Privacy Friendly

Opinie

Mobiliteitskaart voor rijksambtenaren

16 februari 2019, 12:09

In de eerste helft van 2018 zijn alle rijksambtenaren overgegaan naar een andere mobiliteitskaart. Daarbij zou ik zelf als rijksambtenaar overgaan van een naamloze mobiliteitskaart naar een waar mijn voorletters, achternaam en geboortedatum op vermeld staan. Ook zouden vele persoonsgevens naar de aanbieder van deze nieuwe mobiliteitskaart gaan, waaronder mijn thuisadres, telefoonnummer en naam van het minsterie en de afdeling waar ik werk. Ik, en vele collega's met mij, hadden daar de nodige bedenkingen bij. Mijn belangrijkste bezwaren waren tegen de verwerking van mijn thuisadres, naam en geboortedatum. Hieronder licht ik toe waarom.

Thuisadres

De redenen voor het verstrekken van mijn thuisadres aan de aanbieder van de mobiliteitskaart is om te kunnen bepalen welke abonnementsvorm voor mij het voordeligst is, fraudecontrole en het opsturen van de mobiliteitskaart naar mij thuis.

Het kunnen bepalen welke abonnementsvorm het beste past, kan veel beter gedaan worden op basis van mijn reisgedrag, niet mijn thuisadres. Dit is dus geen goede reden om mijn thuisadres te verwerken. Daarnaast had ik vanaf het begin al twijfel of een leverancier van een mobiliteitskaart in staat is om fraudecontrole uit te voeren, omdat zij niet kunnen bepalen wat een legitime reis is en wat niet. Later bleek dat de fraudecontrole ook helemaal niet door hen uitgevoerd wordt, wat het dus een valse reden maakt. Als laatste is het niet per se nodig om de kaart naar mijn thuisadres op te sturen. Deze kan ook prima via de servicedesk op het ministerie verstrekt worden, net als mijn rijkspas, mobiele telefoon en andere werkbenodigdheden. Artikel 25 van de AVG stelt dat 'passende organisatorische maatregelen' worden genomen om tot een 'minimale gegevensverwerking' te komen. Dat is hiermee naar mijn idee dus niet gebeurd.

Naam en geboortedatum

De reden voor het plaatsen van de naam (voorletters en achternaam) en geboortedatum op de kaart is om te voorkomen dat mensen, anders dan de eigenaar, met de kaart kunnen reizen.

Dit is een verkeerd argument, want om de naam en geboortedatum te kunnen controleren, moet een controleur in het openbaar vervoer naar mijn legitimatie vragen. Dat mogen ze echter alleen doen bij een gegronde verdenking op fraude. Iedereen die ongeveer even oud is als ik, kan met die kaart reizen zonder dat dat een verdenking geeft op fraude. Dat zijn meer dan genoeg mensen, waardoor ik zelf deze verwerking van mijn persoonsgegeven nogal overbodig vindt.

Privacy Impact Assessment

Op deze gehele verwerking van de persoonsgegevens voor de nieuwe mobiliteitskaart is een PIA uitgevoerd. Ik heb deze PIA opgevraagd en bekeken. Naar mijn idee is de PIA niet goed uitgevoerd. De PIA gaat namelijk onvoldoende in op de impact op de privacy van de betrokkenen. Een belangrijk deel van dat document gaat over zaken als de juridische basis voor de verwerking, de beveiliging van de gegevens en de rechten van de betrokkenen. Dat zijn welliswaar punten die goed geregeld moeten zijn, maar dat is niet de kern van waar een PIA over moet gaan. Ook wordt in de PIA gesproken over (financiële) risico's voor de opdrachtnemer. Dit hoort helemaal niet thuis in een PIA. Waar een PIA feitelijk over moet gaan, namelijk de risico's voor de rechten en vrijheden van de betrokkenen, wordt zo goed als niet benoemd in het document. Zo wordt bijvoorbeeld nergens besproken wat de gevolgen zijn indien de gegevens op straat komen te liggen. en of deze verwerking nou echt strict noodzakelijk is om de mobiliteitskaart te kunnen aanbieden. Naar mijn idee is er dus feitelijk geen PIA uitgevoerd.

