• Nederlands
  • Engels
Menu
AP krijgt gelijk: geen privacy-schending door de NS

AP krijgt gelijk: geen privacy-schending door de NS

13 september 2019

Een NS treinreiziger had de Autoriteit Persoonsgegevens (AP) al in 2017 – en dus nog onder het toetsingskader van de Wet bescherming persoonsgegevens (Wbp) – verzocht om handhavend op te treden tegen de Nederlandse Spoorwegen (NS) omdat het spoorbedrijf de privacy van reizigers zou schenden. Dit verzoek werd door de AP afgewezen en terecht, zo blijkt nu uit de uitspraak van de bestuursrechter van de rechtbank Midden-Nederland van 30 augustus 2019.

Achtergrond

De reiziger was van mening dat de NS zijn privacy schond bij het gebruik van het treinabonnement, een persoonlijke ov-chipkaart. Met dat treinabonnement moeten reizigers verplicht in- en uitchecken, waardoor de NS zicht heeft op de reiziger en inzage heeft in de reizen die worden gemaakt. Voor het opladen van de chipkaart zijn reizigers bovendien aangewezen op pinbetalingen, waarbij eveneens persoonsgegevens worden verwerkt. De reiziger stelde zich – kort gezegd – op het standpunt dat hij niet anoniem kon reizen met zijn abonnement, waardoor zijn privacy werd geschonden.

De reiziger had de AP gevraagd om handhavend op te treden richting de NS.

Weigering AP

De AP heeft het verzoek afgewezen. De AP achtte niet aannemelijk dat de NS zich schuldig maakte aan het overtreden van de Wet bescherming persoonsgegevens. De AP beoordeelde de verwerking van persoonsgegevens door de NS als noodzakelijk voor de uitvoering van de overeenkomst tussen de NS en haar reizigers. Ook vond de AP dat de verwerking van de gegevens door de NS noodzakelijk was om misbruik en fraude tegen te gaan.

De reiziger liet het er niet bij zitten en stapte naar de bestuursrechter van de rechtbank Midden-Nederland.

Beoordeling bestuursrechter

De bestuursrechter heeft op 30 augustus geoordeeld dat de AP het verzoek van de reiziger terecht heeft afgewezen. Ook de bestuursrechter oordeelde dat de verwerking van persoonsgegevens bij het in- en uitchecken noodzakelijk is voor de uitvoering van de overeenkomst: de NS moet namelijk kunnen controleren of is betaald voor het abonnement en of binnen het traject van het abonnement wordt gereisd.

De bestuursrechter beoordeelde vervolgens of het doel van de gegevensverwerking door de NS (namelijk: de uitvoering van de overeenkomst) op een andere, voor de betrokken reiziger(s) minder nadelige, manier kan worden verwezenlijkt. De reiziger had een aantal alternatieven voor ‘anoniem reizen’ voorgesteld. De rechter oordeelde dat de NS deze alternatieven goed heeft onderzocht, maar tegelijkertijd voldoende heeft gemotiveerd waarom de alternatieven geen goede (minder belastende) opties zijn om het doel van de gegevensverwerking te bereiken.

Conclusie

De bestuursrechter oordeelde dat de AP voldoende heeft gemotiveerd dat de NS de privacyregels niet heeft geschonden. De AP heeft daardoor op goede gronden kunnen besluiten om niet handhavend richting de NS op te treden.

De uitspraak is qua inhoud en uitkomst niet heel spectaculair, maar geeft wel een mooi ‘inkijkje’ in het toetsingskader onder de Wbp. Dat toetsingskader is onder de huidige AVG grotendeels hetzelfde gebleven. Vooral de overwegingen rondom het ‘moeten onderzoeken naar minder vergaande alternatieven’ zijn lezenswaardig. Het uitgangspunt, ook onder de AVG, is namelijk dat bij een minder vergaand alternatief daarvoor gekozen moet worden.

Dit artikel is geschreven door mr. L.P. (Petra) Wille verbonden aan de praktijkgroep privacyrecht en arbeidsrecht.

 



Wilt u op de hoogte blijven?

  • Nederlands
  • Engels