Debat over aftappen

Twee weken geleden (23 mei 2012) heb ik een seminar bijgewoond over aftappen naar
aanleiding van het WODC-onderzoek ‘het gebruik van de telefoon- en internettap in de opsporing‘. De media schreef over het rapport met name dat ‘Nederland koploper in aftappen is’ (zie bijvoorbeeld nu.nl).

Kamerleden duikelden vervolgens over elkaar heen om in de media te herhalen dat
het een schande is dat Nederlands koploper is en de notificatieplicht moet worden nagekomen. Andere onderzoeksresultaten uit het rapport zijn verder nauwelijks ter sprake gekomen. In dit bericht wil ik daar enkele opmerkingen over maken.

Telefoontap minder effectief?

Al voor het seminar begon en het rapport officieel aan het publiek beschikbaar werd
gesteld kwam de Volkskrant al met het berichtdat de ‘telefoontap steeds minder effectief
wordt
’. Dat was misschien niet zo netjes van de Volkskrant, maar het haalde wel een
belangrijke boodschap uit het rapport. Namelijk dat steeds meer mensen van andere communicatiemiddelen dan de telefoon gebruik maken en daardoor niet alle communicatie meer over de reguliere tap komt. Het is daarom niet verbazend dat
opsporingsdiensten meer van de internettap gebruik zijn gaan maken en het aantal ingezette internettaps is verdubbeld van 1704 taps in 2010 naar 3331 taps in 2011. Volgens de demissionaire regering (brief van 25 mei 2012, Kamerstukken II 2011/12, 30 517, nr. 25)is dat te verklaren door de toename van het gebruik van internettoepassingen op smartphones. De WODC-onderzoekers geven aan dat door gebrek aan capaciteit en kennis bij de politie het aantal ingezette internettaps nog relatief laag is gebleven.

De vermeende ineffectiviteit heeft niet geleid tot een daling van het aantal taps.
De traditionele telefoontap is zelfs meer ingezet dan ooit (van 22006 in 2010 naar 24718 in 2011). De telefoontap blijkt nog steeds een effectieve opsporingsmethode te zijn. In de brief van de regering wordt bevestigd dat de telefoontap vooral nuttig indirect bewijsmateriaal oplevert. Soms geeft het ook aanleiding tot een effectieve en efficiënte inzet van andere opsporingsbevoegdheden. Tijdens het seminar werd ook door een officier van justitie toegelicht dat een verdachte soms wel van 8 prepaid telefoons gebruik maakt en dat kan ook (deels) een verklaring leveren voor het hoge aantal ingezette taps. Persoonlijk kreeg ik bij het seminar de indruk (door het gebrek aan debat daarover) dat de internettap nog niet zo’n grote rol speelt in opsporingsonderzoeken. Deze opsporingsbevoegdheid is volgens mij vooral relevant in de meer high tech opsporingsonderzoeken waarbij verdachten voornamelijk via internet communiceren. Afgevraagd kan worden of dit in de toekomst gaat veranderen als steeds meer mensen voor hun communicatie vooral van internet gebruik maken. Ik denk dat het belangrijk is
daar nu al over na te denken en debat te voeren.

De overwegingen in de brief van de regering over de internettap vond ik zelf wel interessant en die wil ik hier nog kort uitlichtten. Over de internettap werd gezegd dat
inmiddels ‘geselecteerde internettoepassingen’ kunnen worden afgetapt, waardoor
niet het gehele netwerkverkeer hoeft te worden geanalyseerd. Naast dat dit efficiënter is, komt dat natuurlijk ook de privacy van de betrokkene ten goede.
Opstelten geeft nogmaals aan ‘zowel nationaal als internationaal wordt onderzocht of er aanpassing van wet- en regelgeving nodig is om ook op internet de juiste mogelijkheden te hebben voor de opsporing’. Voor het zomerreces moet de Kamer daarover worden geïnformeerd.

In mijn eigen artikel over de internettap geef ik aan dat door versleuteling het in toenemende mate lastig wordt de inhoud van communicatie via internet af te tappen. Tegelijkertijd kan met de inzet van alternatieve opsporingsmethoden veel worden bereikt. De bijzondere opsporingsbevoegdheid van direct afluisteren (artikel 126l Sv), inclusief de mogelijkheid tot het plaatsen van een keylogger, biedt mogelijk een interessant alternatief om het probleem van versleuteling te omzeilen. De opsporingsbevoegdheid mag in een woning echter slechts worden toegepast bij misdrijven waar een gevangenisstraf van 8 jaar of meer op staat. De praktische toepassing van deze opsporingsmethode is daardoor beperkt. In de Verenigde Staten wordt wellicht vaker van deze opsporingsmethode gebruik gemaakt om het probleem van versleuteling te omzeilen. Zie bijvoorbeeld ook deze analyse cryptografie-deskundige Matt Blaze over de Amerikaanse ‘wiretap report’ van 2010 (die van 2011 verschijnt hopelijk later deze maand).

Het is mij niet duidelijk geworden in hoeverre opsporingsdiensten in Nederland concreet
gehinderd worden door versleuteling. Ook ben ik benieuwd in hoeverre de nieuwe versie van het IP-protocol (IPv6) in de nabije toekomst mogelijk een probleem gaat vormen voor opsporingsdiensten. Wellicht zou de Nederlandse politie daar over wat meer kunnen zeggen naar voorbeeld van hun overzeese collega’s. In de Verenigde Staten probeert de FBI namelijk duidelijk te maken dat dit wel degelijk een probleem is. Zie daarover bijvoorbeeld dit interessante bericht op CNET.

Reactie Kamerleden

Van de reactie van Kamerleden had ik om eerlijk te zijn wel wat meer verwacht. Kamerlid El Fassed stuurde twee dagen voor het verschijnen van het rapport een viertal Kamervragen in. In mijn ogen maakt hij terecht een punt over het verschaffen van transparantie over het aantal vorderingen van gegevens bij sociale mediadiensten. Ik zie niet in hoe informatie over het aantal verzoeken tot gevolg kan hebben dat verdachten hun gedrag daarop zouden aanpassen, zoals staatssecretaris Teeven eerder heeft aangegeven.

Daarnaast stelt El Fassed de vraag of het niet verstandig zou zijn of voor het aftappen
van telefoons en sociale media door opsporingsautoriteiten dezelfde voorwaarden
moeten gelden. Blijkbaar is El Fassed of GroenLinks niet goed op de hoogte van de wetgeving. Sociale mediadiensten zijn (vooralsnog?) niet aftapplichtig; daar kunnen slechts gegevens worden gevorderd. Voor het vorderen van opgeslagen gegevens
(o.g.v. artikel 126ng lid 2 Sv) gelden verder dezelfde voorwaarden als voor een telecommunicatietap. Dit heb ik overigens ook uitvoerig uiteen gezet in mijn artikel over de internettap.

