 2021. Het betreft de volgende zaken:

- Contante betaling in de bus; AP en Connexxion (zaaknr. 2020-01625)
aanvang: 9:30u.

- Aanschaf internationale treintickets, restsaldo OV-chipkaart, servicekosten OV-chipkaart; AP, NS en mogelijk anderen (zaaknr. 2020-01629)
aanvang: 10:30u.

- Privacy-discriminatie bij OV-chipkaart; de-anonimisering van "anonieme" OV-chipkaart (zaaknr. 2019-07478)
aanvang: 11:30u.

Alle drie de zaken worden behandeld in het gebouw van de Afdeling bestuursrechtspraak aan de Kneuterdijk 22 in Den Haag.

Update 26 januari 2021: op 15 januari jl. heeft Jonker de motivering van zijn hoger beroepen aangevuld vanwege recente ontwikkelingen. In zijn aanvulling, getiteld "Bewegingscontrole en bewegingsbeperking", brengt Jonker naar voren dat een combinatie van attitudes bij vervoerbedrijven, de Nederlandse staat en sommige Nederlandse rechters het grondrecht van Nederlandse burgers dreigt uit te schakelen op bewegingsvrijheid met behoud van privacy, ook in situaties waar het niet nodig is dat grondrecht aan te tasten. Hij pleit voor een onafhankelijke rechterlijke toetsing waarbij de bedoeling van geldende wetten en verdragen wordt gerespecteerd.

Als gevolg van persoonlijke omstandigheden die verband houden met Covid-19, is Jonker verhinderd voor de geplande zittingen op 8 februari 2021. Hij heeft zich bereid verklaard om vragen van de Afdeling bestuursrechtspraak schriftelijk te beantwoorden.

Jonker: "Het is vervelend, maar het is niet anders. Ik hoop dat de Afdeling zelf naar wegen zoekt om het proces toch op een faire manier te laten plaatsvinden, mede met het oog op het maatschappelijke belang ervan."

Update 15 februari 2021: vanwege een falende video-verbinding op 8 februari jl. heeft de Raad van State de behandeling van Jonkers hoger beroepen tot nader orde uitgesteld.

Jonker: "Het is voor alle betrokkenen heel frustrerend. Ik begrijp het belang van een zitting waarin live van gedachten kan worden gewisseld. Als dat technisch niet lukt, ben ik persoonlijk bereid om, gezien de uitzonderlijke omstandigheden, schriftelijk te reageren op eventuele vragen van de Afdeling bestuursrechtspraak van de Raad van State, en op inbreng van andere partijen ter zitting, zoals die in de zittingsaantekeningen is vastgelegd. Het is in het belang van alle OV-reizigers dat de zaak niet voor onbepaalde tijd wordt aangehouden. Het is aan de Afdeling bestuursrechtspraak om te bepalen hoeveel uitstel de zaak kan verdragen, met andere woorden: op welk moment de rechtszekerheid van OV-reizigers vereist dat de behandeling op enige wijze wordt voortgezet. Zoals het gezegde luidt: justice delayed is justice denied..."

Update 8 juli 2021: de Afdeling bestuursrechtspraak van de Raad van State heeft op 5 juli jl. de drie hoger beroepen van Jonker over privacy in het OV behandeld in drie opeenvolgende zittingen. In elke zitting ging het over de weigering van de AP om (voldoende) onderzoek te doen en de weigering van de AP om handhavend op te treden:

Zitting 1: de weigering van contante betaling in de bus door Connexxion.

Zitting 2: drie inbreuken op de privacy door NS:
a) verwerking persoonsgegevens bij teruggave van restsaldo op "anonieme" OV-chipkaarten aan de eigenaar;
b) NS eist persoonsgegevens van reizigers die aan de balie een internationaal treinkaartje binnen de EU willen aanschaffen;
c) NS brengt extra service-kosten in rekening aan reizigers die aan de balie privacy-vriendelijk (en dus contant) willen betalen voor het opladen van hun "anonieme" OV-chipkaart.

Zitting 3: drie inbreuken op de privacy door NS:
a) ontbrekende anonimiteit van de tot voor kort als "privacy-vriendelijk" verkochte "anonieme" OV-chipkaart, en het bedrog van NS daarover totdat het uitkwam;
b) privacy-discriminatie van houders van een voordeelurenabonnement (VDU): zij krijgen geen voordeelurenkorting als zij reizen met een "anonieme" OV-chipkaart;
c) privacy-discriminatie bij de uitvoering van de regeling Geld Terug Bij Vertraging (GTBV): houders van "anonieme" OV-chipkaarten krijgen alleen hun geld terug als zij hun OV-chipkaart feitelijk de-anonimiseren, waardoor niet alleen de vertraagde reis, maar ook alle andere reizen door NS en/of TLS geregistreerd kunnen worden.

Jonker: "De zeven inbreuken op de privacy die in deze drie zittingen werden behandeld, geven een beeld hoe Nederlandse vervoerbedrijven gezamenlijk aan alle kanten proberen om de reisgegevens (plaatsen en tijden van de privé-reizen van mensen) buit te maken, en om het reizigers die hun privacy proberen te behouden, zo moeilijk mogelijk te maken. Dit wordt gestimuleerd door verschillende ministeries, andere overheidsinstanties (bijvoorbeeld het CBS) en allerlei en gremia uit het zogenoemde "maatschappelijke middenveld" (de polder). De Autoriteit Persoonsgegevens weigert ertegen op te treden. De data-roof is in volle gang. Het lijkt of ook rechters die niet willen stoppen. Mijn analyse van oktober 2019 dat er in Nederland sprake is van een conglomeraat van overheden en bedrijven dat reële privacy in het openbaar vervoer wil afschaffen, wordt op deze manier opnieuw bevestigd.

Als de Raad van State gaat oordelen dat deze willekeur van vervoerbedrijven bij het verwerken van persoonsgegevens is toegestaan, en die willekeur daarmee gaat legaliseren, dan is het duidelijk dat privacy in Nederland in rechte niet meer wordt beschermd en daarmee in de praktijk wordt afgeschaft. Het grondrecht op privacy is er dan niet meer. In plaats daarvan is privacy dan alleen nog een gunst die in sommige gevallen aan sommige mensen wordt verleend, met willekeur en op instrumentele gronden, bijvoorbeeld politieke of relationele gronden - maar aan andere mensen niet. De overheid en grote bedrijven mogen dan, zonder onze toestemming, ongehinderd tot diep in ons privé-leven doordringen en ons via die weg aansturen, belonen en straffen."

Een interview met Jonker, video-samenvattingen van de drie zittingen en de integrale video-opnamen van de zittingen zijn te vinden op de site van Potkaars: https://potkaars.nl/blog/2021/7/7/de-veronderstelling-dat-je-het-recht-hebt-anoniem-door-het-leven-te-gaan-ter-discussie-gesteld-door-de-ns

Media:
Volkskrant verslaggeverscolumn 6 juli 2021: Privacy bestaat niet meer, en dat lieten we zelf gebeuren 

Update 22 november 2021: op 10 november 2021 heeft de Afdeling bestuursrechtspraak van de Raad van State uitspraak gedaan in de drie hoger beroepen die Jonker had ingesteld tegen de weigeringen van de AP om handhavend op te treden tegen de aantasting van privacy in het openbaar vervoer:

- zaak OV-chipkaart: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RVS:2021:2509 

- zaak-Connexxion (contante betaling): http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RVS:2021:2511 

- zaak-NS 3e tranche (o.a. internationale treintickets): http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RVS:2021:2514.

De Raad van State verklaarde alle hoger beroepen op alle onderdelen ongegrond. Jonker geeft aan de uitspraken nog nader te zullen bestuderen wanneer hij "weer energie heeft verzameld", voordat hij definitieve conclusies trekt. Wel wil hij al het volgende kwijt:

Jonker: "Met deze uitspraken heeft de Raad van State het recht op privacy in het openbaar vervoer afgeschaft. Iedere individuele reiziger mag overal gevolgd en geregistreerd worden, zonder dat daarvoor een specifieke noodzaak hoeft te worden aangetoond. Het is bijvoorbeeld voldoende dat een vervoerbedrijf het zelf 'efficiënt' vindt om dat te doen. Volgens de interpretaties van de Raad van State biedt de AVG daar geen bescherming tegen. Artikelen 5 en 6 AVG zijn door de RvS op deze manier betekenisloos gemaakt. Nadat vervoerbedrijven zoals NS en Connexxion de privacy feitelijk al hadden afgeschaft, heeft de Raad van State dat nu achteraf voorzien van juridische goedkeuring en het daarmee gelegaliseerd. Ik heb in 2019 al een analyse aangeleverd aan de Tweede Kamer en de Raad van State over wat er met privacy in het OV aan het gebeuren is. Daar heeft de Tweede Kamer niets mee gedaan. Nu blijkt ook de Raad van State die analyse en mijn andere argumenten nagenoeg volledig te hebben genegeerd."

Gevraagd of dit voor hem persoonlijk een klap is, antwoordt Jonker: "Ja, althans in zoverre dat ik dit al enige tijd zag aankomen, zoals ik afgelopen zomer ook in een interview heb aangegeven. Het is goed dat de rechtszittingen op 5 juli van dit jaar integraal op video zijn opgenomen en gepubliceerd bij dat interview. Zo kan iedereen zelf zien tot welk bedroevend niveau de heren rechters zich op sommige momenten verlaagden. Het is me nu definitief duidelijk dat Nederland op wezenlijke punten, waaronder het grondrecht op privacy, geen rechtsstaat meer is. Vorige week was er in het nieuws dat de voorzitter van de Afdeling bestuursrechtspraak met veel bombarie 'oprechte excuses' aanbood voor het feit dat de Raad van State in de Toeslagenaffaire allerlei zaken had genegeerd. Zulke excuses vind ik volstrekt ongeloofwaardig en opportunistisch. Die worden alleen gegeven omdat de hoge rechters in die zaak betrapt zijn en het daar niet meer onder het vloerkleed kunnen vegen. Zoals de uitspraken in mijn hoger beroepen laten zien, denderen die rechters ondertussen gewoon door als uitvoerders van het machtsapparaat waar ze deel van uitmaken. Ik zie ze niet langer als rechters, maar als prelaten, bekleed met de arrogantie van de macht. Onze machthebbers willen dat wij geen reële privacy meer hebben, maar alleen nog genadebrood eten voor zover zij ons dat met hun gedigitaliseerde systemen toestaan, in de vorm van tijdelijke gunsten. Zo van: je moet erop vertrouwen dat wij jou nu eventjes niet zullen volgen, ook al hebben wij al onze beloften op dat punt in het verleden gebroken..."

Gevraagd wat hij nu verder gaat doen, antwoordt Jonker: "Ten eerste ga ik nu onderzoeken hoe ik me als individuele onderdaan - niet langer burger - het beste kan verhouden tot het feit dat we niet meer in een rechtsstaat leven. Zonder privacy is er geen werkelijke vrijheid, en wordt het moeilijker om onze vrijheid te verdedigen of te herstellen. Voor mij is dit een groot verlies. Ik zal waarschijnlijk ook steun zoeken bij geestverwanten, om te kijken of er mogelijkheden zijn voor het leggen van een basis voor een terugkeer van de rechtsstaat. Ik begrijp dat veel mensen zich hier niet erg druk om maken zolang er maar brood op de plank is en er van tijd tot tijd feest kan worden gevierd. Ik sta daar anders in, vooral ook met het oog op de langere termijn.

Ten tweede zal ik, wanneer ik mijn energie weer verzameld heb, kijken of het zinvol is om over deze drie uitspraken een verzoekschrift in te dienen bij het Europese Hof voor de Rechten van de Mens (EHRM). Er is mij al geadviseerd dat dat niet kansrijk is, omdat het EHRM tegenwoordig in veel gevallen dezelfde anti-rechtsstatelijke houding aanneemt als de Nederlandse Raad van State. 90% van de verzoekschriften wordt niet eens in behandeling genomen, en ik heb begrepen dat men in de burelen van het EHRM privacy-zaken soms ridiculiseert. Ze maken zich boos over wat er in Polen met het constitutionele hof aldaar gebeurt, niet omdat dat anti-rechtsstatelijk is - we hebben in Nederland niet eens een constitutioneel hof - maar omdat het niet in lijn is met de wensen van centrale machthebbers in de EU. Bij Polen of bij de Brexit en Noord-Ierland wordt er door de EU gezwaaid met het belang van 'the rule of law', maar voor de EU en het EHRM zijn de rechtsstaat en privacy in de praktijk vooral economische en politieke instrumenten, geen zelfstandige of intrinsieke doelen.

Ik zal proberen te kijken of het indienen van een verzoekschrift in die omstandigheden toch zinvol kan zijn, als signaal of ter documentatie voor later. Bijvoorbeeld om de verantwoordelijkheid voor de afschaffing van reële privacy-bescherming in het openbaar vervoer op alle juridische niveaus zichtbaar en aantoonbaar te maken."

Privacy First steunt Jonker indien hij besluit een verzoekschrift bij het EHRM in te dienen. 

Media:
Security.nl, 23 november 2021: Privacyactivist verliest hoger beroep over anonieme OV-chipkaart 
Tweakers, 23 november 2021: Autoriteit Persoonsgegevens hoeft van Raad van State niet op te treden tegen NS 
TechnologIE, privacy en recht, 10 december 2021: Privacy activist loses appeal over anonymous OV chip card! 

Update 2 maart 2022: op 25 februari jl. heeft Jonker een verzoekschrift verzonden naar het Europees Hof voor de Rechten van de Mens (EHRM, ECtHR), waarin hij naar voren brengt dat de drie uitspraken van de Afdeling bestuursrechtspraak van de Raad van State d.d. 10 november 2021 niet in overeenstemming zijn met artikel 8 en 14 van het Europees Verdrag voor de Rechten van de Mens (EVRM, ECHR).

Het Engelstalige verzoekschrift (een zogeheten "application") heeft als titel: "Public Transport - a Railroad to Surveillance?". In het verzoekschrift stelt Jonker het belang van materieel recht ("substantive justice") centraal. Als het Europese mensenrechtenverdrag alleen formeel en procedureel wordt geïnterpreteerd, wordt het recht op privacy niet adequaat beschermd. Jonker: "Het was een hele klus om het volgens de regels van het Europese Hof te doen. Uiteindelijk ging het om een pakket van 993 pagina's: het aanvraagformulier van 13 pagina's, een annex van 19 pagina's en de overige bijlagen: 961 pagina's - allemaal enkelzijdig afgedrukt en handmatig doorgenummerd. Ik hoop dat ik aan alle regels heb voldaan. Als het Europese Hof mijn verzoekschrift desondanks niet-ontvankelijk zou verklaren, dan zou dat duidelijk maken dat individuele Europese burgers in de praktijk geen toegang hebben tot het hof dat hun mensenrechten dient te beschermen. Ik hoop natuurlijk dat het hof ziet dat dit om een serieuze zaak gaat: de mogelijkheid voor Nederlandse en Europese burgers om met het openbaar vervoer te reizen zonder continu gemonitord te worden. Als wij geen China 2.0 willen worden, dan is openbaar vervoer met behoud van privacy van cruciaal belang."

Voor de tekst van Jonkers verzoekschrift, klik HIER (pdf). 

Media: 
TechnologIE, privacy en recht, 10 mei 2022: Dutch public transport - a railroad to surveillance?

Update 8 augustus 2022: na de uitspraak van de voorzieningenrechter op 12 juni 2020 (zie update 26 juni 2020 hierboven) diende Jonker op 20 juni 2020 voorzorgshalve een tweede handhavingsverzoek in met betrekking tot de door NS en buitenlandse vervoerbedrijven afgedwongen verwerking van persoonsgegevens bij de aanschaf van internationale treintickets binnen de EU en het Schengen-gebied. In april 2022 heeft de AP dit extra handhavingsverzoek in behandeling genomen en aan Jonker per brief o.a. gevraagd waarom die in deze zaak meent "betrokkene" te zijn in de zin van de Algemene Verordening Gegevensbescherming.

Jonker heeft daarop geantwoord bij brief van 7 mei 2022, waarin hij als bijlage ook de volledig uitgeschreven tekst opnam van een gesprek aan de stationsbalie op 20 februari 2020 waarvan door hem heimelijk een geluidsopname was gemaakt in bijzijn van een getuige. Voor de tekst van deze documenten (geschoond van bepaalde persoonlijke gegevens), zie HIER (pdf).

Bij brief van 21 juli 2022 heeft de AP Jonker in de gelegenheid gesteld om met een "zienswijze" te reageren op antwoorden van NS op vragen van de AP. Jonker heeft op 6 augustus 2022 deze zienswijze aan de AP toegestuurd. Voor de tekst van de zienswijze, zie HIER (pdf). 

