Student met (onterecht?) uitwonende beurs
Een student ontvangt de beurs voor uitwonenden. Er is een onderzoek naar hem verricht, bestaande uit onder meer controles op locatie en een onderzoek naar het reisgedrag aan de hand van de OV-chipkaart. Op basis van dit onderzoek wordt besloten slechts de beurs voor thuiswonenden toe te kennen, het te veel betaalde geld terug te vorderen en een boete op te leggen van 50% van het te veel ontvangen bedrag.
Student verzet zich tegen onderzoek
De student maakt bezwaar tegen het verrichte onderzoek. Hij beroept zich o.m. op artikel 8 EVRM en stelt dat het gebruik van de gegevens van de OV-chipkaart zijn privacy schendt.
Rechtbank: grootschalige inmenging privacy
De rechtbank overweegt dat het opvragen van de reisgegevens aspecten van de persoonlijke levenssfeer blootlegt:
9. Naar het oordeel van de rechtbank is in het onderhavige geval sprake is van inmenging van het openbaar gezag (verweerder) in eisers privéleven. Door het vastleggen en bewaren van eisers reisgegevens door Trans Link Systems en de opvraging van deze gegevens door verweerder, wordt het privéleven van eiser geraakt. Immers door het dagelijks vastleggen van de in- en uitcheckgegevens worden bepaalde aspecten van het persoonlijke leven van eiser blootgelegd. Daarbij dient in aanmerking te worden genomen dat het kennelijk gaat om het gedurende langere tijd systematisch verzamelen, vastleggen en bewaren van reisgegevens op een zodanige wijze dat die gegevens aan de hand van het nummer van zijn ov-chipkaart tot eiser persoonlijk kunnen worden herleid. (vgl. EHRM 2 september 2010, Uzun vs. Germany, nr. 35623/05 en Centrale Raad van Beroep, 13 september 2016; ECLI:NL: CRVB:2016:3479).
Rechtbank: dus precieze wettelijke basis vereist, maar die ontbreekt
Gelet op die achtergronden is er volgens de rechtbank een precieze wettelijke basis vereist voor het opvragen van deze gegevens. Die precieze wettelijke basis ontbreekt echter volgens de rechtbank.
Rechtbank: bewijsuitsluiting, dus ondeugdelijk gemotiveerd
Aangezien de reisgegevens onrechtmatig zijn verkregen, mogen ze niet worden gebruikt ter onderbouwing van de beslissing om de student zijn uitwonende beurs te ontnemen. Dit betekent ook dat er geen bewijs meer is voor de stelling van met Ministerie van Onderwijs dat de student thuiswonend was. De beslissing om de uitwonende beurs te wijzigen in een thuiswonende beurs wordt door de rechtbank dus ongedaan gemaakt.
Verstrek dus niet zomaar gegevens aan derden
Deze zaak laat zien dat het risicovol kan zijn om gegevens "zomaar" aan derden te verstrekken. De rechtbank oordeelt immers dat een dergelijke verstrekking, in ieder geval als de gegevens gevoelig van aard (kunnen) zijn, bij de wet moet zijn voorzien. En die wet ontbreekt in dit geval.
Met andere woorden: ik zou menen dat de student in kwestie nu ook Trans Link Systems (de exploitant van de OV-Chipkaart) zou kunnen aanspreken. Zij heeft immers onrechtmatig gegevens aan de controleurs van OC&W verstrekt. Recent nog kende een andere rechtbank 100 euro immateriële schadevergoeding toe bij onrechtmatige verwerking van persoonsgegevens.
Ook de Autoriteit Persoonsgegevens zou handhavend kunnen optreden en boetes tot 820.000 euro kunnen opleggen. Daarbij past wel de kanttekening dat de vraag is volgehouden kan worden dat TLS opzettelijk handelde (hoe ver strekt de verplichting van een instelling op dit punt zelf de wet te interpreteren?).
Wanneer uw bedrijf of instelling een verzoek krijgt gegevens te verstrekken, zult u dus kritisch moeten toetsen of dat verzoek wel een (voldoende) wettelijke basis heeft. Ontbreekt die wettelijke basis, dan zouden de gegevens niet moeten worden verstrekt. Doet u dat toch, dan loopt u het risico op claims of handhaving.
Vragen over privacyrecht?
Heeft u vragen over privacyrecht? Wordt u bijvoorbeeld zelf geconfronteerd met verzoeken om informatie en wilt u weten hoe hiermee om te gaan? Neem dan contact met mij op.
Mark Jansen
advocaat IT- en privacyrecht