Persoonlijk vind ik het jammer dat een debat over de niet-aftapbaarheid van telecommunicatie en telecommunicatiediensten die zich soms aan de aftapplicht
lijken te onttrekken is uitgebleven. Wat mij betreft zijn dit ook belangrijke vragen waar over gediscussieerd moet worden.Wellicht biedt de toekomstige brief van Opstelten over
opsporingsbevoegdheden op internet hiervoor een mooie aanleiding.

Wiretapping Internet Communications

An important report from the Dutch governmental judicial organization ‘WODC’ (Research and Documentation Centre) about wiretapping was published yesterday. For this report I wrote about ‘the possibilities and limitations of wiretapping internet
communications
’ (.pdf (in Dutch)). In this blog post I will give a brief overview of my
research findings. Some readers might be surprised that Internet communications can be legitimately wiretapped, but what might surprise even more is that this  relatively new investigatory technique is rapidly getting less effective with regard to the interception of
the contents of data sent over the Internet.

Workings of an internet wiretap

More and more people are communicating with each other by using the Internet. Not only are most telephones connected over the Internet, many people use alternative ways to communicate via the Internet. Think of modern services like Skype, Whatsapp, e-mail and the sending of private messages through chat programs and other services. It is important for investigative authorities to be able to wiretap the content of certain
information or messages that is sent over the Internet during criminal investigations. The intercepted internet traffic can hold important (mostly indirect) evidence. Intercepting the content of this data is however more of a challenge than intercepting telephone conversations.

In practice, internet traffic data is usually intercepted at the Internet Service Provider, more specifically at the ‘access provider’. Access providers provide internet connections for their clients. All incoming and outgoing traffic of a certain IP address is intercepted and this can be analyzed and made visible by law enforcement authorities. This means that for example search terms in Google are visible to the investigative authorities and
also chat conversations that are sent unencrypted over the Internet through programs (like MSN Messenger), or private messages send through certain apps (such as Whatsapp) or the communications through certain social media services (such as Hyves). The problem is that only unencrypted traffic can be made visible by law enforcement agencies.

Encryption and mobile devices

Lately, more and more online services began using certain encryption. Sometimes the use of encryption for internet services is an option for users (like with Facebook and Hotmail) and sometimes it is standard (when using Twitter or Gmail for instance). In this context, encryption scrambles data so that the content of the intercepted data from a certain IP
address cannot be made visible by law enforcement. For example, it is suspected investigative authorities are unable to decrypt ‘telephone conversations’ that are send over Skype. Internet users can also make the conscious decision to use strong encryption in their communications, for example by using the e-mail program ‘Pretty Good Privacy’. In addition, the possibilities of wiretapping internet connections is undermined by mobile devices that connect to the Internet (using WiFi connections for example). Many people use different Internet
connections in a single day and since wiretaps can only be placed at specific IP-addresses, it is often impossible to intercept all communications.

Possible solutions

A solution would be to intercept traffic from internet communication service providers. However, it is unclear for many of these services if they fall under the broad definition of ‘public telecommunications service provider’ in our Telecommunications law. But even if they do, it’s often impossible to enforce our laws, because their main offices are situated in territories outside of the Netherlands. The Dutch government could take action and provide more clarity about which services fall under the definition of a ‘public telecommunications provider’ and force them to facilitate in wiretapping (at least with regard to services within the Dutch territories). An obligation to wiretap involves costs
and privacy implications. Some internet communication services might not be able to comply with the obligation or it might create too much of a burden which impedes on innovation.

Not all is lost for law enforcement authorities however. Besides the availability of many other investigative powers to collect useful information about suspects and their internet communications, law enforcement can still deduce important data from so called ‘traffic data’ of wiretaps. This information shows for example at which time (and place to a certain extent) a suspect connects to computers. A wiretap might show a suspect using
an anomization service or connecting to a service such as Gmail in the United States. This information may provide important leads for law enforcement.

Conclusion
In short, the effectiveness of internet wiretaps deteriorated over the last decade due the increased use of encryption and mobile internet. At the same time the necessity of wiretapping Internet communications increased, because many people started using different means of communication besides telephones. Before amendments are made to wiretapping laws in order to wiretap on more internet communication services, it must be considered whether those amendments are absolutely necessary and what consequences it might have for privacy en innovation.

This article is a cross-post from Leiden Law Blog

De Belgische ‘online doorzoeking’

In België wordt in artikel 88ter Wetboek van Strafvordering de zogenaamde
‘netwerkzoeking’ geregeld. Aan het artikel kan een zeer brede betekenis worden
toegekend. Zelfs zo breed dat het de grondslag zou kunnen vormen van tot een
‘online doorzoeking’ in het buitenland.

In dit blogbericht wil ik de bevoegdheid kort analyseren en een vergelijking maken
met het Nederlandse equivalent zoals geregeld in artikel 125j van het Nederlandse Wetboek van Strafvordering. Daarbij wil ik opmerken dat het slechts mijn eerste gedachten zijn over het onderwerp. Als iemand mij kan en wil verbeteren, dan graag! .

Belgische netwerkzoeking

De Belgische netwerkzoeking is een op zichzelf staande opsporingsbevoegdheid en
geen opsporingsbevoegdheid die slechts in het verlengde staat van een andere
bevoegdheid, zoals een huiszoeking of doorzoeking ter vastlegging van gegevens.
Wel kan een machtiging tot een netwerkzoeking door een rechter tijdens een zoeking
worden afgegeven als blijkt dat een betrokken verdachte van een bepaalde systemen
gebruik maakt om daar vervolgens een zoeking te doen. De zoeking zou elke mogelijke technische en procedurele vorm kunnen inhouden en daarmee zijn de mogelijkheden van opsporingsbevoegdheid zeer breed.

Zelfs zo breed dat in literatuur (Zie voor een heldere uitleg bijvoorbeeld J. Kerkhofs & P. van Linthout, ‘Cybercriminaliteit doorgelicht’, Tijdschrift voor Strafrecht 2010, nr. 4, pp. 179-199) als voorbeeld wordt genoemd dat met een voorhanden inlognaam en wachtwoord ook de webmail van een verdachte (bijvoorbeeld Gmail en Hotmail) kan
worden onderzocht. Denkbaar is dat opsporingsambtenaren zo’n inlognaam en
wachtwoord tijdens een huiszoeking op een briefje ergens vinden, tijdens een tap wordt onderschept, of zelfs met software of een ‘bug’ op het toetsenbord wordt onderschept (als die opsporingsmethode tenminste in de wetgeving mogelijk is gemaakt). Met de netwerkzoeking-bevoegdheid zou dan volgens de Belgen op het geautomatiseerde werk (in casu de webserver) een zoeking kunnen plaatsvinden.