Jonker: "Op dit moment lijken twee zaken centraal te staan. Ten eerste de vraag wie de verwerkingsverantwoordelijken zijn bij de afgedwongen verwerking van persoonsgegevens bij de verkoop van internationale treintickets. Ik ben er vrijwel zeker van dat dit de buitenlandse vervoerbedrijven zijn die de treinreizen aanbieden en aan de klant verkopen. Die bepalen immers welke persoonsgegevens er verwerkt worden. Dat betekent dat de AP in deze zaak zou moeten samenwerken met buitenlandse toezichthouders. NS lijkt dat te willen verhinderen en noemt zichzelf daarom verwerkingsverantwoordelijke voor alle internationale tickets, ook wanneer NS helemaal niet bepaalt welke persoonsgegevens er worden verwerkt.

De tweede vraag is wat nu het doel, de noodzaak en de wettelijke grondslag zijn voor de afgedwongen verwerking van de persoonsgegevens. NS wil mij een digitaal Homeprint-ticket in de maag splitsen, maar ik wil alleen maar een anoniem ticket kunnen kopen, zoals tientallen jaren lang normaal was - dat waren die stevige, papieren ATB-tickets. Het enige inhoudelijke argument wat NS daartegen inbrengt, is dat NS mij op elk tijdstip overal ter wereld wil kunnen informeren over treingerelateerde zaken - dus niet alleen op stations en in treinen, maar bij wijze van spreken ook in mijn eigen slaapkamer. Daarom vindt NS het nodig om te beschikken over mijn persoonsgegevens zodat ze mij via apps op mijn smartphone steeds kunnen benaderen. Dat noemt NS dan een gerechtvaardigd belang van NS. Nou, mooi niet.

Ik wil thuis of in mijn vrije tijd niet gestoord worden door NS. Ik gebruik niet eens een smartphone en wil dat ook niet. Maar ik wil wel in Europa met de trein kunnen, om mijn familie te zien en voor vakantie. En zonder overbodig gegluur door vervoerbedrijven en de stiekeme data-winkels die ze hebben opgezet."  

Update 25 augustus 2022: naar aanleiding van de door Jonker ingediende zienswijze heeft de SP (Renske Leijten en Mahir Alkaya) op 24 augustus jl. schriftelijke Kamervragen gesteld aan de minister van Infrastructuur en Waterstaat, zie https://zoek.officielebekendmakingen.nl/kv-1045732.pdf. 

De Kamervragen zijn des te actueler vanwege plannen van NS en andere vervoerbedrijven om een "OVpay"-systeem in te voeren waarmee reizigers in al hun bewegingen tot op een paar meter nauwkeurig kunnen worden gevolgd, en vanwege geruchten over plannen van NS om de laatste bemenste stationsbalies af te schaffen, waardoor een privacyvriendelijke aanschaf van tickets op nog weer een andere manier onmogelijk zou worden gemaakt.

Jonker: "Het begint meer mensen op te vallen dat de steeds verdere aantasting van privacy in het OV (en trouwens ook elders) op een samenhangende manier lijkt plaats te vinden. Privacyvriendelijke betaalmethoden worden overal afgeschaft of onaantrekkelijk gemaakt, terwijl mensen worden 'genudged' en onder druk gezet om hun privé-gedrag tot in detail te laten monitoren via digitale systemen. Ik ben verheugd dat twee volksvertegenwoordigers nu aandringen op duidelijkheid van de kant van de verantwoordelijke minister waar het gaat om het openbaar vervoer. De Tweede Kamer heeft aangegeven dat er altijd een analoog alternatief moet blijven voor digitale transacties. Zelfs de VVD heeft benadrukt dat de baliefunctie behouden moet blijven. Maar tot nu toe heeft de overheid allerminst naar die woorden gehandeld en menselijke dienstverlening juist zoveel mogelijk uitgefaseerd. Als concessieverlener aan de OV-bedrijven moet de Nederlandse Staat op dit punt nu eindelijk, na meer dan tien jaar wegkijken, eisen aan die bedrijven gaan stellen. Respect voor mensen moet weer centraal komen te staan in hoe onze maatschappij wordt ingericht. Alleen dan kunnen we ook op een respectvolle manier met onze omgeving omgaan."

Media:
https://www.security.nl/posting/765576/ (over de Kamervragen)
https://www.privacynieuws.nl/index.php/binnenlands-nieuws/ov-chipkaart (over OVpay)
https://www.security.nl/posting/763487/Landelijk+inchecken+met+betaalpas+in+openbaar+vervoer+uitgesteld+naar+2023 (over OVpay)

Update 6 oktober 2022: op 8 september jl. heeft het Europese Hof voor de Rechten van de Mens (EHRM) het verzoekschrift van Jonker niet-ontvankelijk verklaard en daarmee geweigerd de zaak in behandeling te nemen. Het hof motiveert deze beslissing summier: "Op grond van zijn jurisprudentie (...), in het licht van het materiaal waarover hij beschikt en voor zover de zaken waarover geklaagd wordt binnen zijn competentie vallen, is het Hof van oordeel dat deze niet aannemelijk maken dat er sprake zou zijn van een aantasting van de rechten en vrijheden zoals bedoeld in het Verdrag of de daarbij behorende Protocollen en dat er niet voldaan is aan de ontvankelijkheidsvereisten in artikelen 34 en 35 van de Conventie." (vertaling door Jonker)

Na het raadplegen van de jurisprudentie waarnaar het EHRM verwijst (twee eerdere uitspraken van het EHRM), spreekt Jonker van een "bizarre beslissing die de geloofwaardigheid van de rechtbescherming die artikel 8 EVRM heet te bieden, fundamenteel aantast". Uit de weigering van het Hof om deze zaak zelfs maar te in behandeling te nemen, blijkt volgens Jonker dat "de privacy van reizigers in het openbaar vervoer in het geheel niet wordt beschermd door de rechterlijke instantie die, als alle andere bescherming faalt, als enige nog een waarborg kan bieden, en ook moet bieden, dat artikel 8 van het EVRM daadwerkelijk wordt toegepast."

Het EHRM verwijst naar twee eerdere uitspraken in zaken die volgens het EHRM kennelijk "in wezen gelijk" zijn aan de door Jonker naar voren gebrachte zaak. Het lijkt of het EHRM de behandeling van Jonkers zaak om die reden niet nodig vindt en hem daarom niet-ontvankelijk heeft verklaard. De twee zaken waarnaar het EHRM verwijst, hebben beide betrekking op bedrijven die enkele werknemers hadden ontslagen na hen te hebben gemonitord en misdragingen te hebben geconstateerd. In die zaken kwam het EHRM tot de conclusie dat het ontslag, ondanks de heimelijke verwerking van persoonsgegevens, niet onrechtmatig was. Het EHRM lijkt het heimelijk monitoren van werknemers door hun eigen werkgever, op grond van concrete verdenkingen, gelijk te stellen aan het monitoren van de privé-reizen van miljoenen OV-gebruikers door vervoerbedrijven.

Jonker: "Het EHRM stelt het recht van een werkgever om zijn eigen medewerkers tijdens werktijd voldoende te controleren na een specifieke verdenking, ten onrechte gelijk aan een recht van een vervoerbedrijf om privégegevens van willekeurige reizigers te verzamelen, zonder dat die klanten van enige overtreding worden verdacht. Eigenlijk zegt het EHRM hiermee twee dingen: 1. OV-reizigers mogen qua gegevensverwerking behandeld worden alsof ze geen klanten van het vervoerbedrijf zijn, maar werknemers van dat bedrijf. En 2. OV-reizigers mogen qua gegevensverwerking behandeld worden alsof er op hen een concrete verdenking rust. Op deze manier blijft er van het recht op privacy natuurlijk niets over. Als iedere privépersoon mag worden behandeld als een verdachte werknemer, dan leven we in een surveillance-maatschappij. Artikel 8, tweede lid van het EVRM staat surveillance alleen toe voor zover die noodzakelijk is in een democratische samenleving. Dat wordt door het EHRM op deze wijze genegeerd."

Gevraagd wat de verklaring zou kunnen zijn voor deze beslissing van het EHRM, antwoordt Jonker: "Ik kan natuurlijk niet in het hoofd van de betreffende rechter kijken. Het enige waar ik op af kan gaan, is de summiere motivering en de jurisprudentie waarnaar verwezen wordt. Door de zaak niet eens in behandeling te nemen, maakt het EHRM het onmogelijk om hierover duidelijkheid te krijgen, want tegen deze beslissing staat geen rechtsmiddel open. Op deze manier maakt het EHRM natuurlijk een lachertje van het idee dat er sprake zou zijn van kenbaar recht. Maar als ik mag raden naar mogelijke redenen, dan zie ik er twee. Ten eerste denk ik dat het EHRM, met zijn enorme werklast en structureel gebrek aan personeelscapaciteit, heel pragmatisch zoveel mogelijk zaken niet-ontvankelijk wil verklaren, en dus naar redenen zoekt - desnoods voorwendselen - om dat te kunnen doen. Dus dan denkt zo´n rechter: waar vind ik jurisprudentie waarmee ik deze zaak terzijde kan schuiven? Wie zoekt zal vinden, en als zo'n rechter dan iets ziet wat op het eerste gezicht bruikbaar lijkt, dan denkt-ie: waarom niet? Dat het dan om een heel ander soort zaak gaat, maakt voor zo'n rechter dan niet uit, want de indiener van het verzoekschrift kan toch niets meer doen als de zaak niet-ontvankelijk wordt verklaard. Ik denk dat de directe reden voor de niet-ontvankelijkheidsverklaring heel oppervlakkig en pragmatisch kan zijn."

Een tweede mogelijke reden ziet Jonker in het feit dat een vervoersbewijs, bijvoorbeeld een treinticket, door de rechter wordt opgevat als een "contract" en om die reden wordt gelijkgesteld aan het arbeidscontract dat een werknemer heeft met zijn werkgever. Jonker: "Hier zie je de politieke doorwerking van het neoliberalisme in de opvattingen van rechters die onafhankelijk de wet zouden moeten uitleggen. Ze wensen niet meer te zien dat er een verschil is tussen een contract waarvoor een werknemer willens en wetens heeft getekend toen hij vrijwillig werk aanvaardde, en de algemene voorwaarden die een vervoerbedrijf eenzijdig heeft opgesteld en oplegt aan miljoenen OV-reizigers die afhankelijk zijn van het openbaar vervoer. Dit is tekenend voor de manier waarop de EU en kennelijk ook het EHRM een neoliberale logica hebben geïnternaliseerd die in strijd is met internationale verdragen zoals het EVRM. Ik heb in mijn verzoekschrift aan het EHRM op het misbruik van het contractbegrip gewezen en aangegeven dat er geen democratische noodzaak bestaat voor de betreffende aantastingen van de privacy. Ik heb aangegeven dat de Raad van State heeft geweigerd om de zaak rechtstreeks aan het EVRM te toetsen. Maar nu weigert het EHRM zelf óók om de zaak inhoudelijk aan het EVRM te toetsen. Tja, als het EHRM weigert mijn verzoekschrift te behandelen, dan kunnen er over het cruciale punt van de verhouding tussen een democratische noodzaak en de bepalingen in een door een bedrijf opgesteld contract ook geen argumenten worden gewisseld. Er ontstaat dan een juridisch stilzwijgen dat de weg vrijmaakt voor een voortzetting van het machtsmisbruik. Er is dan geen rechtsbescherming." Voor Jonkers nadere analyse van de door het EHRM genoemde jurisprudentie, zie HIER (pdf).

Gevraagd welke conclusies hij trekt uit de zaak, antwoordt Jonker: "Juridisch gezien is dit het einde van het verhaal. Ik constateer dat zowel Nederlandse rechters als het Europese mensenrechtenhof weigeren het grondrecht op privacy in het openbaar vervoer te beschermen. Als die rechters met steekpenningen omgekocht waren, had de uitkomst niet slechter kunnen zijn. Dit is slechts één voorbeeld van de manier waarop privacy in naam wordt gerespecteerd, maar in feite wordt geëlimineerd. Eén van de gevolgen daarvan is dat er van mijn vertrouwen dat we in een zogeheten 'rechtsstaat' zouden leven, weinig meer over is. Het recht - 'de rule of law' - is gereduceerd tot een retorisch middel om bepaalde politieke doelen te dienen."

Jonker vergelijkt wat er in de EU op dit moment met de privacy van inwoners gebeurt, met de drie Poolse delingen aan het eind van de achttiende eeuw. "Europese machthebbers wilden Polen niet alleen als reëel bestaande staat van de kaart vegen, maar probeerden na de laatste deling ook de herinnering aan wat Polen ooit geweest was, uit te wissen. Het duurde meer dan honderdtwintig jaar voordat Polen weer boven water kwam, in een nieuwe, andere vorm. Tegenwoordig vinden we het gedrag dat de grote Europese mogendheden destijds vertoonden, misdadig - kijk maar hoe we denken over Poetin en zijn huidige poging om Oekraïne op te delen. Misschien zullen we ooit op dezelfde manier kijken naar de manier waarop Europese machthebbers tegenwoordig onze privacy om zeep helpen, met collaboratie van rechters op alle niveaus. Die machthebbers en rechters zullen niet worden gestraft, net zo min als Catharina de Grote, de Habsburgers, de Pruisische vorsten en hun dienaren destijds werden gestraft om wat ze met Polen deden. Door het falen en de hypocrisie van zogenaamde vertegenwoordigers van de Europese rechtsorde, begin ik de laatste tijd meer begrip te krijgen voor mensen die de EU als een onderdrukker zien. Ik hoop bijvoorbeeld dat de Oekraïners, wanneer ze de Russische aanvallers eenmaal hebben verdreven, zich vervolgens niet van de weeromstuit met huid en haar aan een steeds imperialistischer EU zullen zullen overleveren, maar hun vrijheid, inclusief hun privacy, ook dan zullen verdedigen. Maar ik vrees het ergste."

Hij trekt een zuur gezicht. "Ik heb sinds het begin van deze zaak in 2014 consequent mijn zogenaamd anonieme OV-chipkaart gebruikt, terwijl ik jaarlijks ook 60 euro betaalde voor mijn dalurenkaart die 40% korting had moeten bieden, maar die door NS ongeldig werd verklaard in combinatie met de anonieme OV-chipkaart. Ik heb dus acht jaar lang 66% te veel betaald voor mijn treinreizen in de daluren, plus een abonnement dat NS mij niet toestond te gebruiken met behoud van privacy. Jaarlijks gaat het dan toch om enkele honderden euro's. Dat geld zal ik nooit meer terugkrijgen, dat is door NS gestolen. Dit is Nederland, een land van dieven met witte boorden."

Is dat dan het einde van het verhaal voor wat betreft privacy in het openbaar vervoer? Jonker: "Misschien nog niet helemaal. Naar aanleiding van één onderdeel van de zaak, namelijk het eisen van persoonsgegevens bij internationale treintickets, heb ik om juridisch-technische redenen in 2020 een tweede handhavingsverzoek ingediend. Inmiddels heeft de AP naar aanleiding daarvan een onderzoek gestart. Ook heeft de SP daarover recentelijk schriftelijke kamervragen gesteld aan de minister. Dat loopt dus nog. Maar gezien het ontbreken van Europese of internationaalrechtelijke rechtsbescherming, vraag ik me af of er voldoende politieke druk kan ontstaan om de privacy van internationale treinreizigers serieus te gaan nemen. En zelfs als dat gebeurt, zou dat niet meer zijn dan een druppel op een gloeiende plaat. Want de systematische, grootschalige privacy-schending met het Nederlandse OV-chipkaart-systeem, die wordt gewoon toegestaan - dat wil zeggen door de AP gedoogd en door de rechters gelegaliseerd of niet behandeld."

Gevraagd welke conclusies hij voor zichzelf trekt, antwoordt Jonker: "Ik heb in deze zaak de juridische weg tot het einde toe gevolgd, mede om te testen of er uiteindelijk nu wel of geen sprake is van rechtsbescherming op het gebied van privacy. Als je het als een experiment ziet, dan is de uitkomst na acht jaar procederen duidelijk: er is geen serieuze rechtsbescherming, de AVG en artikel 8 EVRM worden in de praktijk misbruikt als wassen neuzen. Er lopen nog een paar andere privacy-procedures, die wil ik netjes afmaken, maar ik verwacht er niet veel meer van. Als het recht faalt, blijft de politiek over. Maar ik ben geen politiek dier. En bovendien is het ontwikkelen van politieke kracht afhankelijk van het bewustzijn van mensen. Misschien dat ik op een bescheiden manier iets kan bijdragen aan privacy-bewustzijn."

Jonker zegt dat hij in één van zijn motiveringen aan de raad van State, op 29 april 2020, schreef over wat hij "de banaliteit van het derde kwaad" noemt. "Dat hoofdstuk eindigde als volgt: 'Dit derde kwaad, de sluipende eliminatie van humaan bewustzijn, kan niet op spectaculaire wijze bedwongen worden met tanks of raketten, maar alleen door middel van aanwending van individueel en collectief bewustzijn, de daaruit voortvloeiende collectieve wil, en de daar weer uit voortvloeiende wetgeving, rechtspraak en wetshandhaving.' Dus ik denk dat het zaak is om te werken aan nieuw bewustzijn als basis om uit te groeien boven de huidige, technocratische tunnelvisie. Het echte probleem is humanitair, niet technisch. Alleen door humaniteit centraal te stellen, kunnen we komen tot een herstel van een humane rechtsstaat. De afgelopen tweeënhalf jaar, sinds de coronacrisis, zijn er al enorm veel mensen wakker geworden over hoe we onze vrijheid en humaniteit steeds verder dreigen te verliezen. Dus ik denk dat er zeker een basis gelegd is die verder kan groeien. Of dat genoeg is om op dit punt een ramp te voorkomen, daar durf ik geen voorspelling over te doen. Het gaat erom nieuwe bronnen te vinden en tegelijk oude bronnen van humaniteit en recht te blijven kennen en respecteren."

