Persoonsgegevens: waar eindigt de reis?
Met commentaar in het kort van Walter van Holst, Mitopics
Nog net op de valreep van 2011 publiceerde het College Bescherming Persoonsgegevens (CBP) haar beslissing op bezwaar inzake de transactiegegevens die het Gemeentelijk Vervoersbedrijf (GVB) verwerkt als gevolg van het gebruik van de studenten OV-chipkaart in het Amsterdamse openbaar vervoer. Het CBP had het GVB een dwangsom opgelegd wegens het niet conform artikel 6 Wbp verwerken van persoonsgegevens van houders van studenten OV-chipkaarten. Kernpunt van de discussie was de vraag of reisgegevens wel of geen persoonsgegevens zijn, waarbij het CBP haar zienswijze in de bezwaarprocedure heeft gehandhaafd. Een kritische noot vanaf de zijlijn.
De feitelijke situatie rondom de OV-chipkaart is dat bij het zogenaamde in- en uitchecken bij OV-chipkaartterminals (de paaltjes op metro- en treinstations en de gele bakken in trams en bussen) zowel op de kaart zelf als in de systemen van de vervoerder (in casu GVB) het kaartnummer, abonnementstype en de daaraan gerelateerde gegevens (‘reisproduct’, ingangsdatum, uitgever abonnement), mutatiegegevens (datum, tijdstip, saldo voor en na transactie) en het apparaat waarbij in- of uitgecheckt wordt, worden vastgelegd. De NAW-gegevens van de kaarthouder zijn alleen bij GVB bekend als GVB de uitgever van het abonnement is. In het geval van de studenten OV-chipkaart zullen deze in het algemeen niet bij GVB bekend zijn.
Het GVB stelt zich op het standpunt dat er geen sprake is van identificerende informatie, omdat er geen NAW-gegevens bij GVB bekend zijn. Daarmee wordt naar mening van het GVB niet aan de criteria van artikel 1 Wbp voldaan. Sterker nog, GVB is van mening dat er sprake is van privacy by design nu de gegevens noodzakelijk voor daadwerkelijke identificatie van de houders van studenten OV-chipkaarten bij een derde partij, Trans Link Systems (TLS) verwerkt worden en niet door de vervoersbedrijven zelf.
Het CBP en GVB zijn het hier fundamenteel over oneens en het CBP heeft het GVB op 9 juni 2011 dan ook een last onder dwangsom opgelegd. Hierop heeft het GVB bezwaar aangetekend. Interessant daarbij is dat in de beslissing op bezwaar het CBP korte metten maakt met de opvatting van het GVB dat nu de NAW-gegevens bij een derde (TLS) verwerkt worden, er geen sprake is van persoonsgegevens. Het CBP stelt namelijk letterlijk in de beslissing op bezwaar dat:
“Voor de vaststelling of een persoon identificeerbaar is moet blijkens bovengenoemde overweging 26 uit Richtlijn 95/46/EG immers worden gekeken naar alle middelen waarvan mag worden aangenomen dat zij redelijkerwijs door degene die voor de verwerking verantwoordelijk is dan wel door enig ander persoon in te zetten zijn om genoemde persoon te identificeren.' (onderstreping toegevoegd)"
Als gebruiker van het openbaar vervoer die grote twijfels heeft bij de zorgvuldigheid waarmee het ambitieuze OV-Chipkaart project is neergezet juich ik het gemak waarmee het CBP de door het GVB, RET en NS opgezette constructie, waarin dochter TLS als privacybliksemafleider lijkt te fungeren, heeft doorgeprikt toe. Als praktijkjurist mis ik in deze redenering wat nuances ten behoeve van de rechtszekerheid. Het CBP introduceert namelijk grote onzekerheid over wanneer gegevens nu ophouden persoonsgegevens te zijn. Want anonimisering vindt niet zelden plaats door gegevens te schrappen, terwijl diezelfde gegevens vaak nog wel bij derden voorhanden blijven, derden die veelal toch wel enige vorm van een relatie met de verantwoordelijke hebben. In de casus van het GVB is het inderdaad redelijkerwijs voorzienbaar dat de transactiegegevens van reizen bij het GVB door TLS verwerkt worden en daarmee tot identificeerbaarheid van de kaarthouders leidt. TLS vervult immers de rol van clearing house tussen de vervoerders onderling. Het zou voor de begripsvorming echter wel prettig zijn geweest als uit de beslissing op bezwaar op te maken zou zijn onder welke omstandigheden een partij wel onafhankelijk genoeg is dat aangenomen kan worden dat de gegevens bij een derde niet langer als redelijkerwijs inzetbaar geacht kunnen worden om een betrokkene te identificeren.
Voor de vaststelling dat de transactiegegevens persoonsgegevens zijn, is dit standpunt ook niet strikt noodzakelijk, want het CBP heeft in haar beslissing op bezwaar ruim gemotiveerd dat (kaart)nummers op zichzelf ook identificerend kunnen zijn. Een eventueel beroep van het GVB tegen de beslissing op bezwaar heeft dan ook weinig kans van slagen. Het wachten is op een dossier waar de grenzen van ‘redelijkerwijs’ meer inzichtelijk worden dan in deze zaak.