Dit vind ik een bepaald vergaande bevoegdheid dat mijns inziens wel degelijk op
hacken als opsporingsbevoegdheid neerkomt. Er wordt immers onder een valse
hoedanigheid een (persoonlijk) geautomatiseerd werk van een verdachte binnengedrongen. Het idee is volgens mij dat, omdat er een wettelijke bevoegdheid (in België) voorhanden is voor een dergelijke opsporingshandeling geen sprake van het delict (hacken) zou zijn. De opsporingsmethode zelf komt in het spraakgebruik nog steeds neer op hacken. Bovendien wordt in bepaalde gevallen in feite op een geautomatiseerd systeem (server) van een bedrijf gezocht die daarvoor geen toestemming heeft geven en wellicht in het buitenland staat. Zowel het betrokken bedrijf of de
betrokken staat kan dat nog steeds als een delict of inbreuk op haar soevereiniteit zien. De enige beperking van de netwerkzoeking lijkt te zijn dat niet op slinkse wijze of met een technische voorziening computers gehackt mogen worden. De toegang moet dus rechtmatig verkregen zijn, bijvoorbeeld door het vergaren van de inloggegeven met een andere opsporingsbevoegdheid. Ik vraag mij af of het ook mogelijk zou zijn netwerken overal ter wereld te doorzoeken, indien een systeembeheerder daar bijvoorbeeld toegang toe heeft en de toegangscodes aan opsporingsinstanties afgeeft. Hopelijk wordt dat dan wel even met een jurist van het betrokken bedrijf overlegt.

België heeft het Cybercrimeverdrag niet geratificeerd waarin verdragstaten overeen
zijn gekomen dat gegevens slechts met voorafgaande toestemming van de rechthebbende
of met rechtshulp grensoverschrijdend gegevens kunnen worden verkregen. De partijen waren er tijdens de onderhandeling niet uitgekomen dat een grensoverschrijdende netwerkzoeking mogelijk zou zijn, wellicht omdat zij zich in hun soevereiniteit geschonden voelen. Dat betekent dat de normale volkenrechtelijke regels gelden en strafvorderlijke bevoegdheden in principe niet over de grens mogen worden toegepast. De kans bestaat naar mijn mening dat een andere staat of bedrijf naar aanleiding van zo’n actie de Belgische Staat voor een (internationale?) rechter sleept. Het is blijkbaar de bedoeling dat bij de Belgische netwerkzoeking de verantwoordelijke voor het systeem waar een zoeking plaatsvindt geïnformeerd wordt. Dit is echter alleen noodzakelijk indien de identiteit van de verantwoordelijke redelijkerwijze kan worden vastgesteld. De
auteurs Kerkhofs en Linthout wijzen er tevens op dat voor de bepaling geen termijn voor de informering voorschrijft en niet op straffe van een sanctie is voorgeschreven.

Netwerkzoeking in Nederland

Naar aanleiding van het bovenstaande moet natuurlijk afgevraagd worden of in
Nederland ook met het equivalent van de Belgische netwerkzoeking in het buitenland systemen mogen worden doorzoeken. Uit de wettekst zelf en wetsgeschiedenis kan worden afgeleid artikel 125j Sv een netwerkzoeking mogelijk maakt als vervolg van de inzet van een bevoegdheid tot het doorzoeken ter vastlegging van gegevens zoals geregeld in artikel 125i Sv. Indien bijvoorbeeld een doorzoeking ter vastlegging van gegevens plaatsvindt op een computer bij een bedrijf, dan kan de doorzoeking zich tevens uitstrekken tot andere computers binnen een bedrijfsnetwerk of zelfs met computers die met het netwerk verbonden zijn en binnen Nederlands territoir bevinden. De bevoegdheid kan alleen worden ingezet indien wordt vermoed dat bepaalde gegevens op die andere computers gevonden zullen worden. Deze laatste eis geldt echter ook in België.

De Nederlandse bevoegdheid tot een netwerkzoeking is daardoor beperkter in zijn aard dan de Belgische (zie ook Koops, in ‘De dynamiek van cybercrime-wetgeving in Europa en Nederland’, p. 17 en 18). Andere opsporingsbevoegdheden bieden naar mijn mening tevens onvoldoende legitimatie tot het op afstand doorzoeken van gegevens op een geautomatiseerd werk (zie ook dit artikel van mij en dit blogbericht).
Conclusie

De Belgische netwerkzoeking kan onder omstandigheden een ‘online doorzoeking’ in
het buitenland mogelijk maken. In Nederland is deze opsporingshandeling naar mijn mening niet toegestaan, omdat de Nederlandse netwerkzoeking geen op zichzelf staande opsporingsbevoegdheid is en hacken (nog) geen opsporingsbevoegdheid is.

Naar mijn mening is de Belgische netwerkzoeking zeer vergaand, maar pragmatisch. Het
biedt opsporingsambtenaren de mogelijkheid grensoverschrijdend gegevens te vergaren in dezelfde systemen als waar een verdachte gebruik van maakt, mits rechtmatig toegang wordt verkregen tot die systemen op basis van andere bevoegdheden. Echter, het kan leiden tot een ontransparante opsporingspraktijk waarbij heimelijk informatie wordt vergaard (al dan niet in het buitenland). Zelfs als een brave Belgische opsporingsambtenaar de verantwoordelijke over het gebruik van de bevoegdheid inlicht vindt het bedrijf het wellicht niet voldoende aanleiding (of te veel moeite?) om er een probleem van te maken of een procedure te starten. Indien dergelijke opsporingshandelingen niet via officiële rechtshulpverzoeken gaan worden de opsporingshandelingen die een inbreuk maken op de persoonlijke levenssfeer van de betrokken aan het toezicht van de betrokken staat onttrokken. Dit kan de rechtsbescherming van de betrokkene in gevaar brengen, zeker wanneer de verdachte zich op territoir buiten België bevindt. Inzet van de opsporingsmethode kan leiden tot
diplomatieke spanningen als een staat van de netwerkzoeking op de hoogte raakt.
Daarbij moet wel worden aangetekend dat dit afhankelijk is van de omstandigheden van het geval, de afspraken die onderling zijn gemaakt en de opsporingspraktijk. Ik ben daarom heel benieuwd hoe de bevoegdheid in de praktijk gaat uitwerken en in hoeverre hier procedures uit volgen.

US v. Jones (GPS tracking)

Gisteren (23 januari 2012) is in de Verenigde Staten een interessant en belangrijk arrest gewezen door het Hooggerechtshof in de zaak ‘US v. Jones’. In deze zaak werd een apparaatje op een auto geplakt om daarmee de verdachte te volgen met door middel van GPS-technologie. Unaniem oordeelde de ‘Supreme Court’ dat dit handelen een ‘search’ (doorzoeking) constitueerde en inbreuk maakte op het Amerikaanse recht op privacy, zoals neergelegd in het vierde amendement van de Amerikaanse grondwet. In dit bericht geef ik een korte observatie over de zaak.

(Majority) opinion of the Court
De rechters waren het (uiteraard, het blijven juristen) niet eens met de reden waarom de opsporingsmethode een ‘search’ was. De meerderheid was in elk geval van mening dat het plaatsen van het apparaat op de auto een inbreuk maakte op de Fourth Amendment wegens een ontoelaatbare inbreuk op het eigendomsrecht (“When the Government physically invades personal property to gather information, a search occurs”, aldus de samenvatting van het arrest van rechter Sotoyama). Professor Kerr laat op zijn vaste blog weten dat de rechters niet de vraag hebben beantwoord of voor het plaatsen van het GPS apparaat altijd een rechterlijke machtiging (‘warrant’) nodig is. In een minderheidsmening geven de rechters in elk geval aan dat wat hun betreft voor een korte tijd in de gaten houden van verdachten via de GPS geen warrant noodzakelijk is.

