Vier van de vijf OV-bedrijven voldoen niet aan inzageverzoek persoonsgegevens

Tot mijn verassing viel een paar weken geleden bij mij een grote envelop in de bus van Trans Link Systems (TLS) met daarbij een uitgebreid overzicht van mijn persoonsgegevens die door de joint venture van OV-bedrijven worden verwerkt. Op 20 juli 2010 had ik namelijk een inzageverzoek van mijn persoonsgegevens aan de vijf betrokken OV-bedrijven en TLS gedaan. TLS en de NS hebben aan het verzoek voldaan en een overzicht van de verwerkingen van mijn persoonsgegevens verstrekt. Helaas hebben de vier andere OV-bedrijven niet of niet volledig aan het verzoek voldaan..

TLS

Natuurlijk werd geen dag later dan de wettelijke termijn van een maand aan mijn verzoek door TLS voldaan, maar het overzicht was zeer volledig. Het bevatte voor mij geen schokkende gegevens. TLS verwerkt NAW-gegevens, pasfoto, geboortedatum, geslacht, kaartnummer, gegevens omtrent de kaart, transactiegegevens, gegevens over het gebruik van kaartservices en klachten en informatieverzoeken. Toch wordt je wel met je neus op de feiten gedrukt als je ziet dat elk in- en uit-checkmoment wordt vastgelegd met daarbij de plaats, datum en tijdstip en met welk vervoersmiddel je gereisd hebt. Niet is bekend wanneer en naar welke bestemming je met de trein hebt gereisd aangezien je bij de NS (nog) niet verplicht hoeft in- en uit te checken met je studenten OV-chipkaart. Voor mij betekende het overzicht een bijlage van 4 kantjes en dat was alleen nog maar van mijn reisgedrag van maart tot en met juni 2010. Als je bedenkt dat sommige OV-bedrijven niet uitsluiten dat deze gegevens verwerkt mogen worden voor reclamedoeleinden dan geeft dat toch een gevoel van onbehagen.

Ten overvloede, maar toch fijn als bevestiging, staat in de brief dat TLS de gegevens niet verwerkt om een beeld te krijgen van bepaalde aspecten van een persoonlijkheid, het samenstellen van profielen of analyse van gedrag.

NS

De NS heeft eveneens in een keurige brief een overzicht meegestuurd van de door haar verwerkte persoonsgegevens. Zij verwerken het NS klantnummer, voor- en achternaam, geslacht, geboortedatum, voorkeurstaal, adres, mobiele telefoonnummer, bankrekeningnummer en e-mailadres over mij. Tot slot wordt nog basisinformatie over de chipkaart verwerkt en mijn contactmomenten met de NS (zoals een folderaanvraag voor het terugvragen van geld bij vertraging).

RET

De RET heeft op een bijzondere manier gereageerd op het inzageverzoek. Zij stelde het volgende: De RET stelt het zeer op prijs wanneer men zicht verdiept in ons privacybeleid. Wel moeten wij, zoals al eerder aan u gecorrespondeerd is, melden dat de RET geen persoonsgegevens beheerd van OV-Chipkaarthouders. Vervolgens stellen ze dat alleen Trans Link Systems gegevens verwerkt van OV-chipkaarthouders en de RET alleen persoonlijke gegevens beheert van jaarabonnementhouders. Volgens mij is dat onzin. In het privacyreglement staat dat: De persoonsgegevens en de reisgegevens die de RET verkrijgt indien u reist met een persoonlijke OV-chipkaart met persoonsgebonden RET-reisproduct worden door de RET vastgelegd en verwerkt voor het op juiste wijze uitvoeren en afwikkelen van de vervoersovereenkomst. De RET verwerkt persoonsgegevens van mij door mijn gebruik van de (persoonlijke) studenten OV-chipkaart voor de metro in Rotterdam. Zij is verantwoordelijk voor een gedeelte van de gegevensverwerking die het door gebruik hiervan plaatsvindt. De gegevens die ze van mij hebben zouden ze mij moeten kunnen verstrekken. Overigens is de RET volgens mij met betrekking tot de gegevens van jaarabonnementshouders gewoon verantwoordelijke en geen beheerder, maar dat terzijde.