Vindt hij dat niet een beetje zweverig en passief? Jonker: "Nee hoor. Het is een misverstand om te denken dat bewustzijn zou betekenen dat je niet meer bereid bent om ergens voor te knokken. Kijk naar Oekraïne. Daar is razendsnel een collectief bewustzijn gegroeid over humane en nationale waarden die men wil beschermen en verdedigen. Desnoods ook met geweld van wapenen. Ik hoop natuurlijk dat het hier in Nederland nooit nodig zal zijn. Maar dat kan ik ook niet uitsluiten. Je ziet dat onze huidige regering niet bijster geïnteresseerd is in redelijke argumenten. Maar als boeren met tractoren snelwegen blokkeren, dan neemt de interesse van onze regering in een dialoog opeens toe. Iets vergelijkbaars hebben we gezien met de Gele Vestjes in Frankrijk. Waarom is de Franse overheid wel bereid om alle Franse burgers effectief te beschermen tegen extreem hoge energieprijzen, terwijl de Nederlandse regering er tot voor kort indirect blijk van gaf hele bevolkingsgroepen voor de bus te willen gooien? Dat heeft alles te maken met die Gele Vestjes. Wie weet zullen er ooit gele, groene of paarse vestjes nodig zijn om onze privacy te verdedigen of terug te winnen." 

Update 18 januari 2023: de op 24 augustus 2022 door de SP gestelde Kamervragen (zie hierboven bij update 25 augustus 2022) zijn blijkens de website van de Tweede Kamer op 21 november 2022 beantwoord. Voor de antwoorden, zie HIER (pdf). De betreffende bewindslieden stellen zich kort samengevat op het standpunt dat vervoerbedrijven persoonsgegevens van OV-reizigers mogen verwerken tenzij de AVG dat verbiedt.

Jonker: "Dat is de omgekeerde wereld. De regering neemt op deze wijze geen enkele verantwoordelijkheid voor het adequaat beschermen van de persoonsgegevens van OV-reizigers. In plaats van zelf pal te staan voor de bescherming van de privésfeer van reizigers, juridiseert de regering het door het over te laten aan de handhaving van een wet door de Autoriteit Persoonsgegevens (AP), die echter van diezelfde regering veel te weinig budget krijgt om haar taak adequaat te vervullen.

Mijn twee handhavingsverzoeken over dit specifieke onderwerp zijn ingediend in juli 2018 en juni 2020. Een paar dagen geleden kreeg ik het zoveelste bericht van de AP dat de termijn waarbinnen de AP op mijn verzoek moet beslissen, opnieuw met drie maanden naar achteren is geschoven, vanwege gebrek aan personeelscapaciteit. Waarom grijpt de regering niet zelf in via regulier overleg met de vervoerbedrijven en via de concessieverlening? Voor wat betreft NS is de Staat 100% eigenaar van dat vervoerbedrijf, maar staat al jaren toe en stimuleert zelfs dat NS de privacy van reizigers blijft schenden en zelfs steeds verdergaand schendt.”

In antwoord op de laatste van de zeven vragen schrijven de bewindslieden dat uit de antwoorden op de voorafgaande vragen al zou blijken dat er voor reizigers "gebruiksvriendelijke niet-digitale alternatieven beschikbaar zijn".

Jonker: "Dat is simpelweg een onwaarheid. In 2012 waren er nog tien Nederlandse treinstations met balies waar je internationale treintickets kon kopen, nu zijn dat er nog vijf (Rotterdam, Schiphol, Amsterdam, Utrecht en Arnhem). Dus de regering vindt het 'gebruiksvriendelijk' dat een inwoner van Groningen, Friesland of Limburg twee uur moet reizen om in Arnhem of Utrecht aan de balie een internationaal treinticket te kunnen kopen...  Waarom is er sinds 2012 op vijf stations zulke dienstverlening aan de balie afgeschaft, terwijl in een Kamerdebat over digitale zaken op 30 juni 2022 de grootste regeringspartij (VVD) bij monde van Kamerlid Q.M. Rajkowski beweert: 'Zoals de VVD bij alle digitale ontwikkelingen zegt: de baliefunctie moet open blijven, en digitalisering, digitale oplossingen en digitale communicatie mogen niet verplicht worden.' Dit komt niet overeen met het beleid dat de VVD en andere regeringspartijen sinds 2012 in werkelijkheid hebben gevoerd. De woorden en de daden komen niet overeen, en dat is precies hoe privacy in de praktijk wordt afgeschaft."

Gevraagd wat hij gaat doen als de AP de beslissing op zijn handhavingsverzoek eindeloos blijft uitstellen, antwoordt Jonker: “Ik ben een redelijk mens, maar de antwoorden van NS en mijn daaropvolgende zienswijze liggen nu alweer bijna een half jaar op een plank bij de AP, nadat de AP er eerder al vier jaar over deed alvorens aan NS enkele voor de hand liggende vragen te stellen. Als de AP niets blijft doen, overweeg ik de AP in gebreke te stellen wegens het niet tijdig nemen van een besluit. Privacy-toezicht is op deze manier een lachertje in Nederland. Straks neemt geen enkele organisatie de AVG meer serieus. En dat lijkt ook precies te zijn waar onze regering op aanstuurt, gezien haar beleid sinds de inwerkingtreding van de AVG in 2018. Nederland blijft als EU-lidstaat grof in gebreke. Maar dat kan de EU niet veel schelen, want ook daar lijkt de bescherming van privacy niet echt gewenst te worden. Die wordt zogenaamd belangrijk gevonden, maar ondertussen op verschillende manieren gesaboteerd en indirect in een slecht daglicht gesteld.”

Vandaag heeft de rechtbank in Den Haag uitspraak gedaan over de inzet van het algoritmesysteem SyRI (Systeem Risico Indicatie) door de overheid. De rechter besloot dat de overheid moet stoppen met het profileren van burgers met grootschalige data-analyse om fraude met sociale voorzieningen op te sporen. Nederlanders zijn niet langer ‘bij voorbaat verdacht’.

De rechtszaak tegen de Nederlandse Staat was aangespannen door een coalitie van maatschappelijke organisaties, bestaand uit het Platform Bescherming Burgerrechten, het Nederlands Juristen Comité voor de Mensenrechten (NJCM), Privacy First, Stichting KDVP, vakbond FNV, de Landelijke Cliëntenraad en auteurs Tommy Wieringa en Maxim Februari.

De rechtbank komt tot het oordeel dat SyRI in strijd is met het Europees Verdrag voor de Rechten van de Mens. SyRI maakt een onevenredig grote inbreuk op het privéleven van burgers. Dat geldt niet alleen voor mensen die door SyRI als verhoogd risico worden aangemerkt, maar voor iedereen waarvan de gegevens door SyRI worden geanalyseerd. Volgens de rechtbank is SyRI niet transparant en daarom niet controleerbaar. De inbreuk op het privéleven is voor burgers niet te voorzien en zij kunnen zich er niet tegen verweren.

De rechtbank noemt daarnaast het reële risico van discriminatie en stigmatisering van burgers in zogenaamde probleemwijken waar SyRI is ingezet. Dit op grond van sociaal-economische status en mogelijk migratieachtergrond. Er is een risico op vooroordelen bij de inzet van SyRI dat niet te controleren is. Mr. Ekker en mr. Linders, advocaten van de eisende partijen: "De rechtbank bevestigt dat het grootschalig koppelen van persoonsgegevens in strijd is met fundamentele mensenrechten, waaronder de bescherming van de persoonlijke levenssfeer, EU-recht en Nederlands recht. Deze uitspraak is daarom ook belangrijk voor andere Europese landen en op internationaal niveau."

Voortaan mogen persoonsgegevens van onverdachte burgers niet zomaar meer worden samengevoegd uit verschillende bronnen, als daar geen gegrond vermoeden aan ten grondslag ligt.

Streep in het zand 

"Dit vonnis is een belangrijke streep in het zand tegen ongebreidelde dataverzameling en risicoprofilering. De rechter roept hiermee een duidelijke halt toe aan massale surveillance van onschuldige burgers. SyRI en vergelijkbare systemen dienen nu per direct te worden afgeschaft", aldus directeur Vincent Böhre van Privacy First.

"We hebben vandaag op alle grote fundamentele punten gelijk gekregen. Dit is een tijdige overwinning voor de rechtsbescherming van alle burgers in Nederland," aldus Tijmen Wisman van het Platform Bescherming Burgerrechten. 

Ook mede-eiser vakbond FNV keurt SyRI op principiële gronden af. "Wij zijn blij dat de rechter nu definitief een streep door SyRI haalt", aldus Kitty Jong, vicevoorzitter van FNV.

Kentering

De partijen hopen dat de uitspraak een kentering inluidt in de wijze waarop de overheid omspringt met data van burgers. Ze voelen zich daarin gesterkt door de overwegingen van de rechtbank: deze gelden niet alleen voor SyRI, maar ook voor vergelijkbare praktijken. Zo hebben veel gemeenten eigen datakoppelsystemen die burgers profileren voor allerhande beleidsdoeleinden. Een koppelwetsvoorstel met een nog grotere reikwijdte dan SyRI zal het mogelijk maken om ook databases van private partijen te koppelen met overheidsdatabases. De uitspraak van de rechtbank Den Haag stelt echter paal en perk aan deze Big Data praktijken. Het is volgens de eisende partijen daarom cruciaal dat het SyRI-vonnis doorwerkt in het huidige en toekomstige politieke beleid.

Maatschappelijke discussie

De rechtszaak tegen SyRI dient zowel een juridisch als een maatschappelijk doel. Met dit vonnis zien eisers beide doelen gerealiseerd worden. Merel Hendrickx van het PILP-NJCM: "Het was naast het stoppen van SyRI evenzeer onze insteek om een maatschappelijke discussie op gang te brengen over de manier waarop de overheid met haar burgers omgaat in een digitaliserende samenleving. Deze uitspraak laat zien hoe belangrijk het is om die maatschappelijke discussie te voeren."

Hoewel de wettelijke aanname van SyRI in 2014 geruisloos verliep, zwol de discussie over de rechtmatigheid van het systeem aan na aankondiging van de rechtszaak. Inzet van SyRI in twee wijken in Rotterdam-Zuid leidde begin 2019 tot protest onder de inwoners en discussie in de gemeenteraad. Niet veel later trok burgemeester Aboutaleb de stekker uit het onderzoek wegens twijfels over de wettelijke grondslag. In juni 2019 onthulde de Volkskrant dat SyRI sinds haar invoering nog niet één fraudeur had opgespoord. In oktober 2019 schreef VN-rapporteur Philip Alston in een kritische brief aan de rechtbank grondige twijfels te hebben over de rechtmatigheid van SyRI. Eind november 2019 won SyRI een Big Brother Award.

De coalitie werd tijdens de rechtszaak vertegenwoordigd door Anton Ekker (Ekker Advocatuur) en Douwe Linders (SOLV Advocaten) en wordt gecoördineerd door het Public Interest Litigation Project (PILP) van het NJCM.

De volledige uitspraak van de rechtbank staat HIER online. 

Tijdens de Nationale Privacy Conferentie van Privacy First en ECP zijn vandaag, op de Europese Dag van de Privacy, de Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken. De winnaars van de Nederlandse Privacy Awards 2020 zijn Publicroam, NUTS en Candle.

Winnaar: Publicroam

Als gast overal veilig en gemakkelijk op WiFi

In de bibliotheek, in een koffiebar, een hotel, loggen de meeste mensen in op het lokale WiFi netwerk. Omdat de mobiele datanetwerken niet overal binnen goed werken en omdat je abonnement dan minder snel wordt verbruikt. Vaak werken die WiFi’s met één lokaal wachtwoord, wat op alle tafels of schermen staat. Dit maakt je digitale activiteiten op verschillende manieren kwetsbaar, met alle vervelende gevolgen die dit kan hebben. Bovendien weet je niet wat de aanbieders van die netwerken met jouw persoonlijke gegevens doen. Er wordt wel gezegd dat de handel in persoonsgegevens intussen meer geld oplevert dan de handel in olie.

Bij onderwijsinstellingen werden deze risico’s als eerste onderkend, later ook bij de overheid. Zo ontstonden eerder al Eduroam en Govroam. Maar waarom niet gewoon voor iedereen en overal? Dat idee is opgepakt door Publicroam en valt op steeds meer plekken in goede aarde. En terecht, is de mening van de jury. Verschillende grote gemeenten en organisaties (zoals alle bibliotheken in ons land) zijn al aangesloten of sluiten binnenkort aan. Op zichzelf is deze voorziening dus niet een volstrekt nieuwe oplossing, maar de jury is vooral onder de indruk omdat de voorziening letterlijk voor iedereen in ons land – en mogelijk ook daarbuiten – grote voordelen kan bieden en daarmee grote impact kan hebben op wat we gewend zijn: één account en bij alle deelnemers automatisch en veilig online, met serieus respect voor privacy.

Het is dus mogelijk: goede zakelijke initiatieven en toch respect voor de privacy, zie hier het bewijs.

Winnaar: NUTS

Decentrale infrastructuur voor privacyvriendelijke zorgcommunicatie

Stichting NUTS is een initiatief dat een privacyvriendelijke oplossing wil bieden voor identiteitsmanagement en het delen van persoonsgegevens in de zorg. Het initiatief houdt in dat individuen zeggenschap houden over welke zorggegevens gedeeld mogen worden door zorgverleners met andere zorgverleners. Stichting NUTS heeft zijn uitgangspunten in een Manifest neergelegd die door deelnemers onderschreven moeten worden, en alle software die ontwikkeld wordt moet voldoen aan de eisen van open source. Het resultaat waar stichting NUTS naar streeft is een decentrale architectuur die controle en zeggenschap over persoonsgegevens in de zorg bij de betrokkenen houdt.

De diensten die via het decentrale netwerk worden geleverd zijn gebaseerd op de uitgangspunten van privacy by design. Identiteitsmanagementoplossingen dragen bij aan het onomstotelijk bewijzen van de identiteit van de betrokkene. De decentrale benadering sluit aan op de zorgarchitectuur die momenteel in de zorg in ontwikkeling is – en ook al deels wordt uitgerold. Zo kunnen de zorginformatiebouwstenen gebruik maken van de decentrale voorzieningen die via NUTS gerealiseerd worden.

Voor de jury is stichting NUTS een mooi voorbeeld van een initiatief dat op een omvattende manier naar privacyvraagstukken kijkt en daar ook concrete oplossingen voor realiseert. De open source community die de stichting NUTS aan het realiseren is, voorkomt vendor-lock-in op cruciale onderdelen van de zorginfrastructuur. De in opkomst zijnde Persoonlijke Gezondheidsomgevingen kunnen eveneens gebruik maken van de decentrale beheersvoorzieningen die NUTS nastreeft. De gedachte achter NUTS – het creëren van een nutsvoorziening voor een cruciaal onderdeel van de zorgarchitectuur – spreekt de jury bijzonder aan. Verbreding van de Stichting, die nu nog grotendeels door één bedrijf wordt gedragen, zal het draagvlak voor het initiatief verder vergroten.

Om de Stichting NUTS de mogelijkheid te geven zijn idealen verder te realiseren en breder uit te dragen, kent de jury daarom dit jaar de juryprijs voor bedrijfsoplossingen toe aan stichting NUTS.

Winnaar: Candle

Privacyvriendelijke smart home oplossing

Candle is een reactie op een risicoanalyse (privacy by design) van IoT-producten die een verbinding met een cloud server maken zonder dat dit noodzakelijk is. Het is een project dat gericht is op het ontwikkelen van alternatieve smart systemen in en rondom het huis, met als basis dat er geen verbinding met het internet noodzakelijk is. Het is gestart als projectorganisatie met studenten vanuit de universiteit, hogeschool en kunstenaarscollectieven gericht op het ontwikkelen van praktische hardware-oplossingen, gecombineerd met open source software. Zo kunnen diverse huishoudelijke apparaten zoals de CV, camera's, een CO2-sensor en andere toepassingen eenvoudig met elkaar verbonden worden. Voor het contact maken met een extern netwerk wordt een schakelaar toegepast. Als gebruiker maak je een bewuste keuze wanneer je de mail en andere data naar binnen haalt en naar buiten zendt.

Candle laat zien dat het eenvoudig mogelijk is om een Smart oplossing te creëren zonder de Big Tech bedrijven met hun data driven modellen. Inmiddels zijn er diverse conceptoplossingen die daadwerkelijk in de praktijk gebracht kunnen worden door bedrijven. Candle is in de kern privacy by design en opent de ogen voor alternatieve smart systemen.