De conservatieve rechters benadrukken dat slechts het observeren van de bewegingen van een auto binnen het publieke domein wel is toegestaan, op basis van de ‘reasonable expectation of privacy’-doctrine zoals geformuleerd in de Katz-zaak. Grof geformuleerd kunnen burgers binnen het publieke domein op basis van dit arrest geen beroep doen op het Amerikaanse privacyrecht en dat betekent dat het overheidshandelen niet aan bepaalde vereisten uit de ‘Fourth Amendment’ hoeven te voldoen, zoals een rechterlijke machtiging voor de opsporingsmethode en (een iets andere interpretatie van) een ‘redelijk vermoeden van een strafbaar feit’. Overigens kan in andere wetgeving wel voorwaarden worden opgelegd voor opsporingsmethoden in het publieke domein.

Elektronische observatie?
Ik relateer de zaak natuurlijk ook aan mijn eigen (rechtsvergelijkende) onderzoek over de inzet van opsporingsmethoden op internet en jurisdictie. Met betrekking tot stelselmatige observatie op internet kan waarschijnlijk binnen het Amerikaanse recht geen beroep worden gedaan op de ‘Fourth Amendment’. Met ‘stelselmatige observatie op internet’ bedoel ik dan het bijhouden en vastleggen van alle uitspraken en ‘bewegingen’ van een bepaald persoon voor langere tijd op internet. De vraag is of dit anders zijn voor het in de gaten houden van individuen op fora, websites of social media waarvoor eerst een account moet worden aangemaakt. Op basis van het arrest zou ik zeggen van niet, omdat geen ‘physical interference’ plaatsvindt. Mijn twijfels worden echter aangewakkerd door de volgende overweging op pagina 11: “It may be that achieving the same result through electronic means, without an accompanying trespass, is an unconstitutional invasion of privacy, but the present case does not require us to answer that question”. Een aantal rechters geven als voorbeeld dat nu twijfel bestaat aan welke voorwaarden het aanzetten van de GPS-functionaliteit van een smartphone of navigatie-apparatuur in de auto moet voldoen.

Concurring opinions
In de ‘concurring opinion’ komt rechter Alito met een andere redenering tot eenzelfde conclusie. Hij heeft fikse kritiek op de redenering van rechter Scalia en anderen en merkt op dat een ’21st-century surveillance technique’ getoetst wordt met ‘18th-century tort law’. De rechters vinden het arrest ‘unwise’ en ‘kunstmatig’. Volgens hen levert het gebruik van de GPS-technologie voor langere tijd een inbreuk op de Fourth Amendment op, ongeacht of daar toevallig een apparaatje voor wordt gebruikt.

Rechter Sotoyama betwijfelt nog in haar stuk dat de ‘reasonable expectation of privacy’-doctrine in de moderne samenleving nog wel kan worden gehandhaafd. Zij merkt op:
“More fundamentally, it may be necessary to reconsider the premise that an individual has not reasonable expectation of privacy in information voluntarily disclosed to third parties (…). This approach is ill suited to the digital age, in which people reveal a great deal of information about themselves to third parties in the course of carrying out mundane tasks. People disclose the phone number that they dial or text their cellular providers; the URLs they visit and the e-mail addresses with which they correspond to their Internet service providers (…)”.
Toch is ook zij van mening dat het Hooggerechtshof deze vragen niet hoeven te beantwoorden.

Conclusie
Het grote verschil tussen de meerderheids- en minderheidsmening is dat niet geredeneerd wordt vanuit een inbreuk op eigendomsrechten, maar een inbreuk op privacy. De reikwijdte van het Amerikaanse grondrecht wordt door sommige rechters dus breder geïnterpreteerd. Volgens de meerderheid van de rechtbank levert een andere uitleg onnodig complexe vragen op; volstaan kan worden met het vaststellen van de inbreuk op het eigendomsrecht van de verdachte en daarmee de vaststelling van een inbreuk op de Fourth Amendment. Hierdoor worden juist die fundamenteel belangrijke vragen uit de weg gegaan en blijft onduidelijk wanneer opsporingsambtenaren bij elektronische surveillance moeten voldoen aan de vereisten uit de ‘Fourth Amendment’. Wel is het zo dat de Amerikaanse wetgever natuurlijk strikte voorwaarden kan stellen voor het gebruik van opsporingsmethoden. Daar gaat echter altijd een lang proces aan vooraf en in het verleden hebben zijn ze daartoe nog niet bereid geweest.

Zie ook:
http://www.washingtonpost.com/politics/supreme-court-warrants-needed-in-gps-tracking/2012/01/23/gIQAx7qGLQ_story.html
http://www.wired.com/threatlevel/2012/01/scotus-gps-ruling/
http://www.scotusblog.com/2012/01/reactions-to-jones-v-united-states-the-government-fared-much-better-than-everyone-realizes/#more-137698

CBP plaatst studenten buiten spel

Na een half jaar is er weer nieuws over het handhavingsverzoek van de studenten OV-chipkaart! Het CBP heeft op 7 juni 2011 definitief besloten ons niet als belanghebbende aan te merken m.b.t. het onderzoek naar de studenten OV-chipkaart, dat de privacywaakhond naar aanleiding van ons verzoek heeft ingesteld. De brief is hier te lezen en ons bezwaar van 21 maart 2011 is hier te lezen. In dit bericht zullen we kort stil staan bij de gang van zaken die tot dit besluit heeft geleid en hier een oordeel over geven.  

Optreden van CBP inzake studenten OV-chipkaart

Op 8 februari 2010 hebben vijf Clinic-studenten onder begeleiding van universitair hoofddocent Gerrit-Jan Zwenne van de afdeling eLaw@Leiden van de Universiteit Leiden (link) een handhavingsverzoek naar het College Bescherming Persoonsgegevens gestuurd. In de brief werd het CBP verzocht de Wet bescherming persoonsgegevens te handhaven met betrekking tot het beleid van openbaar vervoer bedrijven inzake de studenten OV-chipkaart. De brief had een bijlage van honderd pagina’s en op verzoek van het CBP is nog een uitgebreide toelichting gestuurd. Naar aanleiding van onze brief stelde het CBP een onderzoek in.  