Veolia

Veolia heeft op 26 juli 2010 gereageerd met een brief waarin zij stelt geen verantwoordelijke te zijn voor de verwerking van mijn persoonsgegevens. Dit zou volgens hen Trans Link Systems zijn. Met de brief zat een uitdraai van het privacybeleid van TLS met daarbij gearceerd wie ik moet aanspreken voor de inzage. Veolia en RET lijken dus dezelfde strategie te hanteren en mij van het kastje naar de muur te sturen. Verder heb ik op 18 augustus 2010 nog een brief gekregen dat mijn ‘klacht’ in behandeling is genomen en ik over 15 werkdagen een reactie terug kan verwachten. Die reactie is nog niet gekomen.

GVB

De GVB heeft op 16 augustus 2010 in een brief gereageerd op mijn inzageverzoek. Zij laat hierin weten dat mijn gegevens verwerkt worden voor het uitvoeren van de overeenkomst en het bereken en vastleggen van de gegevens voor de financiële administratie. In de brief staat dat door de GVB worden geen gegevens verewerkt voor informatie over nieuwe producten en diensten of speciale acties, dus dat is goed nieuws. Toch staat in het privacybeleid van de GVB dat koppeling kan plaatsvinden tussen de reisgegevens en transactiegegevens "om de reiziger te informeren over nieuwe producten en diensten of speciale acties." Dit blijf ik verwarrend vinden, want dit is in tegenspraak met de boodschap in de brief. In de brief wordt verwezen naar een bijlage met een overzicht van transacties van mijn OV-chipkaartnummer. Blijkbaar konden zij dit in tegenstelling tot de RET en Veolia wél verstrekken. Maar toch ook weer niet, omdat de bijlage niet in de brief was bijgevoegd (!). Ik heb hen nogmaals een brief verstuurd met het verzoek de bijlage alsnog naar mij te versturen. Hier is inmiddels (7 oktober 2010) aan voldaan en ben ik in het bezit van een overzicht van 2 kantjes aan reisgegevens.

Connexxion

Connexxion liet in een brief weten op 10 augustus mij een brief te hebben verstuurd. Hier stond in dat zij geen gegevens over mij verwerken en dus ook geen overzicht kunnen verstrekken. Ik ben van mening dat ik de brief nooit gekregen heb. Belangrijker is dat ook Connexxion haar verantwoordelijkheid niet neemt en geen overzicht van persoonsgegevens verstrekt. Dit terwijl ik wel degelijk met mijn OV-chipkaart met bussen van Connexxion heb gereisd.

Conclusie

Vier van de vijf OV-bedrijven hebben nog steeds niet (goed) voldaan aan het inzageverzoek van mijn persoonsgegevens. Het inzageverzoek is een recht van een betrokkene waarvan gegevens verwerkt worden ligt verankerd in artikel 35 Wet bescherming persoonsgegevens. Door uitoefening van dit recht weet ik welke gegevens over mij verwerkt worden door OV-bedrijven door het gebruik van mijn studenten OV-chipkaart. Alleen op die manier kan ik zelf nagaan welke gegevens over mij worden verwerkt. Dit is relevant in het kader van het handhavingsverzoek van februari dit jaar, waarin ik samen met andere belanghebbenden stel dat OV-bedrijven onze gegevens op onrechtmatige gronden verwerken. Ik zie mij genoodzaakt om opnieuw een bemiddelingsverzoek aan het CBP in te dienen, zodat de bedrijven die niet voldaan hebben aan mijn verzoek alsnog een overzicht van persoonsgegevens verstrekken. Ik vind het een schande dat het zoveel tijd en moeite kost om mijn rechten te kunnen uitoefenen.

 

==Update==

Stuk over Connexxon aangepast. 

 ==Update==

De GVB heeft inmiddels haar overzicht met mijn gegevens verstrekt. 

Be Sociable, Share!

One thought on “Vier van de vijf OV-bedrijven voldoen niet aan inzageverzoek persoonsgegevens

  1. Pingback: OV-bedrijven schenden privacy OV-chipkaarthouders | OerlemansBlog – Blog about cybercrime and privacy

Leave a Reply

Your email address will not be published. Required fields are marked *