“Net zoals de markt voor biologisch eten enorm gegroeid is, zo zal de markt voor ethische technologie ook groeien. Maar hoe zwengel je die markt aan? Dat is de uitdaging. De AVG heeft de grond geploegd. Nu is het tijd om te zaaien en het concept aan de consument toe te vertrouwen”, aldus Candle.

Nominaties  

Er zijn 4 categorieën waarvoor inschrijvingen genomineerd konden worden:

1. categorie Consumentenoplossingen (van bedrijven voor consumenten)

2. categorie Bedrijfsoplossingen (binnen een bedrijf of business-to-business)

3. categorie Overheidsdiensten (van de overheid voor burgers)

4. Aanmoedigingsprijs voor een baanbrekende technologie of persoon.

Uit de diverse inzendingen had de onafhankelijke vakjury de volgende genomineerden per categorie bepaald:

Tijdens de Nationale Privacy Conferentie hebben alle genomineerden hun projecten middels Award-pitches aan het publiek gepresenteerd. Vervolgens zijn de Awards uitgereikt. Klik HIER voor het hele juryrapport (pdf) met deelnamecriteria en toelichting bij alle genomineerden en de winnaars.

Nationale Privacy Conferentie

De Nationale Privacy Conferentie is een initiatief van ECP|Platform voor de InformatieSamenleving en Privacy First. Deze conferentie brengt jaarlijks het Nederlandse bedrijfsleven, overheid, wetenschap en maatschappelijk middenveld bijeen om gezamenlijk te kunnen bouwen aan een privacyvriendelijke informatiemaatschappij. Missie van de Nationale Privacy Conferentie en Privacy First is de ontwikkeling van Nederland tot internationaal Privacy Gidsland. Privacy by design vormt daartoe de sleutel.

Sprekers tijdens de Nationale Privacy Conferentie 2020 waren achtereenvolgens:  

Monique Verdier (vice-voorzitter Autoriteit Persoonsgegevens)
Richard van Hooijdonk (trendwatcher/futurist) en Bas Filippini (oprichter en voorzitter van Privacy First)
Tom Vreeburg (IT-auditor) )
Coen Steenhuisen (privacy-adviseur Privacy Company)
Peter Fleischer (global privacy counsel Google) 
Sander Klous (hoogleraar Big Data Ecosystemen, Universiteit van Amsterdam)
Kees Verhoeven (Tweede Kamerlid D66).

Jury Nederlandse Privacy Awards

De jury van de Awards bestaat uit onafhankelijke privacy-experts uit diverse sectoren:

• Bas Filippini, oprichter en voorzitter Privacy First
• Paul Korremans, partner Comfort-IA; functionaris gegevensbescherming; tevens bestuurslid Privacy First
• Marie-José Bonthuis, eigenaar IT’s Privacy
• Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
• Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
• Melanie Rieback, CEO en co-founder Radically Open Security
• Nico Mookhoek, privacy jurist en eigenaar NMLA
• Wilmar Hendriks, founder Control Privacy (tevens lid Raad van Advies Privacy First)
• Alex Commandeur, senior adviseur BMC Advies.

Om te garanderen dat de verkiezing van de Awards objectief verloopt, is het niet toegestaan dat de jury een deelname beoordeelt van de eigen organisatie.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Wilt u ook sponsor van de Nederlandse Privacy Awards worden? Neem dan contact op met Privacy First!

Michiel Jonker: "Contante betaling waarborgt de privacy van bioscoopbezoekers."

De Arnhemse privacy-activist Michiel Jonker heeft bij de Rechtbank Gelderland beroep ingediend tegen de weigering van de Autoriteit Persoonsgegevens (AP) om handhavend op te treden tegen de weigering van arthouse-bioscoop Focus Filmtheater in Arnhem om contante betaling te accepteren. De bioscoop eist sinds de verhuizing naar een pand dat miljoenen heeft gekost, pinbetaling bij aankoop van filmkaartjes aan de kassa. Daarmee dwingt de bioscoop bezoekers tot het laten verwerken van hun persoonsgegevens.

Jonker is het daar niet mee eens en heeft om die reden in augustus 2018 een handhavingsverzoek bij de AP ingediend. De AP heeft dat verzoek in november 2019 afgewezen omdat volgens de AP niemand verplicht is om contant geld als wettig betaalmiddel te accepteren. Ook stelt de AP dat de bioscoop middels haar algemene voorwaarden een "contract" met de bioscoopbezoekers tot stand brengt, waaruit een noodzaak zou voortvloeien om persoonsgegevens van de bioscoopbezoekers te verwerken.

Volgens Jonker is er in geval van toonbankbetalingen in een aantal gevallen echter wel degelijk een plicht om contant geld te accepteren. Hij beroept zich daarbij op informatie van een expert van de Nederlandsche Bank. "Focus Filmtheater is een arthouse-bioscoop die films vertoont over gevoelige onderwerpen, en wordt nota bene voor een deel met gemeenschapsgeld gefinancierd," zegt Jonker. "Het gaat hier om de maatschappelijke participatie van mensen. Het moet niet mogelijk zijn dat achteraf door middel van profilering wordt achterhaald voor welke films iemand in de loop der tijd belangstelling heeft getoond. Als deze bioscoop privacyvriendelijke contante betaling mag weigeren, dan is dat het signaal dat iedereen afhankelijk mag worden gemaakt van niet-anonieme methoden om betalingen te doen - via pin of via internet. Dan moet je gaan nadenken wat andere mensen, autoriteiten of geautomatiseerde systemen voor conclusies kunnen trekken over jouw keuze om wel of niet bepaalde films te zien. Dat geeft aan deze zaak een grote lading."

In de documenten die Jonker in de bezwaarprocedure heeft opgevraagd, heeft hij ook aanwijzingen aangetroffen dat er onvoldoende waarborgen zijn met betrekking tot de persoonsgegevens die via de website van de bioscoop worden verzameld. "Als je een bioscoopkaartje koopt, kunnen je gegevens worden verwerkt door op zijn minst zeven bedrijven in vijf landen. Eén van die bedrijven is Google, en de kleine lettertjes in de algemene voorwaarden van Google geven dat bedrijf zeer veel vrijheid om de verzamelde gegevens met derden te delen in zo'n beetje alle landen ter wereld. Het is niet duidelijk of er tijdige en adequate anonimisering plaatsvindt. Zoals het er nu staat, is het een vrijbrief voor privacy-aantasting."

Voor de volledige tekst van Jonkers beroepschrift, klik HIER (pdf, 94 pp).

Privacy First steunt Jonker in deze zaak.

Media:
Security.nl, 7 januari 2020: Rechtszaak over Arnhemse bioscoop die contant geld weigert
Privacyweb, 7 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
Sargasso.nl, 8 januari 2020: Rechtszaak tegen weigering contant geld door bioscoop
FOK Nieuws, 8 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
AVROTROS Radar, 8 januari 2020: Niet contant kunnen betalen: inbreuk op je privacy? (inclusief opiniepoll)
Potkaars.nl, 8 januari 2020: Michiel Jonker - War on Cash in de Bioscoop (video-interview en podcast) 
Café Weltschmerz, 8 januari 2020: Profileren op basis van bioscoopbezoek – Rico Brouwer en Michiel Jonker (video-interview)
Emerce, 10 januari 2020: Rechtszaak tegen weigering van contant geld door bioscoop
De Gelderlander, 16 januari 2020: Privacystrijder blijft vechten voor betalen met contant geld bij filmhuis in Arnhem
FOK Nieuws, 17 januari 2020: Q&A met privacy-activist Michiel Jonker.
Tweakers, 6 februari 2020: Interview met Michiel Jonker - privacyactivist uit idealisme en irritatie. 

Update 7 februari 2022: de rechtbank Gelderland zal op 8 februari 2022 het beroep van Jonker ter zitting behandelen. Jonker zal vanwege Covid-19-gerelateerde omstandigheden deelnemen via een video-verbinding. Sinds de indiening van het hoger beroep in januari 2020 heeft het ruim twee jaar geduurd tot de rechtszitting, onder andere omdat de rechtbank in augustus 2021 nog niet in staat was een voldoende privacyvriendelijke video-verbinding te realiseren waarvoor de rechtszoekende geen account hoeft aan te maken waarlangs persoonsgegevens buiten de EU kunnen belanden. Daarom stemde de rechtbank erin toe de zitting uit te stellen tot na de invoering van een video-verbinding via Microsoft Teams (begin 2022).

Jonker: "In de tussentijd is er veel gebeurd. Ik zal met zeer gemengde gevoelens deelnemen aan deze rechtszitting. In de loop van vorig jaar (2021) is mijn vertrouwen in de Nederlandse rechtspraak geknakt. Dat kwam door een aantal rechterlijke uitspraken in andere privacy-zaken, waaruit bleek dat rechters de wet zo ver oprekken dat deze geen enkele reële bescherming meer biedt. Maar ook door hoe Nederlandse rechters zich opstelden ten aanzien van de schending van grondrechten door de overheid met een beroep op de corona-crisis, in gevallen waarin daar geen medische noodzaak voor was. Zowel bij die privacy-zaken als bij die corona-zaken zag je bij de rechters precies dezelfde houding. Ze gaven de machtigste partij alle ruimte om zonder noodzaak grondrechten te schenden en trokken zich zelf diep terug in hun schulp, waarvoor ze dan mooie excuses aanvoerden, bijvoorbeeld door te verwijzen naar "terughoudende toetsing". Omdat dit in de Nederlandse rechterlijke macht nu kennelijk als normaal gedrag wordt beschouwd, heb ik geen vertrouwen meer in onze rechtspraak, ook niet als het gaat om de zaak die nu behandeld gaat worden. Maar het is natuurlijk mogelijk dat ze, door toegenomen maatschappelijke onvrede over de toegenomen rechteloosheid, deze keer alsnog wat meer rechterlijke betrokkenheid zullen gaan tonen. Ik ben bijvoorbeeld heel blij dat de net gestarte petitie voor afschaffing van corona-toegangsbewijzen (CTB's) binnen twee dagen al 500.000 keer is ondertekend. Zelfs als de rechters niet geïnteresseerd zijn in inhoudelijke argumenten, dan kan zo'n getalsmatig argument hun misschien toch aan het denken zetten."

Een andere ontwikkeling die Jonker zorgen baart, zijn de initiatieven die de afgelopen twee jaar zowel op Nederlands als op Europees niveau zijn genomen om te komen tot "digitaal geld" (CBDC) en een "digitale identiteit" voor alle EU-burgers. Jonker: "Het lijkt of overheden onder dekking van een telkens verlengde corona-crisis een aantal fundamentele zaken willen digitaliseren om op die manier toegang te krijgen tot cruciale persoonsgegevens van alle inwoners. Er wordt een technocratische controlestaat opgetuigd. Dat maakt mijn verdediging van het recht om contant te mogen betalen, nog veel relevanter en urgenter. Het is vergelijkbaar met de CTB's: als je buitengesloten wordt van deelname aan de maatschappij wanneer je niet meedoet aan een overheidsprogramma, dan zijn we in de praktijk onze vrijheid kwijt. In dit geval wordt je buitengesloten van de mogelijkheid om actuele kritische films te kijken als je niet digitaal betaalt."

Voor de tekst van Jonkers pleitnota "Privacy en contante betaling - Verloren vertrouwen" klik HIER (pdf, 8 pp). De rechtbank heeft aangegeven dat het Jonker niet is toegestaan deze pleitnota ter zitting voor te lezen. Wel mag hij die aanvullen. Hij geeft aan dat laatste ook te zullen doen. 

Media:
Security.nl, 8 februari 2022: Rechtszaak tegen weigering van contant geld door Arnhemse bioscoop 
De Gelderlander, 8 februari 2022: Arnhemse privacy-activist weigert te pinnen voor bioscoopkaartje, vergelijking met coronapas 
Security.nl, 9 februari 2022: Hoe kansrijk is de zaak tegen de Autoriteit Persoonsgegevens inzake de weigering van contant geld door Arnhemse bioscoop? 
Potkaars.nl, 11 februari 2022: video van rechtszitting en video van interview Rico Brouwer met Michiel Jonker
Argus, 16 februari 2022: De privacy van een bioscoopkaartje (p. 5, pdf).  

Update 24 mei 2022: op 16 mei 2022 heeft de rechtbank Gelderland uitspraak gedaan in de zaak. Jonkers beroep is ongegrond verklaard. De rechtbank voert daar in de kern drie redenen voor aan:

- het doel van de bioscoop om de veiligheid te verhogen door het weigeren van contant geld, is gerechtvaardigd;
- dit doel wordt naar het oordeel van de rechtbank door de weigering van contante betaling ook bereikt;
- via de algemene voorwaarden bij de aankoop van een bioscoopkaartje aan de balie (die gelden als een "contract") mag de bioscoop dit ook afdwingen, met een beroep op artikel 6 lid 1 onder b van de AVG, waarin sprake is van een wettelijke grondslag voor de verwerking van persoonsgegevens indien er sprake is van de "noodzaak ten behoeve van de uitvoering van een contract".

Jonker: "Met deze uitspraak is de afschaffing van contant geld weer een stap dichterbij gebracht. Iedere winkelier of caféhouder kan nu zeggen: Ik heb als doel om de veiligheid te bevorderen door contant geld te weigeren. En dan is het volgens de rechtbank prima geregeld. Ook als er geen enkel veiligheidsprobleem is aangetoond. De rechtbank negeert alles wat ik naar voren heb gebracht met verwijzing naar het boek 'Juridische aspecten van contant geld' - geschreven door een deskundige van de Nederlandsche Bank. De rechtbank negeert ook artikel 5 lid 2 van de AVG, waarin staat dat een noodzaak voor het verwerken van persoonsgegevens aantoonbaar moet zijn. De rechtbank zegt eigenlijk dat de wens of het doel van de bioscoop om het zo te doen, gelijk moet worden gesteld aan een noodzaak om het zo te doen, zolang de bioscoop dat maar opschrijft in zijn algemene voorwaarden, die dan gelden als een contract. Dit is een vrijbrief voor willekeur. Contante betaling mag op deze manier om volstrekt subjectieve redenen worden geweigerd, ook als dat de privacy van klanten aantast. De bioscoop hoeft maar een magisch woord in de mond te nemen, zoals veiligheid, efficiëntie, hygiëne of wat dan ook - en dan creëert dat zogenaamd meteen een 'gerechtvaardigd, welbepaald en uitdrukkelijk omschreven doel' en dus ook een 'noodzaak' om persoonsgegevens te verwerken door middel van pinbetaling."

Gevraagd wat hij nu gaat doen, zegt Jonker: "Het is me al enige tijd duidelijk dat we in Nederland niet in een rechtsstaat leven, in ieder geval niet als het om privacy gaat, maar ook een aantal andere grondrechten worden door onze rechters niet serieus beschermd. Tijdens de zitting stelden deze rechters goede vragen, ze weten prima wat er hier op het spel staat. Maar toch doen ze dit. Ze volgen een bepaald script en negeren al het andere. Ik denk dat ze 's avonds met evenveel trots in de spiegel kunnen kijken als hun Russische en Chinese collega's. In mijn ogen heeft dit soort rechtspraak alles weg van de rechtspraak van een 'kangaroo court', het is niet meer dan de pretentie van rechtspraak - de keizer heeft erg weinig kleren meer aan. Met het oog hierop, moet ik nu eerst een keuze maken of ik in hoger beroep ga.

De Raad van State heeft in andere door mij gevoerde privacy-rechtszaken al duidelijk gemaakt hetzelfde script te volgen van instemming met contractueel vastgelegde willekeur. Dus ik heb geen enkele illusie dat die mij in hoger beroep in het gelijk zal stellen. Het heeft dus alleen zin in hoger beroep te gaan als ik daarna ook bereid ben om naar het Europese Hof voor de Rechten van de Mens (EHRM) te stappen, zoals ik onlangs heb gedaan in een zaak over privacy in het openbaar vervoer. Maar een stap naar het EHRM heeft weer alleen zin als ik aantoonbare schade heb geleden, anders wordt mijn zaak niet eens in behandeling genomen - en dan moet er opeens wèl heel duidelijk iets aangetoond worden, de rechters meten op dit punt met twee enorm verschillende maten.

De verwerkingsverantwoordelijke hoeft niets aan te tonen, maar de burger wiens gegevens verwerkt worden wel. De vraag is dan of het feit dat ik niet meer naar mijn plaatselijke arthouse-bioscoop kan omdat ik mijn privacy wil behouden, door het EHRM als ' significant nadeel' wordt beschouwd. Is het een significant nadeel om die mogelijkheid tot maatschappelijke participatie kwijt te raken? Ook is het dan de vraag wat voor bewijs het EHRM van mij eist. Hoe kan ik bewijzen dat ik iets niet heb gedaan omdat het mijn privacy zou aantasten? Kortom, het zou heel goed kunnen dat ik ondanks dat mooie Europese Verdrag voor de Rechten van de Mens en ondanks die mooie AVG, toch rechteloos ben als puntje bij paaltje komt. Maar zelfs in dat geval kan het nuttig zijn om naar het EHRM te stappen, om te laten zien en vast te leggen dat zelfs een burger die er alles aan doet, toch niet beschermd wordt. En dat Nederlandse èn Europese rechters het prima vinden als contante betaling wordt afgeschaft zonder een even privacy-vriendelijk alternatief. Ik zal hierover advies inwinnen."