Uiteindelijk vaardigde het CBP op 9 december 2010 een persbericht uit waarin zij stelde dat de GVB, RET, NS en Trans Link Systems in strijd met de Wet bescherming persoonsgegevens hebben gehandeld. Dit zijn ook de bedrijven geweest die in het verzoek werden genoemd, aangezien daarmee door de indieners van het handhavingsverzoek is gereisd. Andere OV-bedrijven zoals Veolia heeft het CBP niet in het onderzoek betrokken. Over het besluit van CBP is eerder dit uitgebreide blogbericht geschreven 

In het kort komt het besluit van het CBP er op neer dat alle OV-bedrijven de Wbp niet correct hebben nageleefd. De persoonsgegevens van studenten worden op basis van verkeerde gronden in de Wbp verwerkt en (op de NS na) zijn de gegevens veel te lang bewaard. Het CBP zag geen concrete aanwijzingen dat de beveiliging van persoonsgegevens niet op orde was en is nauwelijks ingegaan op een belangrijk punt van ons handhavingsverzoek, namelijk het verwerken van persoonsgegevens voor reclame-doeleinden. Wat ons betreft past dit niet binnen de taakstelling van openbaar vervoer bedrijven. De toezichthouder ging hier alleen op in door te herhalen wat OV-bedrijven met betrekking tot dit onderwerp in een openbare melding hadden aangegeven.  

Normaal gesproken worden na de publicatie van de voorlopige bevindingen de belanghebbenden gehoord. Wat ons betreft waren dat de openbare vervoer bedrijven en de indieners van het handhavingsverzoek. Vervolgens worden de definitieve onderzoeksresultaten gepubliceerd. Daar heeft het CBP echter een stokje voor gestoken.  

Wel of geen belanghebbende?

In plaats van een uitnodiging voor een hoorzitting kregen we van het CBP op 3 februari 2011 – een jaar na ons handhavingsverzoek! – een brief met de mededeling dat we geen belanghebbenden zouden zijn. Hier zijn we op 21 maart 2011 tegen in bezwaar gegaan en op 7 juni 2011 heeft het CBP definitief beslist dat we geen belanghebbende zijn.  

De beslissing van het CBP lijkt niet goed doordacht. Anders dan het CBP veronderstelt ligt ons belang niet bij een ‘subjectief gevoel van sterkte betrokkenheid’, maar hadden wij ten tijde van het handhavingsverzoek een studenten OV-chipkaart en zijn onze persoonsgegevens vermoedelijk in strijd met de Wet bescherming persoonsgegevens verwerkt. Bovendien gaf het CBP ons letterlijk de indruk dat wij belanghebbenden waren, door in haar brief van 1 april 2010 de procedure uit te leggen: “Conform de wettelijke procedure zullen deze partijen de gelegenheid krijgen te reageren op de voorlopige bevindingen van het CBP. Hierna wordt het onderzoek afgerond met de definitieve bevindingen. Vervolgens zal het CBP op grond van de definitieve bevindingen een gemotiveerde beslissing nemen op uw handhavingsverzoek. Het CBP verwacht hiervoor nog enige tijd nodig te hebben. Uiteraard houdt het CBP u op de hoogte van de voortgang.” Deze uitleg is conform artikel 60 lid 3 Wbp, waarin staat dat het College mededeling van haar bevindingen mededeling doet aan de belanghebbende. 

Door ons niet als belanghebbende aan te merken kunnen wij niet meer reageren op de voorlopige bevindingen van het onderzoek en geen invloed meer uitoefenen op de definitieve bevindingen van het studenten OV-chipkaart onderzoek. Het CBP heeft ons daarmee effectief buiten spel geplaatst.  

Conclusie

Het is ons volstrekt onduidelijk gebleven welke maatregelen de OV-bedrijven hebben genomen naar aanleiding van de vernietigende voorlopige bevindingen van het CBP in december 2010. Het niet-aanmerken van ons als belanghebbende vinden wij onbegrijpelijk. Een toezichthouder kan blijkbaar bij gelegenheid mensen aanmerken als belanghebbende of niet en hen daarmee buiten spel zetten. Het verbaast ons dat het CBP op deze onelegante en onprofessionele wijze omgaat met concrete belangen van data subjecten.  

Toch zijn we blij dat naar aanleiding van ons handhavingsverzoek een onderzoek is ingesteld en in eerste instantie is geoordeeld dat de OV-bedrijven in strijd met de wet hebben gehandeld. Hopelijk neemt het College op korte termijn haar beslissing (wij wachten immers al bijna anderhalf jaar) en blijft het besluit uit december overeind.

Meldplicht datalekken

ICT~Office heeft gisteren (dinsdag 7 juni 2011) een interessant bericht geplaatst over de
‘onuitvoerbaarheid’ van de voorgestelde meldplicht voor aanbieders van een telecommunicatiedienst. In dit bericht wil ik kort stil staan bij de argumenten die de organisatie aandraagt, achtergrondinformatie geven over de  drie verschillende meldplichten die nu in de pijpleiding zitten, en mijn eigen mening hier over geven.

Op grond van het voorgestelde 11.3a in de gewijzigde Telecommunicatiewet (Kamerstukken II 2010/2011, 32 549, nr. 2) moet een aanbieder van een openbare elektronische communicatiedienst betrokkenen informeren ‘indien de beveiliging wordt
doorbroken en dit nadelige gevolgen heeft voor de privacy’. In lid 5 staat een belangrijke uitzondering waarin staat dat de kennisgeving aan de betrokkene achterwege kan blijven indien de communicatieaanbieder ‘naar het oordeel van het college gepaste technische beschermingsmaatregelen heeft genomen waardoor de persoonsgegevens die het betreft, versleuteld of anderszins onbegrijpelijk zijn voor een ieder die geen recht op toegang tot die gegevens’. Het versleutelen van gegevens kan een kennisgeving aan betrokkenen dus voorkomen, maar wel nadat de OPTA over elk incident zijn oordeel heeft geveld.

Daarnaast wordt in het wetsvoorstel – die overigens is opgesteld naar aanleiding van de
implementatie van Europese regelgeving in ons nationale systeem – een artikel voorgesteld voor een meldplicht ‘bij veiligheidsinbreuken en het verlies van integriteit in het geval deze een belangrijk effect hebben gehad op de continuïteit van het netwerk of de daarover geleverde diensten’. Bij deze meldplicht staat het voorkomen van interruptie van het openbare elektronische communicatieverkeer en het onderbreken van openbare elektronische communicatiediensten voorop. De melding moet plaatsvinden bij de Minister van Economische Zaken (die het afhandelen ervan mogelijk delegeert aan het Agentschap Telecom).

In de Memorie van Toelichting (MvT) wordt opgemerkt dat overlap kan plaatsvinden bij
de eerder genoemde meldplicht, aangezien een veiligheidsinbreuk tegelijkertijd kan leiden tot een belangrijk effect op de continuïteit en het ongewild vrijkomen van gegevens. In de toelichting wordt toegezegd dat zal moeten worden gezorgd dat beide meldingen praktisch gezien bij eenzelfde meldpunt kunnen worden gedaan. Het meldpunt moet ervoor zorgen dat de melding bij de juiste instantie terecht komt. Dit zou de administratieve lasten moeten verminderen. Wel blijft het meldpunt beperkt tot aanbieders van openbare elektronische communicatiediensten. In de praktijk zal het vooral van belang zijn voor internet service providers die toegang verschaffen tot internet, aldus de Memorie van Toelichting.