Grondslag

In de bovengenoemde PIA staat vermeld dat het 'voldoen aan een wettelijke verplichting die op de verwerkingsverantwoordelijke rust', zoals beschreven in artikel 6(1)c, de grondslag is voor de verwerking van persoonsgegevens in het kader van de mobiliteitskaart. Dit vind ik vreemd, gezien het feit dat ik de mobiliteitskaart mag weigeren. Er is dus geen wettelijke plicht om ambtenaren van een mobiliteitskaart te voorzien. Er is een plicht om er een aan te bieden, maar dat is wat anders. Er is daarnaast een wettelijke plicht om de gemaakte reiskosten goed te administeren. Maar dat kan ook, zoals artikel 25 voorschrijft, op een privacyvriendelijke manier. Een verplichting tot goede administratie, kan niet een-op-een worden doorgetrokken naar een verplichting tot verwerken van persoonsgegevens. Het meest opmerkelijk in dit alles is dat ik voor het verstrekken van mijn gegevens, mijn toestemming moest geven. Dat is dus artikel 6(1)a, niet c.

De in de praktijk gekozen grondslag voor de verwerking is dus 'toestemming'. Volgens rechtsgrond 42 mag toestemming niet worden geacht vrijelijk te zijn verleend, indien de betrokkene geen echte of vrije keuze heeft of zijn toestemming niet kan weigeren of intrekken zonder nadelige gevolgen. Het weigeren van de mobiliteitskaart betekent dat ik de reiskosten moet voorschieten en via een onduidelijke, tijdrovende procedure moet declareren. Aan weigeren zitten dus wel degelijk nadelige gevolgen. Als dat inderdaad betekent dat het geven van de toestemming niet is gegaan zoals de wet het voorschrijft, de persoonsgegevens dus zonder geldige grondslag, dus onrechtmatig, worden verwerkt.

Bezwaar

Omdat ik voor mezelf niet akkoord kon gaan met de verwerkingen, heb ik de nieuwe mobiliteitskaart geweigerd. Ik heb vervolgens al mijn bezwaren bij mijn werkgever kenbaar gemaakt, maar omdat ik er met mijn werkgever niet uitkwam, heb ik een klacht ingediend bij de Autoriteit Persoonsgegevens (AP). Mijn klacht werd echter afgewezen, omdat ik de kaart geweigerd had en mijn gegevens dus niet verwerkt werden. Je moet voor de AP dus eerst je persoonsgegevens op een manier laten verwerken waar je het niet mee eens bent, alvorens je bij hen een klacht kan indienen. Persoonlijk vind ik dat, op z'n zachts gezegd, een rare houding voor een toezichthouder. Want dat mogelijk persoonsgegevens van meer dan 100.000 andere rijksambtenaren die wel voor de kaart hebben gekozen op een niet eerlijke / juiste wijze verwerkt worden, heeft de AP dus genegeerd.

Mark Jansen
21 maart 2019, 16:42
Opmerkelijke opvatting van de AP. Lijkt me inderdaad niet juist. Ik zou zeggen: buig je klacht om in een handhavingsverzoek. Het begrip belanghebbende zou wel heel erg eng worden geïnterpreteerd als ze dat vervolgens zouden afwijzen. O.m. het verbod op het afdwingen van toestemming zou vrij betrekkelijk worden als de AP zich niet bevoegd acht als de toestemming niet gegeven wordt. Bovendien heeft de AP zich in het verleden bevoegd geacht te oordelen over potentieel beleid omtrent verwerkingen van persoonsgegevens (zie bijv. Uniper casus over alcoholcontrole). Succes.