Indien Jonker besluit in hoger beroep te gaan, steunt Privacy First hem daarin. Contactverzoeken voor Michiel Jonker kunnen worden ingediend via Privacy First.

Update 22 juni 2022: Jonker heeft op 20 juni jl. hoger beroep ingediend bij de Afdeling bestuursrechtspraak van de Raad van State.

Jonker: "Het was een haastklus vanwege tijdgebrek. Omdat de rechtbank bijna de gehele inhoud van mijn beroepschrift heeft genegeerd, heb ik die opnieuw opgenomen in mijn hoger beroepschrift. Daarnaast heb ik gereageerd op de overwegingen van de rechtbank. En ik heb de Raad van State verzocht om over enkele cruciale zaken prejudiciële vragen te stellen aan de bevoegde internationale of Europese rechter. De kans dat de Raad van State dat gaat doen, acht ik niet zo groot, omdat ik in andere rechtszaken ook al de mogelijkheid van dergelijke prejudiciële vragen in overweging heb gegeven, zonder dat de Raad van State daar iets mee deed. Het enige wat ik kan doen, is de aandacht op die mogelijkheid vestigen.

Ik zie dit hoger beroep vooral als een noodzakelijke stap om toegang te kunnen krijgen tot het Europese Hof voor de Rechten van de Mens. Maar natuurlijk kan ik me vergissen en kunnen rechters van de Raad van State deze keer opeens wel serieus ingaan op de gronden voor mijn hoger beroep. In ieder geval blijf ik op deze manier twee dingen verdedigen: enerzijds de instandhouding van contant geld als wettig en ook toegankelijk betaalmiddel, en anderzijds de erkenning dat een privacyvriendelijk betaalmiddel niet zonder even privacyvriendelijk alternatief mag worden geweigerd en daarmee uiteindelijk afgeschaft."

Het hogerberoepschrift van Jonker kan HIER worden gedownload (pdf).

Privacy First nodigt u graag uit voor haar Nieuwjaarsborrel! Deze zal plaatsvinden op woensdagavond 8 januari as. in het Volkshotel in Amsterdam. De avond zal grotendeels in het teken staan van het thema Blockchain en financiële privacy. Welke actuele ontwikkelingen vinden er op dit vlak plaats? Hoe verhouden die ontwikkelingen zich tot het recht op privacy? Hoe kan blockchain zo worden ontworpen en gereguleerd dat publieke waarden als privacy, transparantie en vertrouwen erdoor worden versterkt? En welke rol zou Privacy First hierbij kunnen spelen? Na de Nieuwjaarsspeech door Privacy First voorzitter Bas Filippini zullen juridisch expert Jurgen Goossens (Universiteit Tilburg), financieel expert Simon Lelieveldt en Martijn van der Veen (Privacy First) hun licht over deze kwesties laten schijnen. Hierna is er ruimte voor discussie onderling en met het publiek, gevolgd door een borrel waar wij samen kunnen proosten op een privacyvriendelijk 2020!

Iedereen is welkom, toegang is gratis. Donaties aan Privacy First worden echter zeer op prijs gesteld. Aanmelden kan via Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken., maar is niet verplicht.

Datum: woensdag 8 januari 2020, 19.30-22.00u (inloop vanaf 19.00u).
Locatie: Volkshotel, Wibautstraat 150 te Amsterdam (Doka cocktailbar). Een routebeschrijving vindt u op https://www.volkshotel.nl/nl/directions/.

Klik HIER voor de uitnodiging zoals Privacy First die onlangs aan haar netwerk verzond (pdf). Wilt u voortaan directe uitnodigingen voor onze evenementen ontvangen? Mail ons! Dan voegen wij u toe aan onze mailinglist.

Op 28 januari as. (de Europese Dag van de Privacy) worden tijdens de Nationale Privacy Conferentie van ECP en Privacy First de jaarlijkse Nederlandse Privacy Awards uitgereikt. Deze Awards bieden een podium aan bedrijven en overheden die privacy zien als een kans om zich positief te onderscheiden en privacyvriendelijk ondernemen en innoveren tot norm te maken.

Genomineerden

Dit jaar heeft opnieuw een groot aantal hoogwaardige inzenders zich voor deelname aan de Nederlandse Privacy Awards aangemeld. Na een eerste selectie en diverse bedrijfsbezoeken heeft de onafhankelijke vakjury de volgende genomineerden bepaald, in willekeurige volgorde:

Publicroam
In de bibliotheek, in een koffiebar, een hotel, loggen de meeste mensen in op het lokale WiFi netwerk. Vaak met één lokaal wachtwoord, wat op alle tafels staat. Bij onderwijsinstellingen werden de risico’s als eerste onderkend, later ook bij de overheid. Zo ontstonden Eduroam en Govroam. Maar waarom niet gewoon voor iedereen en overal als gast veilig en gemakkelijk op WiFi? Dat idee is opgepakt door Publicroam en valt op veel plekken in goede aarde. Verschillende grote gemeenten en organisaties, zoals alle bibliotheken zijn al aangesloten of sluiten aan. Eén account en bij alle deelnemers automatisch en veilig online, met serieus respect voor privacy.

Candle
Candle is een project dat gericht is op het ontwikkelen van alternatieve smart systemen in en rondom het huis, met als basis dat er geen verbinding met het internet en een cloud noodzakelijk is. Candle is als projectorganisatie met studenten vanuit de universiteit, hogeschool en kunstenaarscollectieven gericht op praktische hardware-oplossingen, gecombineerd met open source software. Zo kunnen diverse huishoudelijke apparaten zoals de cv, camera's, sensoren etc eenvoudig hierop aangesloten worden. De smart oplossing zonder de Big Tech bedrijven en hun data driven modellen is dus mogelijk en eenvoudig te realiseren en Candle laat dat zien. Inmiddels zijn er diverse oplossingen die daadwerkelijk in de praktijk gebracht kunnen worden door bedrijven. Candle is in de kern privacy by design en opent de ogen voor alternatieve smart systemen.

Skotty
Het ambitieniveau van Skotty is hoog; de beste zijn in veilige digitale communicatie. Skotty biedt een veilig alternatief voor het regelmatig versturen van e-mails met bijlagen. Bij de ontwikkeling van Skotty stond privacy by design centraal. In de architectuur is het uitgangspunt geen toegang te willen tot gegevens over gebruikers. Via de browser worden databestanden versleuteld verzonden en opgeslagen. Skotty heeft geen toegang tot de data in de bestanden, alleen het gebruikersprofiel en is daarmee met recht een zero knowledge provider.

NUTS
NUTS wil als stichting bijdragen aan het creëren van een Open Source Community die privacyvriendelijke oplossingen voor het delen van persoonsgegevens in de zorg biedt. NUTS werkt aan een decentrale benadering van toestemmingsverlening. Patiënten krijgen regie over wie toegang krijgt tot hun gegevens. De stichting nodigt iedereen uit om – binnen de lijnen van het Manifest van de stichting – bij te dragen aan open source oplossingen. Privacy staat bovenaan in de benadering. NUTS beperkt zich tot processen rond authenticatie en identificatie, adressering en logging. Daarmee onderscheidt NUTS zich als een hoeder van privacy bij het delen van gegevens in de zorg.

Rabobank en Deloitte
Voor het in aanmerking komen voor (sociale) huurwoningen zijn veel persoonlijke gegevens noodzakelijk. Woningcorporaties hebben vanuit een ambitie om efficiënter te werken en daarbij recht te doen aan de vertrouwelijkheid van klantinformatie gezocht naar andere oplossingen. Uitgangspunten daarbij zijn dataminimalisatie en regie voor de potentiële huurder. Door de Rabobank is een Wallet (app) ontwikkeld die de gebruiker in staat stelt veilig via DigiD op het juiste moment in het proces een inkomenstoets te doen. Door Deloitte is een Zero Knowledge Proof algoritme ontwikkeld dat dataminimalisatie mogelijk maakt. Hiermee krijgt de potentiële huurder meer regie op zijn gegevens en wordt de hoeveelheid data geminimaliseerd. 

Jury Nederlandse Privacy Awards

De jury bestaat uit onafhankelijke privacy-experts uit diverse sectoren:
- Bas Filippini, oprichter en voorzitter Privacy First
- Paul Korremans, partner Comfort-IA; functionaris gegevensbescherming; tevens bestuurslid Privacy First
- Marie-José Bonthuis, eigenaar IT’s Privacy
- Esther Janssen, advocaat Informatierecht en grondrechten, bureau Brandeis
- Marc van Lieshout, managing director iHub, Radboud Universiteit Nijmegen
- Melanie Rieback, CEO en co-founder Radically Open Security
- Nico Mookhoek, privacy jurist en eigenaar NMLA
- Wilmar Hendriks, founder Control Privacy (tevens lid Raad van Advies Privacy First)
- Alex Commandeur, senior adviseur BMC Advies.

Uitreiking Awards

Tijdens de Nationale Privacy Conferentie op 28 januari as. in Nieuwspoort (Den Haag) worden alle genomineerde projecten door de inzenders aan het publiek gepresenteerd. De Nederlandse Privacy Awards zullen vervolgens door Tweede Kamerlid Kees Verhoeven (D66) worden uitgereikt in drie categorieën: 1) Bedrijfsoplossingen, 2) Consumentenoplossingen en 3) Aanmoedigingsprijs.

Privacy First organiseert de Nederlandse Privacy Awards met steun van Stichting Democratie & Media, in samenwerking met ECP. Klik HIER voor een impressie van de Nederlandse Privacy Awards 2019. Media zijn van harte welkom om verslag van het evenement te doen. Neem voor nadere informatie en verzoeken om interviews contact op met Privacy First.

Hierbij publiceert Stichting Privacy First graag haar jaarverslag 2018: klik HIER om de pdf-versie te downloaden. Bij dit jaarverslag hoort tevens onze jaarrekening 2018 (pdf, reeds in april 2019 gepubliceerd). In ons jaarverslag leest u alles over onze voornaamste activiteiten in 2018 (en deels alvast 2019), waaronder onze Nederlandse Privacy Awards, onze campagne rond het referendum tegen de Sleepwet, onze rechtszaken, onze lobby, onze evenementen en projecten.

Privacy First heeft opnieuw een positief en turbulent jaar achter de rug. De publicatie van dit jaarverslag is daardoor vertraagd, maar immer actueel. Ondanks de komst van de Europese privacywet AVG staat het recht op privacy in Nederland nog steeds onder enorme druk. Een krachtige organisatie als Privacy First blijft daarom cruciaal en uw steun als sponsor of donateur is en blijft daarbij onmisbaar. Klik HIER om donateur van Privacy First te worden!

"Op steeds meer scholen hangen beveiligingscamera's in bijvoorbeeld de kantine, bij de kapstokken of op het schoolplein. Dat blijkt uit een rondgang van het NOS Jeugdjournaal langs twintig basis- en middelbare scholen en betrokken instanties. Sommige scholen hebben zelfs meer dan veertig camera's op het terrein. Ze moeten zich houden aan privacyregels, maar worden niet actief gecontroleerd op de naleving daarvan, tenzij er een klacht is.
(...)
Privacyexperts maken zich soms zorgen over het gebrek aan controle, maar ook over de aanwezigheid van camera's an sich. Scholen moeten altijd een geldige reden hebben om een camera op te hangen. Beelden mogen alleen worden bekeken als daar aanleiding toe is en mogen sowieso niet langer dan vier weken worden bewaard. Ook moeten er bordjes hangen, waarop staat dat er cameratoezicht is.
(...)
Jurist Simone van Dijk van stichting Privacy First betwijfelt of scholen wel zulke zware veiligheidsproblemen hebben, om de aanwezigheid van camera's te rechtvaardigen. Ook vindt zij dat toezicht op scholieren primair bij het schoolpersoneel en de leraren ligt en dat cameratoezicht mogelijk averechts kan werken.

"Als er een incident is, komt dat vanzelf wel aan het licht, via gesprekken", zegt Van Dijk. "Door camera's op te hangen heb je kans dat leraren minder gaan opletten. Ook leerlingen kunnen denken: 'ik zeg er maar niets van, want het staat toch op camera'. Kinderen hebben recht op privacy", vervolgt zij. "Ze moeten de gelegenheid hebben fouten te maken die niet voor iedereen zichtbaar zijn.""


Bron: NOS en NOS Jeugdjournaal, 12 december 2019. Bekijk hieronder de hele reportage van het NOS Jeugdjournaal (tevens in kortere versie uitgezonden in meerdere NOS Journaals):

Rechtbank behandelt beroep van OV-reiziger inzake vier structurele privacy-inbreuken. Autoriteit Persoonsgegevens weigert deze inbreuken te onderzoeken of te handhaven.

Op 16 december 2019 zal de Rechtbank Gelderland in twee direct op elkaar volgende rechtszittingen de beroepen van Michiel Jonker behandelen tegen de afwijzing van twee handhavingsverzoeken door de Autoriteit Persoonsgegevens (AP). In juli 2018 verzocht Jonker in twee handhavingsverzoeken de AP om onderzoek en handhaving inzake:

1. De weigering door vervoerbedrijf Connexxion van privacyvriendelijke, contante betaling voor eenmalige buskaartjes in de bus.
2. Het weigeren van de terugbetaling van resterend saldo op anonieme OV-chipkaarten als de houder zijn NAW-gegevens niet aan Nederlandse Spoorwegen (NS) verstrekt.
3. Het weigeren van internationale treintickets door NS-medewerkers aan stationsbalies als kopers hun NAW-gegevens niet aan NS verstrekken.
4. Het in rekening brengen, sinds 2 juli 2018, van extra “servicekosten” als houders van anonieme OV-chipkaarten contant betalen voor het opwaarderen van het saldo op deze kaarten.

De AP weigerde deze inbreuken op de privacy serieus te onderzoeken, omdat volgens de AP een "globaal (bureau)onderzoek" reeds zou hebben uitgewezen dat er geen sprake was van enige overtreding. Volgens de AP is de verwerking van persoonsgegevens in sommige gevallen niet aangetoond en zou daar dus geen sprake van zijn (2, 3, 4). Met betrekking tot de verkoop van internationale tickets van buitenlandse vervoerbedrijven door NS verklaarde de AP zichzelf eerst ten onrechte onbevoegd, maar beweert nu, nadat Jonker daartegen bezwaar maakte, dat Jonker op dit punt niet om handhaving zou hebben verzocht. Met betrekking tot de weigering van contante betaling in de bus (1) vindt de AP dat de inbreuk op de privacy acceptabel is. Ook wekt de AP, in navolging van Connexxion, de schijn dat er allerlei andere privacyvriendelijke betaalmogelijkheden voorhanden zijn, terwijl er in Jonkers woonplaats Arnhem slechts één plek is waar dat kan, maar dan wel tegen betaling van een extra toeslag. Jonker vindt dat er op die manier sprake is van privacy-discriminatie: het nadelig behandelen van mensen die met privacy willen blijven reizen.

Jonker: "Het gaat in deze zaken om drie dingen. Ten eerste dat mensen met behoud van privacy van het openbaar vervoer gebruik kunnen maken, niet alleen in een vergezochte theorie, maar ook gewoon in de dagelijkse praktijk. Het gaat er dan om dat er voldoende verkooppunten zijn waar je contant kunt betalen voor alle soorten vervoerbewijzen, en zonder dat je een extra toeslag hoeft te betalen ten opzichte van reizigers die er noodgedwongen in berusten dat hun persoonsgegevens zonder hun instemming worden verwerkt. En dat vervoerbedrijven ook geen reizigers misleiden, of stiekem hun gegevens verzamelen.

Ten tweede gaat het erom dat vervoerbedrijven niet met willekeur persoonsgegevens mogen verzamelen, als ze maar met wat algemene kreten zwaaien, bijvoorbeeld "veiligheid" of "fraudepreventie", zonder duidelijk te maken om welk specifiek, concreet probleem het nu eigenlijk gaat.

Ten derde gaat het erom dat de AP als toezichthouder en handhaver niet zomaar mag weigeren om iets te onderzoeken. Nu trekt de AP uit haar eigen weigering om het te onderzoeken, de conclusie dat er dus niks aan de hand is. Dat is alsof een politie-agent na de melding van een inbraak weigert het betreffende huis binnen te stappen, maar in plaats daarvan zegt: ik ga daar niet naar binnen, dus ik zie geen inbraak, dus er is geen inbraak, dus ik hoef daar niet naar binnen te gaan. Daar is een heel simpel woord voor: wegkijken. Veel Nederlandse toezichthouders, waaronder de AP, hebben nogal de neiging weg te kijken en op die manier aan struisvogelpolitiek te doen. Maar we betalen die toezichthouders wel van ons belastinggeld. Dat doen we niet om ze te laten wegkijken."