Tenslotte heeft de regering in een brief van 27 april 2011 (kenmerk: 5688920/11/6) aan de Kamer laten weten dat zij een algemene meldplicht in de Wet bescherming
persoonsgegevens willen laten vastleggen voor de ‘doorbreking van maatregelen voor de beveiliging van persoonsgegevens’. Afgevraagd kan worden of hier op een melding van alle succesvolle hackpogingen op een systeem met persoonsgegevens wordt gedoeld of alleen in die situaties waarbij ook de integriteit van persoonsgegevens wordt aangetast. De precieze invulling van de algemene meldplicht is nog geheel onduidelijk, maar klinkt op het eerste gezicht erg breed.

Argumenten ICT~Office

Ten eerste zou de meldplicht niet nodig zijn, aangezien een bredere meldplicht al wordt
voorbereid. Hierbij moet de betrokken geïnformeerd worden en zal het CBP op deze bepaling toezicht houden. De inhoud van deze algemene meldplicht is nog onduidelijk, dus het is nog onduidelijk of de specifieke meldplicht voor openbare elektronische communicatieaanbieders wenselijk is.

Ten tweede is het wetsvoorstel onuitvoerbaar, omdat niet is vast te stellen welke
persoonsgegevens van welke betrokkenen precies in het spel zijn. ‘ICT~Office wil niet dat aanbieders worden verplicht om data inhoudelijk te doorzoeken.’ Het doorzoeken van de data om de betrokkenen te identificeren lijkt mij een logisch gevolg van de wettelijke bepaling en onontkoomlijk. Dat is niet perse onuitvoerbaar, maar het wel wordt inderdaad wellicht onderschat welke last dat oplevert voor de betrokken instanties.

Ten derde beargumenteerd ICT~Office dat niet duidelijk is welke incidenten er wel of niet moet worden gemeld. Met betrekking tot de meldplicht uit de Telecommunicatiewet
lijkt het er op dat alle incidenten waarbij persoonsgegevens in gevaar zijn gekomen bij de meldinstantie worden gemeld. Wel lijkt de reikwijdte van meldplicht nog zeer breed.

Ten vierde worden de administratieve lasten voor de openbare elektronische
communicatieaanbieders volgens ICT~Office onderschat. Dit punt hangt samen met
het tweede. Het argument van verschillende toezichthouders is m.b.t. de meldplicht voor verlies van persoonsgegevens is deels waar. In de MvT staat dat een meldpunt moet komen die de meldingen bij de juiste plaats moet komen. Dit geldt alleen niet voor algemene meldingen, waar het CBP op moet toezien, maar zoals gezegd is de formulering van de regeling nog onduidelijk. Wel is het een aspect om mee te nemen. Het CBP heeft zelf ook al gewezen op het onwenselijke onderscheid van toezichthouders bij meldplichten die op hetzelfde belang zien.

Conclusie

Persoonlijk denk ik dat een algemene meldplicht een grotere druk legt op bedrijven en
instellingen die gegevens verwerken, de gegevens goed te beveiligen met technische en organisatorische maatregelen. Het verwerken van persoonsgegevens brengt deze ook met verantwoordelijkheid met zich mee o.g.v. artikel 13 Wet bescherming persoonsgegevens. Kennisgeving van een datalek leidt tot reputatieschade en de desbetreffende bedrijven zullen dat willen voorkomen. Wellicht kan dat in de voorgestelde regeling voor de telecomwet door de gegevens te versleutelen. Wel zijn de administratieve kosten van een dergelijke regeling groot en heeft de regeling nogal wat voeten in de aarde. Nu worden
drie verschillende meldplichten voorbereid en nagegaan moet worden of dit wel noodzakelijk en efficiënt is.

In de Verenigde Staten bestaat voor veel staten al een meldplicht voor veiligheidsinbreuken waarbij de integriteit van persoonsgegevens in gevaar is gebracht. In Japan is ook een meldplicht doorgevoerd. Gekeken kan worden naar de ervaringen van de meldplicht in deze landen (zie ook stuk ‘Datalekken: wachten op een zondvloed?’ van Steven de Schrijver in Computerrecht 2008). Ik houd mij aanbevolen voor interessante
literatuur op dit onderwerp!

Minister van Veiligheid en Justitie: waarborg privacy in Veiligheidshuizen!

In februari 2011
is de opinie van Mariëlle Bruning en mij gepubliceerd in het (juridische) tijdschrift
Privacy & Informatie. In onze opinie roepen we de Minister van Veiligheid
en Justitie op de teugels aan te trekken om de verwerking van persoonsgegevens van
betrokkenen in Veiligheidshuizen beter te waarborgen.

Wij hebben
namelijk het vermoeden dat binnen Veiligheidshuizen te gemakkelijk gegevens
voor brede doelen tussen private en publieke instellingen worden uitgewisseld.
Dit bedreigd de privacy van de mensen die in casusoverleggen worden besproken.
Meer coördinatie van het Ministerie van Veiligheid en Justitie is daarom
vereist. Onze opinie is hier te vinden.  

Het onderwerp is
actueel geworden nu het College Bescherming Persoonsgegevens gisteren (30 maart
2011) een persbericht heeft geplaatst waarin zij haar bevindingen bekend maakt na onderzoek bij de
Veiligheidshuizen Bergen op Zoom en Fryslân. Het CBP constateert dat de
waarborgen voor een zorgvuldige omgang met gegevens van minderjarigen binnen
het zogeheten Justitieel Casusoverleg (JCO) in Veiligheidshuizen onvoldoende
zijn.

Waar dienen Veiligheidshuizen eigenlijk voor?

Een paar geleden
werd duidelijk dat in de praktijk veel organisaties (zoals het Openbaar
Ministerie, de politie, Bureau Jeugdzorg, de Raad voor de Kinderbescherming,
alsmede private organisaties zoals het Leger des Heils) regelmatig met dezelfde
persoon of gezin te maken hebben zonder dit van elkaar te weten. Door langs
elkaar heen te werken werd niet de juiste zorg verleend of maatregelen genomen
die waren gewenst.

De bedoeling is
dat binnen een Veiligheidshuis de betrokken organisaties samen komen voor
overleg, teneinde een betrokkene bijvoorbeeld de juiste zorg te verlenen of op
een effectieve manier op strafbare feiten te reageren. De overheid en mensen
die binnen Veiligheidshuizen werken zijn enthousiast over het concept en in een
paar jaar tijd is een landelijk dekkend stelstel van Veiligheidshuizen in
Nederland ontstaan.

Zorgen om privacy

Teneinde de
juiste maatregelen te nemen worden persoonsgegevens over de betrokkenen door
verschillende organisaties uitgewisseld. Naar onze mening is onvoldoende
duidelijk welke partijen aan casusoverleggen deelnemen en welke gegevens
hierbij precies worden uitgewisseld. Het uitwisselen van persoonsgegevens is
echter wel aan regelgeving gebonden. De overheid vertrouwt voor de naleving van
de privacyregelgeving op de professionals in het werkveld. In onze opinie
betogen wij dat hier niet volledig op kan worden vertrouwd en zorgvuldiger moet
worden omgegaan met persoonsgegevens binnen Veiligheidshuizen.

Wij stellen voor
dat het Ministerie van Veiligheid en Justitie de verantwoordelijkheid op zich
neemt en controleert welke casusoverleggen bij welke Veiligheidshuizen
plaatsvinden. Privacyregelgeving moet goed worden nageleefd door de betrokken
organisaties en bij onduidelijkheid moeten juristen worden geraadpleegd. Ook
zou de Helpdesk Privacy van het Ministerie van Veiligheid en Justitie bij
twijfel geraadpleegd moeten kunnen worden.

Kortom, wij staan
achter het concept van casusoverleggen, maar vinden wel dat privacy
van mensen voldoende
moet worden gewaarborgd. Het onderzoeksresultaat van het
CBP is voor ons een bevestiging dat privacyregelgeving binnen Veiligheidshuizen
beter moeten worden nageleefd.

Meer achtergrondinformatie over Veiligheidshuizen is te vinden in deze studie van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR).

Vorderen van gegevens van Crimesite.nl

Vorige week (week van 3 t/m 7 januari 2011) is er veel media-aandacht geweest over de vordering van IP-adressen door justitie van de website Crimesite.nl. De discussie richt zich vooral op de vraag of mensen die een reactie hebben geplaatst over een bericht op Crimesite journalistieke bronbescherming kunnen genieten en Crimesite daarom kan weigeren de gegevens op vordering van de officier van justitie af te geven. Zie bijvoorbeeld deze berichten op de blog van Arnoud Engelfriet en Mediareport.

In dit bericht ga ik daar niet verder op in, omdat ik een ander aspect wil behandelen. Namelijk de vraag of politie een bedrijf of instelling mag vragen gegevens op vrijwillige basis af te staan of dat zij altijd een vordering moeten doen.

Vorderen van gegevens

In de literatuur werd er meestal vanuit gegaan dat de politie een bedrijf of instelling (bank,
ISP, websitehouder, supermarkt, etc.) kan vragen bepaalde gegevens af te staan. De betrokkene moet vervolgens een afweging maken op grond van de Wet bescherming persoonsgegevens en dan beslissen of de gegevens afgegeven moeten worden. In het geval een instelling weigert de gegevens af te staan kan de politie en/of justitie altijd de passende vordering doen op grond van artikel 126n e.v. van het Wetboek van Strafvordering (Sv), om de vordering af te dwingen. Wordt hier dan nog niet aan voldaan dan zou kunnen worden vervolgd voor het niet-naleven van een ambtelijk gegeven bevel op grond van artikel 184 van het Wetboek van Strafrecht (Sr).

In de Crimesite-zaak werpt Arnoud Engelfriet overigens de vraag op of artikel 126n Sv wel de juiste grondslag is, aangezien niet duidelijk is of Crimesite een aanbieder van een communicatiedienst is, zoals bedoeld in artikel 126la Sv. Die vraag kan ik (nog) niet beantwoorden. Verstandiger had wellicht geweest de vordering op artikel 126nd Sv
te baseren, waarbij van een ieder gegevens (niet zijnde bijzondere gegevens) kunnen worden gevorderd.

Verzoek tot het vrijwillig afstaan van gegevens

Enfin, wat ik hier zo interessant vind is de berichtgeving op Crimesite en Webwereld waarin wordt benadrukt dat politie en justitie vragen om informatie. Zoals ik net heb aangegeven werd tot nu toe in de literatuur er vanuit gegaan dat dit mogelijk is. Echter, op 21 december 2010 heeft de Hoge Raad een arrest (LJN: BL7688) gewezen waarin duidelijk staat dat een bedrijf of instantie niet mag worden gevraagd gegevens vrijwillig af te staan. Daar moet altijd een vordering aan ten grondslag liggen. In die zaak had het OM geen vordering gedaan. Vervolgens werd de vraag behandeld welke sanctie in de zin van artikel 359a Sv hieraan moet worden verbonden. Volgens de Hoge Hoge Raad was dat in dit geval geen bewijsuitsluiting.

Het bovenstaande neemt overigens niet weg dat bedrijven en instanties uit eigen beweging vrijwillig gegevens mogen afgeven aan politie in het kader van een opsporingsonderzoek. Iets dat ik mij bij bepaalde misdrijven overigens goed kan voorstellen, maar wel altijd een belangenafweging moet worden gedaan.

Bronbescherming?

Toch nog een paar woorden over de journalistieke bronbescherming. Justitie is naar verluid nog in beraad of zij een vordering gaan doen met betrekking tot de IP-adressen van mensen die een reactie hebben geplaatst. Overwogen wordt of de reageerders bronbescherming kunnen genieten. Mijn gedachten gaan er naar uit dat een iemand die een reactie plaatst (iets waarover de journalistieke website geen invloed heeft en diegene niet zelf benaderd) toch echt iets anders is dan een bron die een journalist expliciet heeft benaderd. Indien de reageerders daadwerkelijk journalistieke bescherming kunnen krijgen heeft dat verstrekkende gevolgen, omdat het begrip ‘journalist’ en ‘journalistieke website’ tegenwoordig nogal breed is. In dat geval wordt een belangrijke opsporingsmethode van de politie en justitie onmogelijk gemaakt. Zoals in andere berichtgeving is opgemerkt kan dat wellicht opgelost worden met  toestemming van de rechter(-commissaris). Ik ben daarom benieuwd wat het Openbaar Ministerie gaat doen. Misschien is het juist wel goed dit tot een rechtszaak te laten leiden, zodat meer duidelijkheid op dit punt komt.

Conclusie

Kern van het verhaal is dat een officier van justitie of opsporingsambtenaar niet kunnen vragen aan een bedrijf of instelling gegevens vrijwillig af te staan. Dat kan alleen uit eigen beweging worden gedaan. Is dat niet het geval, dan moet hier altijd een vordering aan ten grondslag liggen.

== Update ==

De woordvoerder van het Landelijk Parket heeft ten onrechte gezegd dat de politie altijd om informatie kan vragen.  Minister van Veiligheid en Justitie Opstelten is hier op teruggekomen. Zie ook dit bericht van Webwerel en dit bericht de weblog ArsAqui.

 

Vier van de vijf OV-bedrijven voldoen niet aan inzageverzoek persoonsgegevens

Tot mijn verassing viel een paar weken geleden bij mij een grote envelop in de bus van Trans Link Systems (TLS) met daarbij een uitgebreid overzicht van mijn persoonsgegevens die door de joint venture van OV-bedrijven worden verwerkt. Op 20 juli 2010 had ik namelijk een inzageverzoek van mijn persoonsgegevens aan de vijf betrokken OV-bedrijven en TLS gedaan. TLS en de NS hebben aan het verzoek voldaan en een overzicht van de verwerkingen van mijn persoonsgegevens verstrekt. Helaas hebben de vier andere OV-bedrijven niet of niet volledig aan het verzoek voldaan..