Gevraagd of hij bijvoorbeeld "veiligheid" dan geen serieus thema vindt, antwoordt Jonker: "Natuurlijk vind ik dat een serieus thema. Juist daarom verdient het een serieuze behandeling. Maar dat is iets heel anders dan het thema veiligheid misbruiken om precies te gaan bijhouden welke routes miljoenen onschuldige reizigers op welke momenten afleggen. Ik ben voor een serieuze analyse van concrete veiligheidsproblemen, gevolgd door maatwerk om die specifieke problemen ook echt tegen te gaan. Connexxion heeft niet aannemelijk gemaakt dat contante betaling de veiligheid op zelfs maar één buslijn in de regio serieus in gevaar zou brengen. Ik woon al meer dan twintig jaar in Arnhem. Ik ging met lijn 3 naar de dierentuin, op een mooie, zonnige ochtend. Nooit geweten dat dat onveilig was... Het moet proportioneel blijven. Maar proportionaliteit kan heel subjectief worden opgevat. Dan mag je als vervoerbedrijf alles van reizigers eisen. Dat is op dit moment de basishouding van de AP. Als vervoerbedrijven iets willen, vindt de AP het dus nodig, en wil daarom niet handhaven of serieus onderzoeken."

Gevraagd naar zijn verwachtingen over de rechtszaken, antwoordt Jonker: "Sinds de uitspraken van de Rechtbank Gelderland in twee andere beroepsprocedures, op 5 september van dit jaar, ben ik zeer sceptisch over de kwaliteit van de rechtspraak van deze instantie. Tegen die uitspraken ben ik in hoger beroep gegaan bij de Raad van State. Ik heb de rechtbank verzocht om met de behandeling van deze nieuwe zaken te wachten tot de Raad van State uitspraak heeft gedaan, om een zinloze herhaling van zetten te voorkomen. Ook zijn er inmiddels prejudiciële vragen gesteld aan het Hof van Justitie van de Europese Unie over reisgegevens van OV-gebruikers. Dat wil ik ook graag afwachten, om alle partijen tijd en geld te besparen. Maar de rechtbank heeft dat verzoek helaas meteen afgewezen."

De rechtszittingen vinden plaats op 16 december 2019 om 10:30 uur in de Rechtbank Gelderland, Walburgstraat 2-4 te Arnhem. Klik HIER voor het beroepschrift van Jonker in de zaak over de weigering van contante betaling in de bus door vervoerbedrijf Connexxion (pdf).

Jonker wordt in beide zaken gesteund door Stichting Privacy First en Maatschappij Voor Beter OV.

Update 17 december 2019: de twee rechtszaken werden op 16 december jl. behandeld door een meervoudige kamer van de rechtbank. Een vertegenwoordiger van Privacy First was als toehoorder aanwezig. Jonker had een enkele pleitnota voor beide zittingen gemaakt, maar de rechter stond hem niet toe die voor te lezen. Desgevraagd verwees de voorzittende rechter naar het "te ruste leggen" van de zogeheten "Nieuwe zaaksbehandeling" per 13 februari 2018, en gaf aan dat de rechtbank inmiddels werkt aan de hand van de zogeheten "professionele standaard", waarin niet meer is voorzien in de mogelijkheid voor partijen om een schriftelijk voorbereid pleidooi te houden. Jonker: "Natuurlijk moest ik daar ter zitting in berusten, immers de rechter bepaalt wat er ter zitting mag worden ingebracht. Maar het is een teken aan de wand hoe het er met onze rechtspraak voorstaat. Mijns inziens is het weigeren van pleidooien in strijd met artikel 6 van het EVRM (recht op een eerlijk proces), omdat in zo'n pleidooi de omstandigheden van het concrete geval en de ethische implicaties daarvan rechtstreeks kunnen worden verduidelijkt en bespreekbaar gemaakt. Achteraf heb ik op internet proberen na te gaan wat daarover te vinden is. In een publicatie van het Ministerie van Binnenlandse Zaken uit 2015 ("De praktijk van de Nieuwe zaaksbehandeling in het bestuursrecht") bleek dat sommige rechters mijn mening op dit punt delen." Voor de pleitnota van Jonker, klik HIER (pdf).

Tijdens beide zittingen werd eerst Jonkers verzoek behandeld om de zaken aan te houden in afwachting van uitspraken van het Hof van Justitie van de EU (HvJ EU) en de Afdeling bestuursrechtspraak van de Raad van State (ABRvS) over met name de eisen die moeten worden gesteld aan het aantonen van een noodzaak voor de verwerking van persoonsgegevens in het openbaar vervoer. De AP, NS en Connexxion zagen geen aanleiding om de zaken aan te houden. De rechtbank gaat het overwegen en zal partijen t.z.t. op de hoogte stellen van zijn standpunt.

In de eerste zitting kwam naast de vraag of er een noodzaak voor de privacy-inbreuken is aangetoond, ook de vraag aan de orde naar de precieze omvang van de verantwoordelijkheid van verwerkingsverantwoordelijken zoals NS. Is NS verantwoordelijk voor het gedrag van haar eigen baliemedewerkers, als die zonder noodzaak NAW-gegevens opeisen bij de aankoop van internationale treintickets? Jonker betoogde van wel, en op dit punt leek de AP het met hem eens te zijn. Daarnaast betoogde Jonker dat de verantwoordelijkheid voor gegevensverwerking niet mag worden zoekgemaakt tussen (binnenlandse of buitenlandse) "verwerkingsverantwoordelijken" en "verwerkers".

Voor het eerst deed NS zelf een uitspraak over het doel waarmee NS legitimatie eist wanneer iemand het restsaldo op een anonieme OV-chipkaart terugvraagt. Volgens NS is dat om een "drempelverhogend effect" te creëren om personen af te schrikken die een gestolen anonieme OV-chipkaart proberen in te leveren. Jonker wees erop dat, als dit klopt, er sprake is van een illegale handeling van NS, omdat het eisen van legitimatie om mensen af te schrikken, niet rechtmatig is en NS daartoe ook niet bevoegd is. Ook wees Jonker erop dat in geval van het teruggeven van saldo van meer dan dertig euro, er in opdracht van NS wel degelijk persoonsgegevens worden verwerkt, namelijk door Translink Systems (TLS).

Met betrekking tot het in rekening brengen van zogeheten "servicekosten" bij het contant betalen voor het opladen van anonieme OV-chipkaarten met bankbiljetten aan de balie, zonder dat er gelijkwaardige, privacyvriendelijke alternatieven zijn, werden er geen nieuwe argumenten ingebracht.

In de tweede rechtszitting ging het onder andere over de vraag of de noodzakelijkheid voor het verwerken van persoonsgegevens ten behoeve van de uitvoering van een contract (art. 6 lid 1 onder b AVG) afgeleid kan worden uit willekeurige, algemeen geformuleerde doelen die een verwerkingsverantwoordelijke (Connexxion) heeft vastgesteld, of dat er ook sprake moet zijn van een objectiveerbare, materiële noodzaak. Jonker betoogde dat uit de aangeleverde documentatie geen noodzaak viel af te leiden voor het weigeren van contant geld in de regio Arnhem-Nijmegen. Connexxion betoogde dat het niet nodig was om zo'n noodzaak voor deze regio aan te tonen, en zelfs niet eens om een "risicoprofiel per regio of per buslijn" op te stellen. Ook zag Connexxion voor zichzelf geen plicht of verantwoordelijkheid om te zorgen voor alternatieve, toegankelijke manieren voor privacyvriendelijk betalen. Dit omdat de verkooppunten volgens Connexxion niet door haarzelf worden bepaald, maar door de Stadsregio Arnhem-Nijmegen. Jonker betoogde dat een verwerkingsverantwoordelijke bij het treffen van maatregelen die een inbreuk vormen op de privacy, zelf verantwoordelijk blijft voor het zorgen voor een alternatief (subsidiariteitsbeginsel).

Ten slotte wees Connexxion erop dat Jonker niet verplicht is om het OV te gebruiken. Jonker reageerde dat het OV geen "winkel met prullaria" is, maar een essentiële publieke nutsfunctie waarvan hij en talloze andere mensen afhankelijk zijn om maatschappelijk te kunnen participeren.

Voorafgaand aan de zitting had Connexxion schriftelijk verzocht om Jonker te veroordelen tot het vergoeden van haar proceskosten vanwege "kennelijk onredelijk gebruik van het procesrecht". Na een vraag hierover van één van de rechters trok Connexxion dat verzoek aan het eind van de zitting in.

Gevraagd naar zijn indruk over de zittingen, zei Jonker: "Als je kijkt naar de letter van de wet en de bedoeling van de wetgever, sta ik sterk. Maar ik weet inmiddels uit ervaring dat dat niet alles zegt over de uitkomst van rechtszaken. Het zal er mede van afhangen of de rechters bereid zijn om niet alleen te kijken naar theoretische, algemene, niet-onderbouwde verhalen van NS en Connexxion, maar ook naar hoe het in de feitelijke praktijk functioneert, en naar de manier waarop de verschillende inbreuken op de privacy elkaar versterken. Cumulatief ontstaan er daardoor grote effecten waardoor er van de privacy weinig overblijft."

Update 6 februari 2020: de rechtbank Gelderland heeft op 4 februari jl. uitspraak gedaan in beide zaken, en deze op 5 februari gepubliceerd. De rechtbank verklaarde beide beroepen ongegrond, waarbij de rechtbank de argumentaties van de AP volgde.

Jonker: "Wat ik al vermoedde, is opnieuw gebeurd: de rechtbank heeft de argumentatie van de AP overgenomen en herhaalt die nog eens, maar gaat niet in op argumenten die ik daartegenin heb gebracht. Daar zwijgt de rechtbank over, of hij verwerpt ze zonder inhoudelijk te onderbouwen waarom.

Gevraagd naar een voorbeeld, antwoordt Jonker: "Als het bijvoorbeeld gaat om de weigering van contante betaling in de bus, dan verwijst de rechtbank, net als de AP, naar een door een conglomeraat van overheden en vervoerbedrijven gezamenlijk opgesteld "Actieprogramma Sociale Veiligheid in het OV", maar negeert wat ik over de inhoud van dat plan heb gezegd. Ik heb aangevoerd dat uit dat de tekst van dat plan geen noodzaak blijkt voor de weigering van contante betaling in de bus. De rechtbank stelt: er is een plan, daarin wordt een doel genoemd, en dus is de verwerking van persoonsgegevens nodig. Dat is geen rechtspraak, maar het napraten van een bestuursorgaan. De rechtbank stelt zich op deze manier niet op als een onafhankelijke uitlegger van de wet, maar als een verlengstuk van een conglomeraat van polder-organisaties, en als advocaat van de bestuurlijke consensus die binnen dat conglomeraat is gevormd. Die consensus is kennelijk dat reële privacy, zoals die tot 2014 in het OV bestond, mag en moet worden afgeschaft. Als de bestuursrechtspraak zo functioneert, kun je de scheiding der machten net zo goed opheffen. En dan kan ik beter mijn wetskennis aan de wilgen hangen en me omscholen door middel van een cursus 'Hoe kom ik in het gevlei bij machthebbers'. We zien hier dat de afbraak van de rechtsstaat zich in het hoofd van de rechters al voltrokken heeft, zonder dat zij dat zelf willen beseffen."

Gevraagd naar zijn volgende stappen, geeft Jonker aan in hoger beroep te zullen gaan bij de Raad van State. "Ik had verzocht om beide zaken aan te houden in afwachting van een uitspraak van de Raad van State in de zaak over privacy in het OV waarover de rechtbank op 5 september vorig jaar uitspraak deed, omdat die op enkele cruciale punten overlapt met de huidige zaak. De rechtbank heeft dat verzoek afgewezen omdat de zaken niet op alle punten met elkaar overeenkomen. Maar dat was ook niet mijn betoog. Het gaat immers om verschillende zaken. Ik had betoogd dat de uitkomst van de huidige zaken voorspelbaar is als de Raad van State mijn hoger beroep ongegrond zou verklaren, en dat het dus zin had om af te wachten of dat gebeurt. Maar nu ben ik dus genoodzaakt om voorafgaand daaraan weer twee separate procedures bij de Raad van State aan te spannen, en daarvoor griffierechten te betalen. Op deze manier werpt de rechtbank voor de burger een zo groot mogelijke hindernis op om tot zijn recht te komen. Deze mentaliteit is een zorgwekkende ontwikkeling met het oog op het behoud van de rechtsstaat. Het enige wat ik nu kan doen, is hopen dat de Afdeling bestuursrechtspraak van de Raad van State anders met de materie omgaat, en dat ondertussen de publieke opinie in toenemende mate wakker wordt over wat hier aan het gebeuren is. Niet alleen met onze privacy, maar ook met onze rechtsstaat."

Zie voor de volledige uitspraken van de rechtbank op rechtspraak.nl ECLI:NL:RBGEL:2020:619 en ECLI:NL:RBGEL:2020:622.

Media:
Omroep Gelderland, 5 februari 2020: Arnhemse privacystrijder krijgt van rechter ongelijk over anoniem reizen
De Gelderlander, 5 februari 2020: Arnhemse privacyvechter Jonker vangt bot in zaak over anoniem reizen met het ov
Security.nl, 5 februari 2020: Arnhemmer verliest zaken over privacy in het openbaar vervoer
Tweakers, 6 februari 2020: Interview met Michiel Jonker - privacyactivist uit idealisme en irritatie.

Update 10 maart 2020: op 6 maart jl. heeft Jonker bij de Afdeling bestuursrechtspraak van de Raad van State hoger beroep ingediend tegen de beide uitspraken van de rechtbank. In zijn hoger beroep gaat Jonker ook in op fundamentele vragen met betrekking tot "connectiviteit" en "autoritair denken". Jonker: "Na de uitspraken van de rechtbank op 4 februari jongstleden, was het me duidelijk dat er sprake is van twee fundamentele problemen als het gaat om rechtspraak over privacy. Het eerste probleem is de trend om de digitalisering van alles kritiekloos te omarmen, in plaats van daarin bewuste keuzes te maken: wat wel, en wat (nog) niet? En zo ja, hoe kan privacy dan op een reële manier worden gewaarborgd? Dat wordt dan 'connectiviteit' genoemd. Helaas hollen niet alleen bedrijven en ministeries achter die trend aan, maar ook de toezichthouder en sommige rechters.

Het tweede probleem is de autoritaire manier van denken die daarmee gepaard gaat, maar waarvan de toezichthouder en sommige rechters zich onvoldoende bewust lijken te zijn. De mens wordt gereduceerd tot een instrument voor de verwezenlijking van digitale ambities, en wordt dan niet langer gezien als een individu met een vrije wil, verantwoordelijkheid en rechten. In combinatie met elkaar leiden deze twee trends tot een totalitaire inrichting van de maatschappij, als er niet tijdig grenzen aan worden gesteld. Ik hoop dat de Raad van State dat nu zal doen, met verwijzing naar artikel 8 van het Europees Verdrag voor de Rechten van de Mens. Dat beschermt het privéleven, wat meer is dan alleen persoonsgegevens."

Daarnaast heeft Jonker voor één van de vier onderdelen van zijn hoger beroep tevens een verzoek om voorlopige voorziening ingediend, waarin hij de Raad van State verzoekt om de AP te gelasten snel in te grijpen om het technisch buiten werking stellen van het zogeheten "ATB-systeem" voor de verkoop van internationale treintickets vooralsnog te stoppen, totdat de AP daar onderzoek naar heeft gedaan, in samenwerking met andere toezichthouders binnen de EU.

Jonker: "De AP en de rechtbank hebben feiten genegeerd die ik al op 31 januari 2019 onder de aandacht van de AP bracht, namelijk dat NS en andere railvervoerbedrijven aantoonbaar voornemens waren het ATB-systeem af te schaffen. Met dat systeem worden al tientallen jaren privacyvriendelijke, internationale treintickets verkocht. In februari 2020 bleek mij dat het ATB-systeem in november 2019 is afgeschaft. Als gevolg daarvan word ik nu verplicht om bij treinreizen naar Duitsland of Frankrijk mijn naam op te geven als ik een ticket koop, en die naam wordt dan verwerkt in een systeem. Als ik naar Frankrijk ga moet ik ook nog mijn geboortedatum opgeven. In de rechtszitting op 16 december 2019 heeft NS daar echter over gezwegen. Op die manier heeft NS niet alleen in samenwerking met andere vervoerbedrijven de privacy bij die tickets afgeschaft, maar ook heeft NS de rechtbank op dit punt willens en wetens misleid. Ik wil dat de Raad van State de AP verplicht om de afschaffing van het ATB-systeem nu alsnog te gaan onderzoeken, en om van de vervoerbedrijven te verlangen dat die het ATB-systeem als infrastructuur technisch in stand houden totdat het onderzoek is voltooid, zodat er geen onomkeerbare situatie ontstaat."

Voor het volledige hoger-beroepschrift van Jonker, getiteld "Lof der individualiteit - privacy, connectiviteit en autoritair denken", klik HIER (pdf, 191 pp).