TLS

Natuurlijk werd geen dag later dan de wettelijke termijn van een maand aan mijn verzoek door TLS voldaan, maar het overzicht was zeer volledig. Het bevatte voor mij geen schokkende gegevens. TLS verwerkt NAW-gegevens, pasfoto, geboortedatum, geslacht, kaartnummer, gegevens omtrent de kaart, transactiegegevens, gegevens over het gebruik van kaartservices en klachten en informatieverzoeken. Toch wordt je wel met je neus op de feiten gedrukt als je ziet dat elk in- en uit-checkmoment wordt vastgelegd met daarbij de plaats, datum en tijdstip en met welk vervoersmiddel je gereisd hebt. Niet is bekend wanneer en naar welke bestemming je met de trein hebt gereisd aangezien je bij de NS (nog) niet verplicht hoeft in- en uit te checken met je studenten OV-chipkaart. Voor mij betekende het overzicht een bijlage van 4 kantjes en dat was alleen nog maar van mijn reisgedrag van maart tot en met juni 2010. Als je bedenkt dat sommige OV-bedrijven niet uitsluiten dat deze gegevens verwerkt mogen worden voor reclamedoeleinden dan geeft dat toch een gevoel van onbehagen.

Ten overvloede, maar toch fijn als bevestiging, staat in de brief dat TLS de gegevens niet verwerkt om een beeld te krijgen van bepaalde aspecten van een persoonlijkheid, het samenstellen van profielen of analyse van gedrag.

NS

De NS heeft eveneens in een keurige brief een overzicht meegestuurd van de door haar verwerkte persoonsgegevens. Zij verwerken het NS klantnummer, voor- en achternaam, geslacht, geboortedatum, voorkeurstaal, adres, mobiele telefoonnummer, bankrekeningnummer en e-mailadres over mij. Tot slot wordt nog basisinformatie over de chipkaart verwerkt en mijn contactmomenten met de NS (zoals een folderaanvraag voor het terugvragen van geld bij vertraging).

RET

De RET heeft op een bijzondere manier gereageerd op het inzageverzoek. Zij stelde het volgende: De RET stelt het zeer op prijs wanneer men zicht verdiept in ons privacybeleid. Wel moeten wij, zoals al eerder aan u gecorrespondeerd is, melden dat de RET geen persoonsgegevens beheerd van OV-Chipkaarthouders. Vervolgens stellen ze dat alleen Trans Link Systems gegevens verwerkt van OV-chipkaarthouders en de RET alleen persoonlijke gegevens beheert van jaarabonnementhouders. Volgens mij is dat onzin. In het privacyreglement staat dat: De persoonsgegevens en de reisgegevens die de RET verkrijgt indien u reist met een persoonlijke OV-chipkaart met persoonsgebonden RET-reisproduct worden door de RET vastgelegd en verwerkt voor het op juiste wijze uitvoeren en afwikkelen van de vervoersovereenkomst. De RET verwerkt persoonsgegevens van mij door mijn gebruik van de (persoonlijke) studenten OV-chipkaart voor de metro in Rotterdam. Zij is verantwoordelijk voor een gedeelte van de gegevensverwerking die het door gebruik hiervan plaatsvindt. De gegevens die ze van mij hebben zouden ze mij moeten kunnen verstrekken. Overigens is de RET volgens mij met betrekking tot de gegevens van jaarabonnementshouders gewoon verantwoordelijke en geen beheerder, maar dat terzijde.

Veolia

Veolia heeft op 26 juli 2010 gereageerd met een brief waarin zij stelt geen verantwoordelijke te zijn voor de verwerking van mijn persoonsgegevens. Dit zou volgens hen Trans Link Systems zijn. Met de brief zat een uitdraai van het privacybeleid van TLS met daarbij gearceerd wie ik moet aanspreken voor de inzage. Veolia en RET lijken dus dezelfde strategie te hanteren en mij van het kastje naar de muur te sturen. Verder heb ik op 18 augustus 2010 nog een brief gekregen dat mijn ‘klacht’ in behandeling is genomen en ik over 15 werkdagen een reactie terug kan verwachten. Die reactie is nog niet gekomen.

GVB

De GVB heeft op 16 augustus 2010 in een brief gereageerd op mijn inzageverzoek. Zij laat hierin weten dat mijn gegevens verwerkt worden voor het uitvoeren van de overeenkomst en het bereken en vastleggen van de gegevens voor de financiële administratie. In de brief staat dat door de GVB worden geen gegevens verewerkt voor informatie over nieuwe producten en diensten of speciale acties, dus dat is goed nieuws. Toch staat in het privacybeleid van de GVB dat koppeling kan plaatsvinden tussen de reisgegevens en transactiegegevens "om de reiziger te informeren over nieuwe producten en diensten of speciale acties." Dit blijf ik verwarrend vinden, want dit is in tegenspraak met de boodschap in de brief. In de brief wordt verwezen naar een bijlage met een overzicht van transacties van mijn OV-chipkaartnummer. Blijkbaar konden zij dit in tegenstelling tot de RET en Veolia wél verstrekken. Maar toch ook weer niet, omdat de bijlage niet in de brief was bijgevoegd (!). Ik heb hen nogmaals een brief verstuurd met het verzoek de bijlage alsnog naar mij te versturen. Hier is inmiddels (7 oktober 2010) aan voldaan en ben ik in het bezit van een overzicht van 2 kantjes aan reisgegevens.

Connexxion

Connexxion liet in een brief weten op 10 augustus mij een brief te hebben verstuurd. Hier stond in dat zij geen gegevens over mij verwerken en dus ook geen overzicht kunnen verstrekken. Ik ben van mening dat ik de brief nooit gekregen heb. Belangrijker is dat ook Connexxion haar verantwoordelijkheid niet neemt en geen overzicht van persoonsgegevens verstrekt. Dit terwijl ik wel degelijk met mijn OV-chipkaart met bussen van Connexxion heb gereisd.

Conclusie

Vier van de vijf OV-bedrijven hebben nog steeds niet (goed) voldaan aan het inzageverzoek van mijn persoonsgegevens. Het inzageverzoek is een recht van een betrokkene waarvan gegevens verwerkt worden ligt verankerd in artikel 35 Wet bescherming persoonsgegevens. Door uitoefening van dit recht weet ik welke gegevens over mij verwerkt worden door OV-bedrijven door het gebruik van mijn studenten OV-chipkaart. Alleen op die manier kan ik zelf nagaan welke gegevens over mij worden verwerkt. Dit is relevant in het kader van het handhavingsverzoek van februari dit jaar, waarin ik samen met andere belanghebbenden stel dat OV-bedrijven onze gegevens op onrechtmatige gronden verwerken. Ik zie mij genoodzaakt om opnieuw een bemiddelingsverzoek aan het CBP in te dienen, zodat de bedrijven die niet voldaan hebben aan mijn verzoek alsnog een overzicht van persoonsgegevens verstrekken. Ik vind het een schande dat het zoveel tijd en moeite kost om mijn rechten te kunnen uitoefenen.

 

==Update==

Stuk over Connexxon aangepast. 

 ==Update==

De GVB heeft inmiddels haar overzicht met mijn gegevens verstrekt.