Update 26 november 2020: de Afdeling bestuursrechtspraak van de Raad van State heeft aangekondigd drie hoger beroepen van Jonker inzake privacy in het openbaar vervoer ter zitting te zullen behandelen op maandag 8 februari 2021. Het betreft de volgende zaken:

- Contante betaling in de bus; AP en Connexxion (zaaknr. 2020-01625)
aanvang: 9:30u.

- Aanschaf internationale treintickets, restsaldo OV-chipkaart, servicekosten OV-chipkaart; AP, NS en mogelijk anderen (zaaknr. 2020-01629)
aanvang: 10:30u.

- Privacy-discriminatie bij OV-chipkaart; de-anonimisering van "anonieme" OV-chipkaart (zaaknr. 2019-07478)
aanvang: 11:30u.

Alle drie de zaken worden behandeld in het gebouw van de Afdeling bestuursrechtspraak aan de Kneuterdijk 22 in Den Haag.

Update 26 januari 2021: op 15 januari jl. heeft Jonker de motivering van zijn hoger beroepen aangevuld vanwege recente ontwikkelingen. In zijn aanvulling, getiteld "Bewegingscontrole en bewegingsbeperking", brengt Jonker naar voren dat een combinatie van attitudes bij vervoerbedrijven, de Nederlandse staat en sommige Nederlandse rechters het grondrecht van Nederlandse burgers dreigt uit te schakelen op bewegingsvrijheid met behoud van privacy, ook in situaties waar het niet nodig is dat grondrecht aan te tasten. Hij pleit voor een onafhankelijke rechterlijke toetsing waarbij de bedoeling van geldende wetten en verdragen wordt gerespecteerd.

Als gevolg van persoonlijke omstandigheden die verband houden met Covid-19, is Jonker verhinderd voor de geplande zittingen op 8 februari 2021. Hij heeft zich bereid verklaard om vragen van de Afdeling bestuursrechtspraak schriftelijk te beantwoorden.

Jonker: "Het is vervelend, maar het is niet anders. Ik hoop dat de Afdeling zelf naar wegen zoekt om het proces toch op een faire manier te laten plaatsvinden, mede met het oog op het maatschappelijke belang ervan."

Update 15 februari 2021: vanwege een falende video-verbinding op 8 februari jl. heeft de Raad van State de behandeling van Jonkers hoger beroepen tot nader orde uitgesteld.

Jonker: "Het is voor alle betrokkenen heel frustrerend. Ik begrijp het belang van een zitting waarin live van gedachten kan worden gewisseld. Als dat technisch niet lukt, ben ik persoonlijk bereid om, gezien de uitzonderlijke omstandigheden, schriftelijk te reageren op eventuele vragen van de Afdeling bestuursrechtspraak van de Raad van State, en op inbreng van andere partijen ter zitting, zoals die in de zittingsaantekeningen is vastgelegd. Het is in het belang van alle OV-reizigers dat de zaak niet voor onbepaalde tijd wordt aangehouden. Het is aan de Afdeling bestuursrechtspraak om te bepalen hoeveel uitstel de zaak kan verdragen, met andere woorden: op welk moment de rechtszekerheid van OV-reizigers vereist dat de behandeling op enige wijze wordt voortgezet. Zoals het gezegde luidt: justice delayed is justice denied..."

Update 8 juli 2021: de Afdeling bestuursrechtspraak van de Raad van State heeft op 5 juli jl. de drie hoger beroepen van Jonker over privacy in het OV behandeld in drie opeenvolgende zittingen. In elke zitting ging het over de weigering van de AP om (voldoende) onderzoek te doen en de weigering van de AP om handhavend op te treden:

Zitting 1: de weigering van contante betaling in de bus door Connexxion.

Zitting 2: drie inbreuken op de privacy door NS:
a) verwerking persoonsgegevens bij teruggave van restsaldo op "anonieme" OV-chipkaarten aan de eigenaar;
b) NS eist persoonsgegevens van reizigers die aan de balie een internationaal treinkaartje binnen de EU willen aanschaffen;
c) NS brengt extra service-kosten in rekening aan reizigers die aan de balie privacy-vriendelijk (en dus contant) willen betalen voor het opladen van hun "anonieme" OV-chipkaart.

Zitting 3: drie inbreuken op de privacy door NS:
a) ontbrekende anonimiteit van de tot voor kort als "privacy-vriendelijk" verkochte "anonieme" OV-chipkaart, en het bedrog van NS daarover totdat het uitkwam;
b) privacy-discriminatie van houders van een voordeelurenabonnement (VDU): zij krijgen geen voordeelurenkorting als zij reizen met een "anonieme" OV-chipkaart;
c) privacy-discriminatie bij de uitvoering van de regeling Geld Terug Bij Vertraging (GTBV): houders van "anonieme" OV-chipkaarten krijgen alleen hun geld terug als zij hun OV-chipkaart feitelijk de-anonimiseren, waardoor niet alleen de vertraagde reis, maar ook alle andere reizen door NS en/of TLS geregistreerd kunnen worden.

Jonker: "De zeven inbreuken op de privacy die in deze drie zittingen werden behandeld, geven een beeld hoe Nederlandse vervoerbedrijven gezamenlijk aan alle kanten proberen om de reisgegevens (plaatsen en tijden van de privé-reizen van mensen) buit te maken, en om het reizigers die hun privacy proberen te behouden, zo moeilijk mogelijk te maken. Dit wordt gestimuleerd door verschillende ministeries, andere overheidsinstanties (bijvoorbeeld het CBS) en allerlei en gremia uit het zogenoemde "maatschappelijke middenveld" (de polder). De Autoriteit Persoonsgegevens weigert ertegen op te treden. De data-roof is in volle gang. Het lijkt of ook rechters die niet willen stoppen. Mijn analyse van oktober 2019 dat er in Nederland sprake is van een conglomeraat van overheden en bedrijven dat reële privacy in het openbaar vervoer wil afschaffen, wordt op deze manier opnieuw bevestigd.

Als de Raad van State gaat oordelen dat deze willekeur van vervoerbedrijven bij het verwerken van persoonsgegevens is toegestaan, en die willekeur daarmee gaat legaliseren, dan is het duidelijk dat privacy in Nederland in rechte niet meer wordt beschermd en daarmee in de praktijk wordt afgeschaft. Het grondrecht op privacy is er dan niet meer. In plaats daarvan is privacy dan alleen nog een gunst die in sommige gevallen aan sommige mensen wordt verleend, met willekeur en op instrumentele gronden, bijvoorbeeld politieke of relationele gronden - maar aan andere mensen niet. De overheid en grote bedrijven mogen dan, zonder onze toestemming, ongehinderd tot diep in ons privé-leven doordringen en ons via die weg aansturen, belonen en straffen."

Een interview met Jonker, video-samenvattingen van de drie zittingen en de integrale video-opnamen van de zittingen zijn te vinden op de site van Potkaars: https://potkaars.nl/blog/2021/7/7/de-veronderstelling-dat-je-het-recht-hebt-anoniem-door-het-leven-te-gaan-ter-discussie-gesteld-door-de-ns

Media:
Volkskrant verslaggeverscolumn 6 juli 2021: Privacy bestaat niet meer, en dat lieten we zelf gebeuren 

Update 22 november 2021: op 10 november 2021 heeft de Afdeling bestuursrechtspraak van de Raad van State uitspraak gedaan in de drie hoger beroepen die Jonker had ingesteld tegen de weigeringen van de AP om handhavend op te treden tegen de aantasting van privacy in het openbaar vervoer:

- zaak OV-chipkaart: http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RVS:2021:2509 

- zaak-Connexxion (contante betaling): http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RVS:2021:2511 

- zaak-NS 3e tranche (o.a. internationale treintickets): http://deeplink.rechtspraak.nl/uitspraak?id=ECLI:NL:RVS:2021:2514.

De Raad van State verklaarde alle hoger beroepen op alle onderdelen ongegrond. Jonker geeft aan de uitspraken nog nader te zullen bestuderen wanneer hij "weer energie heeft verzameld", voordat hij definitieve conclusies trekt. Wel wil hij al het volgende kwijt:

Jonker: "Met deze uitspraken heeft de Raad van State het recht op privacy in het openbaar vervoer afgeschaft. Iedere individuele reiziger mag overal gevolgd en geregistreerd worden, zonder dat daarvoor een specifieke noodzaak hoeft te worden aangetoond. Het is bijvoorbeeld voldoende dat een vervoerbedrijf het zelf 'efficiënt' vindt om dat te doen. Volgens de interpretaties van de Raad van State biedt de AVG daar geen bescherming tegen. Artikelen 5 en 6 AVG zijn door de RvS op deze manier betekenisloos gemaakt. Nadat vervoerbedrijven zoals NS en Connexxion de privacy feitelijk al hadden afgeschaft, heeft de Raad van State dat nu achteraf voorzien van juridische goedkeuring en het daarmee gelegaliseerd. Ik heb in 2019 al een analyse aangeleverd aan de Tweede Kamer en de Raad van State over wat er met privacy in het OV aan het gebeuren is. Daar heeft de Tweede Kamer niets mee gedaan. Nu blijkt ook de Raad van State die analyse en mijn andere argumenten nagenoeg volledig te hebben genegeerd."

Gevraagd of dit voor hem persoonlijk een klap is, antwoordt Jonker: "Ja, althans in zoverre dat ik dit al enige tijd zag aankomen, zoals ik afgelopen zomer ook in een interview heb aangegeven. Het is goed dat de rechtszittingen op 5 juli van dit jaar integraal op video zijn opgenomen en gepubliceerd bij dat interview. Zo kan iedereen zelf zien tot welk bedroevend niveau de heren rechters zich op sommige momenten verlaagden. Het is me nu definitief duidelijk dat Nederland op wezenlijke punten, waaronder het grondrecht op privacy, geen rechtsstaat meer is. Vorige week was er in het nieuws dat de voorzitter van de Afdeling bestuursrechtspraak met veel bombarie 'oprechte excuses' aanbood voor het feit dat de Raad van State in de Toeslagenaffaire allerlei zaken had genegeerd. Zulke excuses vind ik volstrekt ongeloofwaardig en opportunistisch. Die worden alleen gegeven omdat de hoge rechters in die zaak betrapt zijn en het daar niet meer onder het vloerkleed kunnen vegen. Zoals de uitspraken in mijn hoger beroepen laten zien, denderen die rechters ondertussen gewoon door als uitvoerders van het machtsapparaat waar ze deel van uitmaken. Ik zie ze niet langer als rechters, maar als prelaten, bekleed met de arrogantie van de macht. Onze machthebbers willen dat wij geen reële privacy meer hebben, maar alleen nog genadebrood eten voor zover zij ons dat met hun gedigitaliseerde systemen toestaan, in de vorm van tijdelijke gunsten. Zo van: je moet erop vertrouwen dat wij jou nu eventjes niet zullen volgen, ook al hebben wij al onze beloften op dat punt in het verleden gebroken..."

Gevraagd wat hij nu verder gaat doen, antwoordt Jonker: "Ten eerste ga ik nu onderzoeken hoe ik me als individuele onderdaan - niet langer burger - het beste kan verhouden tot het feit dat we niet meer in een rechtsstaat leven. Zonder privacy is er geen werkelijke vrijheid, en wordt het moeilijker om onze vrijheid te verdedigen of te herstellen. Voor mij is dit een groot verlies. Ik zal waarschijnlijk ook steun zoeken bij geestverwanten, om te kijken of er mogelijkheden zijn voor het leggen van een basis voor een terugkeer van de rechtsstaat. Ik begrijp dat veel mensen zich hier niet erg druk om maken zolang er maar brood op de plank is en er van tijd tot tijd feest kan worden gevierd. Ik sta daar anders in, vooral ook met het oog op de langere termijn.

Ten tweede zal ik, wanneer ik mijn energie weer verzameld heb, kijken of het zinvol is om over deze drie uitspraken een verzoekschrift in te dienen bij het Europese Hof voor de Rechten van de Mens (EHRM). Er is mij al geadviseerd dat dat niet kansrijk is, omdat het EHRM tegenwoordig in veel gevallen dezelfde anti-rechtsstatelijke houding aanneemt als de Nederlandse Raad van State. 90% van de verzoekschriften wordt niet eens in behandeling genomen, en ik heb begrepen dat men in de burelen van het EHRM privacy-zaken soms ridiculiseert. Ze maken zich boos over wat er in Polen met het constitutionele hof aldaar gebeurt, niet omdat dat anti-rechtsstatelijk is - we hebben in Nederland niet eens een constitutioneel hof - maar omdat het niet in lijn is met de wensen van centrale machthebbers in de EU. Bij Polen of bij de Brexit en Noord-Ierland wordt er door de EU gezwaaid met het belang van 'the rule of law', maar voor de EU en het EHRM zijn de rechtsstaat en privacy in de praktijk vooral economische en politieke instrumenten, geen zelfstandige of intrinsieke doelen.

Ik zal proberen te kijken of het indienen van een verzoekschrift in die omstandigheden toch zinvol kan zijn, als signaal of ter documentatie voor later. Bijvoorbeeld om de verantwoordelijkheid voor de afschaffing van reële privacy-bescherming in het openbaar vervoer op alle juridische niveaus zichtbaar en aantoonbaar te maken."

Privacy First steunt Jonker indien hij besluit een verzoekschrift bij het EHRM in te dienen. 

Media:
Security.nl, 23 november 2021: Privacyactivist verliest hoger beroep over anonieme OV-chipkaart 
Tweakers, 23 november 2021: Autoriteit Persoonsgegevens hoeft van Raad van State niet op te treden tegen NS 
TechnologIE, privacy en recht, 10 december 2021: Privacy activist loses appeal over anonymous OV chip card! 

Update 2 maart 2022: op 25 februari jl. heeft Jonker een verzoekschrift verzonden naar het Europees Hof voor de Rechten van de Mens (EHRM, ECtHR), waarin hij naar voren brengt dat de drie uitspraken van de Afdeling bestuursrechtspraak van de Raad van State d.d. 10 november 2021 niet in overeenstemming zijn met artikel 8 en 14 van het Europees Verdrag voor de Rechten van de Mens (EVRM, ECHR).

Het Engelstalige verzoekschrift (een zogeheten "application") heeft als titel: "Public Transport - a Railroad to Surveillance?". In het verzoekschrift stelt Jonker het belang van materieel recht ("substantive justice") centraal. Als het Europese mensenrechtenverdrag alleen formeel en procedureel wordt geïnterpreteerd, wordt het recht op privacy niet adequaat beschermd. Jonker: "Het was een hele klus om het volgens de regels van het Europese Hof te doen. Uiteindelijk ging het om een pakket van 993 pagina's: het aanvraagformulier van 13 pagina's, een annex van 19 pagina's en de overige bijlagen: 961 pagina's - allemaal enkelzijdig afgedrukt en handmatig doorgenummerd. Ik hoop dat ik aan alle regels heb voldaan. Als het Europese Hof mijn verzoekschrift desondanks niet-ontvankelijk zou verklaren, dan zou dat duidelijk maken dat individuele Europese burgers in de praktijk geen toegang hebben tot het hof dat hun mensenrechten dient te beschermen. Ik hoop natuurlijk dat het hof ziet dat dit om een serieuze zaak gaat: de mogelijkheid voor Nederlandse en Europese burgers om met het openbaar vervoer te reizen zonder continu gemonitord te worden. Als wij geen China 2.0 willen worden, dan is openbaar vervoer met behoud van privacy van cruciaal belang."

Voor de tekst van Jonkers verzoekschrift, klik HIER (pdf). 

Media: 
TechnologIE, privacy en recht, 10 mei 2022: Dutch public transport - a railroad to surveillance?

Update 6 oktober 2022: op 8 september jl. heeft het Europese Hof voor de Rechten van de Mens (EHRM) het verzoekschrift van Jonker niet-ontvankelijk verklaard en daarmee geweigerd de zaak in behandeling te nemen. Het hof motiveert deze beslissing summier: "Op grond van zijn jurisprudentie (...), in het licht van het materiaal waarover hij beschikt en voor zover de zaken waarover geklaagd wordt binnen zijn competentie vallen, is het Hof van oordeel dat deze niet aannemelijk maken dat er sprake zou zijn van een aantasting van de rechten en vrijheden zoals bedoeld in het Verdrag of de daarbij behorende Protocollen en dat er niet voldaan is aan de ontvankelijkheidsvereisten in artikelen 34 en 35 van de Conventie." (vertaling door Jonker)

Na het raadplegen van de jurisprudentie waarnaar het EHRM verwijst (twee eerdere uitspraken van het EHRM), spreekt Jonker van een "bizarre beslissing die de geloofwaardigheid van de rechtbescherming die artikel 8 EVRM heet te bieden, fundamenteel aantast". Uit de weigering van het Hof om deze zaak zelfs maar te in behandeling te nemen, blijkt volgens Jonker dat "de privacy van reizigers in het openbaar vervoer in het geheel niet wordt beschermd door de rechterlijke instantie die, als alle andere bescherming faalt, als enige nog een waarborg kan bieden, en ook moet bieden, dat artikel 8 van het EVRM daadwerkelijk wordt toegepast."

Het EHRM verwijst naar twee eerdere uitspraken in zaken die volgens het EHRM kennelijk "in wezen gelijk" zijn aan de door Jonker naar voren gebrachte zaak. Het lijkt of het EHRM de behandeling van Jonkers zaak om die reden niet nodig vindt en hem daarom niet-ontvankelijk heeft verklaard. De twee zaken waarnaar het EHRM verwijst, hebben beide betrekking op bedrijven die enkele werknemers hadden ontslagen na hen te hebben gemonitord en misdragingen te hebben geconstateerd. In die zaken kwam het EHRM tot de conclusie dat het ontslag, ondanks de heimelijke verwerking van persoonsgegevens, niet onrechtmatig was. Het EHRM lijkt het heimelijk monitoren van werknemers door hun eigen werkgever, op grond van concrete verdenkingen, gelijk te stellen aan het monitoren van de privé-reizen van miljoenen OV-gebruikers door vervoerbedrijven.

Jonker: "Het EHRM stelt het recht van een werkgever om zijn eigen medewerkers tijdens werktijd voldoende te controleren na een specifieke verdenking, ten onrechte gelijk aan een recht van een vervoerbedrijf om privégegevens van willekeurige reizigers te verzamelen, zonder dat die klanten van enige overtreding worden verdacht. Eigenlijk zegt het EHRM hiermee twee dingen: 1. OV-reizigers mogen qua gegevensverwerking behandeld worden alsof ze geen klanten van het vervoerbedrijf zijn, maar werknemers van dat bedrijf. En 2. OV-reizigers mogen qua gegevensverwerking behandeld worden alsof er op hen een concrete verdenking rust. Op deze manier blijft er van het recht op privacy natuurlijk niets over. Als iedere privépersoon mag worden behandeld als een verdachte werknemer, dan leven we in een surveillance-maatschappij. Artikel 8, tweede lid van het EVRM staat surveillance alleen toe voor zover die noodzakelijk is in een democratische samenleving. Dat wordt door het EHRM op deze wijze genegeerd."

Gevraagd wat de verklaring zou kunnen zijn voor deze beslissing van het EHRM, antwoordt Jonker: "Ik kan natuurlijk niet in het hoofd van de betreffende rechter kijken. Het enige waar ik op af kan gaan, is de summiere motivering en de jurisprudentie waarnaar verwezen wordt. Door de zaak niet eens in behandeling te nemen, maakt het EHRM het onmogelijk om hierover duidelijkheid te krijgen, want tegen deze beslissing staat geen rechtsmiddel open. Op deze manier maakt het EHRM natuurlijk een lachertje van het idee dat er sprake zou zijn van kenbaar recht. Maar als ik mag raden naar mogelijke redenen, dan zie ik er twee. Ten eerste denk ik dat het EHRM, met zijn enorme werklast en structureel gebrek aan personeelscapaciteit, heel pragmatisch zoveel mogelijk zaken niet-ontvankelijk wil verklaren, en dus naar redenen zoekt - desnoods voorwendselen - om dat te kunnen doen. Dus dan denkt zo´n rechter: waar vind ik jurisprudentie waarmee ik deze zaak terzijde kan schuiven? Wie zoekt zal vinden, en als zo'n rechter dan iets ziet wat op het eerste gezicht bruikbaar lijkt, dan denkt-ie: waarom niet? Dat het dan om een heel ander soort zaak gaat, maakt voor zo'n rechter dan niet uit, want de indiener van het verzoekschrift kan toch niets meer doen als de zaak niet-ontvankelijk wordt verklaard. Ik denk dat de directe reden voor de niet-ontvankelijkheidsverklaring heel oppervlakkig en pragmatisch kan zijn."

Een tweede mogelijke reden ziet Jonker in het feit dat een vervoersbewijs, bijvoorbeeld een treinticket, door de rechter wordt opgevat als een "contract" en om die reden wordt gelijkgesteld aan het arbeidscontract dat een werknemer heeft met zijn werkgever. Jonker: "Hier zie je de politieke doorwerking van het neoliberalisme in de opvattingen van rechters die onafhankelijk de wet zouden moeten uitleggen. Ze wensen niet meer te zien dat er een verschil is tussen een contract waarvoor een werknemer willens en wetens heeft getekend toen hij vrijwillig werk aanvaardde, en de algemene voorwaarden die een vervoerbedrijf eenzijdig heeft opgesteld en oplegt aan miljoenen OV-reizigers die afhankelijk zijn van het openbaar vervoer. Dit is tekenend voor de manier waarop de EU en kennelijk ook het EHRM een neoliberale logica hebben geïnternaliseerd die in strijd is met internationale verdragen zoals het EVRM. Ik heb in mijn verzoekschrift aan het EHRM op het misbruik van het contractbegrip gewezen en aangegeven dat er geen democratische noodzaak bestaat voor de betreffende aantastingen van de privacy. Ik heb aangegeven dat de Raad van State heeft geweigerd om de zaak rechtstreeks aan het EVRM te toetsen. Maar nu weigert het EHRM zelf óók om de zaak inhoudelijk aan het EVRM te toetsen. Tja, als het EHRM weigert mijn verzoekschrift te behandelen, dan kunnen er over het cruciale punt van de verhouding tussen een democratische noodzaak en de bepalingen in een door een bedrijf opgesteld contract ook geen argumenten worden gewisseld. Er ontstaat dan een juridisch stilzwijgen dat de weg vrijmaakt voor een voortzetting van het machtsmisbruik. Er is dan geen rechtsbescherming." Voor Jonkers nadere analyse van de door het EHRM genoemde jurisprudentie, zie HIER (pdf).

Gevraagd welke conclusies hij trekt uit de zaak, antwoordt Jonker: "Juridisch gezien is dit het einde van het verhaal. Ik constateer dat zowel Nederlandse rechters als het Europese mensenrechtenhof weigeren het grondrecht op privacy in het openbaar vervoer te beschermen. Als die rechters met steekpenningen omgekocht waren, had de uitkomst niet slechter kunnen zijn. Dit is slechts één voorbeeld van de manier waarop privacy in naam wordt gerespecteerd, maar in feite wordt geëlimineerd. Eén van de gevolgen daarvan is dat er van mijn vertrouwen dat we in een zogeheten 'rechtsstaat' zouden leven, weinig meer over is. Het recht - 'de rule of law' - is gereduceerd tot een retorisch middel om bepaalde politieke doelen te dienen."

Jonker vergelijkt wat er in de EU op dit moment met de privacy van inwoners gebeurt, met de drie Poolse delingen aan het eind van de achttiende eeuw. "Europese machthebbers wilden Polen niet alleen als reëel bestaande staat van de kaart vegen, maar probeerden na de laatste deling ook de herinnering aan wat Polen ooit geweest was, uit te wissen. Het duurde meer dan honderdtwintig jaar voordat Polen weer boven water kwam, in een nieuwe, andere vorm. Tegenwoordig vinden we het gedrag dat de grote Europese mogendheden destijds vertoonden, misdadig - kijk maar hoe we denken over Poetin en zijn huidige poging om Oekraïne op te delen. Misschien zullen we ooit op dezelfde manier kijken naar de manier waarop Europese machthebbers tegenwoordig onze privacy om zeep helpen, met collaboratie van rechters op alle niveaus. Die machthebbers en rechters zullen niet worden gestraft, net zo min als Catharina de Grote, de Habsburgers, de Pruisische vorsten en hun dienaren destijds werden gestraft om wat ze met Polen deden. Door het falen en de hypocrisie van zogenaamde vertegenwoordigers van de Europese rechtsorde, begin ik de laatste tijd meer begrip te krijgen voor mensen die de EU als een onderdrukker zien. Ik hoop bijvoorbeeld dat de Oekraïners, wanneer ze de Russische aanvallers eenmaal hebben verdreven, zich vervolgens niet van de weeromstuit met huid en haar aan een steeds imperialistischer EU zullen zullen overleveren, maar hun vrijheid, inclusief hun privacy, ook dan zullen verdedigen. Maar ik vrees het ergste."

Hij trekt een zuur gezicht. "Ik heb sinds het begin van deze zaak in 2014 consequent mijn zogenaamd anonieme OV-chipkaart gebruikt, terwijl ik jaarlijks ook 60 euro betaalde voor mijn dalurenkaart die 40% korting had moeten bieden, maar die door NS ongeldig werd verklaard in combinatie met de anonieme OV-chipkaart. Ik heb dus acht jaar lang 66% te veel betaald voor mijn treinreizen in de daluren, plus een abonnement dat NS mij niet toestond te gebruiken met behoud van privacy. Jaarlijks gaat het dan toch om enkele honderden euro's. Dat geld zal ik nooit meer terugkrijgen, dat is door NS gestolen. Dit is Nederland, een land van dieven met witte boorden."

Is dat dan het einde van het verhaal voor wat betreft privacy in het openbaar vervoer? Jonker: "Misschien nog niet helemaal. Naar aanleiding van één onderdeel van de zaak, namelijk het eisen van persoonsgegevens bij internationale treintickets, heb ik om juridisch-technische redenen in 2020 een tweede handhavingsverzoek ingediend. Inmiddels heeft de AP naar aanleiding daarvan een onderzoek gestart. Ook heeft de SP daarover recentelijk schriftelijke kamervragen gesteld aan de minister. Dat loopt dus nog. Maar gezien het ontbreken van Europese of internationaalrechtelijke rechtsbescherming, vraag ik me af of er voldoende politieke druk kan ontstaan om de privacy van internationale treinreizigers serieus te gaan nemen. En zelfs als dat gebeurt, zou dat niet meer zijn dan een druppel op een gloeiende plaat. Want de systematische, grootschalige privacy-schending met het Nederlandse OV-chipkaart-systeem, die wordt gewoon toegestaan - dat wil zeggen door de AP gedoogd en door de rechters gelegaliseerd of niet behandeld."

Gevraagd welke conclusies hij voor zichzelf trekt, antwoordt Jonker: "Ik heb in deze zaak de juridische weg tot het einde toe gevolgd, mede om te testen of er uiteindelijk nu wel of geen sprake is van rechtsbescherming op het gebied van privacy. Als je het als een experiment ziet, dan is de uitkomst na acht jaar procederen duidelijk: er is geen serieuze rechtsbescherming, de AVG en artikel 8 EVRM worden in de praktijk misbruikt als wassen neuzen. Er lopen nog een paar andere privacy-procedures, die wil ik netjes afmaken, maar ik verwacht er niet veel meer van. Als het recht faalt, blijft de politiek over. Maar ik ben geen politiek dier. En bovendien is het ontwikkelen van politieke kracht afhankelijk van het bewustzijn van mensen. Misschien dat ik op een bescheiden manier iets kan bijdragen aan privacy-bewustzijn."

Jonker zegt dat hij in één van zijn motiveringen aan de raad van State, op 29 april 2020, schreef over wat hij "de banaliteit van het derde kwaad" noemt. "Dat hoofdstuk eindigde als volgt: 'Dit derde kwaad, de sluipende eliminatie van humaan bewustzijn, kan niet op spectaculaire wijze bedwongen worden met tanks of raketten, maar alleen door middel van aanwending van individueel en collectief bewustzijn, de daaruit voortvloeiende collectieve wil, en de daar weer uit voortvloeiende wetgeving, rechtspraak en wetshandhaving.' Dus ik denk dat het zaak is om te werken aan nieuw bewustzijn als basis om uit te groeien boven de huidige, technocratische tunnelvisie. Het echte probleem is humanitair, niet technisch. Alleen door humaniteit centraal te stellen, kunnen we komen tot een herstel van een humane rechtsstaat. De afgelopen tweeënhalf jaar, sinds de coronacrisis, zijn er al enorm veel mensen wakker geworden over hoe we onze vrijheid en humaniteit steeds verder dreigen te verliezen. Dus ik denk dat er zeker een basis gelegd is die verder kan groeien. Of dat genoeg is om op dit punt een ramp te voorkomen, daar durf ik geen voorspelling over te doen. Het gaat erom nieuwe bronnen te vinden en tegelijk oude bronnen van humaniteit en recht te blijven kennen en respecteren."

Vindt hij dat niet een beetje zweverig en passief? Jonker: "Nee hoor. Het is een misverstand om te denken dat bewustzijn zou betekenen dat je niet meer bereid bent om ergens voor te knokken. Kijk naar Oekraïne. Daar is razendsnel een collectief bewustzijn gegroeid over humane en nationale waarden die men wil beschermen en verdedigen. Desnoods ook met geweld van wapenen. Ik hoop natuurlijk dat het hier in Nederland nooit nodig zal zijn. Maar dat kan ik ook niet uitsluiten. Je ziet dat onze huidige regering niet bijster geïnteresseerd is in redelijke argumenten. Maar als boeren met tractoren snelwegen blokkeren, dan neemt de interesse van onze regering in een dialoog opeens toe. Iets vergelijkbaars hebben we gezien met de Gele Vestjes in Frankrijk. Waarom is de Franse overheid wel bereid om alle Franse burgers effectief te beschermen tegen extreem hoge energieprijzen, terwijl de Nederlandse regering er tot voor kort indirect blijk van gaf hele bevolkingsgroepen voor de bus te willen gooien? Dat heeft alles te maken met die Gele Vestjes. Wie weet zullen er ooit gele, groene of paarse vestjes nodig zijn om onze privacy te verdedigen of terug te winnen."

Afgelopen vrijdag heeft Stichting Privacy First zich aangemeld voor deelname aan het Informatieberaad Zorg. Het zou voor het eerst zijn dat een organisatie met ANBI-status wordt toegelaten tot het overlegorgaan van het Ministerie van Volksgezondheid, Welzijn en Sport (VWS). De ANBI-status van Privacy First zou echter ook zomaar het struikelblok kunnen zijn.

Het Informatieberaad Zorg

Het Informatieberaad Zorg is een bestuurlijke samenwerking tussen, tot op heden, uitsluitend deelnemers uit het zorgveld en het Ministerie van VWS. In het Informatieberaad werken overheid en zorgpartijen samen aan een basis waarin zorggegevens veilig en betrouwbaar uitgewisseld kunnen worden.

In het AO Gegevensuitwisseling in de zorg van 9 oktober jl. heeft Minister Bruins (VWS) op verzoek van het Kamerlid Van Kooten-Arissen aangegeven Privacy First voor te dragen als lid van de kerngroep van het Informatieberaad Zorg. De aanleiding hiervoor is een eerdere motie van de Tweede Kamer waarin de Minister wordt opgeroepen "privacy- en burgerrechtenorganisaties actief te betrekken in de kerngroep en de expertcommunities van het Informatieberaad Zorg".

Privacy by Design

In toenemende mate zien we dat er naar privacy en de AVG verwezen wordt als struikelblok voor de uitwisseling van gegevens. In onze optiek komt privacy pas te laat in beeld bij beleidsontwikkeling. Het gebruik van 'privacy by design' kan helpen om dit te voorkomen.

Privacy by design zorgt ervoor dat privacy een kerncomponent wordt van producten of diensten. Tijdens de ontwikkeling wordt privacy een integraal onderdeel van het product of dienst, zonder afbreuk te doen aan de functionaliteit daarvan.

De ambitie van Privacy First is het zoeken naar een duurzame inbedding van het privacybelang in de zorg. We willen laten zien hoe dit kan helpen de uitwisseling van gegevens effectiever en efficiënter te maken en zo de kwaliteit van de zorg te verhogen.

Gaat het ook gebeuren?

Als gevolg van de opzet van het Informatieberaad Zorg zijn de criteria voor toelating primair gericht op belangenorganisaties die artsen of patiënten vertegenwoordigen. Als burgerrechtenorganisatie en ANBI-statushouder is Privacy First een 'vreemde eend in de bijt'. Hiermee ontstaat de vraag hoe de aangenomen Kamermotie zich verhoudt tot deze criteria. Nog belangrijker is de vraag hoe de huidige leden van het Informatieberaad hier naar kijken en of zij zich comfortabel voelen bij de deelname van Privacy First.

Onze kennismaking met het Ministerie van VWS op 26 november jl. was in ieder geval een constructieve en zeer interessante uitwisseling van inzichten over visie op de zorg. Onze hoop is dat de huidige leden van het Informatieberaad op eenzelfde wijze naar onze brief zullen kijken.

Meer duidelijkheid verwachten we na een stemming in het Informatieberaad Zorg op 10 februari 2020.

Referenties:

Privacy Company, De zeven principes van privacy by design
https://www.privacycompany.eu/blogpost-nl/hoe-pas-je-de-zeven-principes-van-privacy-by-design-toe-in-jouw-organisatie 

Informatieberaad Zorg
https://www.zorginstituutnederland.nl/over-ons/programmas-en-samenwerkingsverbanden/informatieberaad-zorg

OfficieleBekendmakingen.nl, Motie van de leden Van Kooten-Arissen en Hijink
https://zoek.officielebekendmakingen.nl/kst-29515-426.html

Open brief van Privacy First aan het Informatieberaad Zorg (pdf).