Filmdistributeur achtervolgt kruimeldieven

DUO en de OV-chipkaart: vraag om opheldering over jouw gegevens!

Zaterdag 2 september: Privacy Café in Groningen

Hoe gaat Translink om met jouw OV-chipkaart-gegevens? Liggen jouw reisgegevens misschien ook bij DUO? Sta jij als "risicostudent" te boek? Vraag om opheldering!

Wat is er aan de hand?

Vandaag breeduit in het nieuwsLees bijvoorbeeld dit stuk in de Volkskrant: Translink, het bedrijf achter de OV-chipkaart, heeft reisgegevens van studenten doorgegeven aan DUO. DUO gebruikt de gegevens om te achterhalen of jij niet tóch thuis woont terwijl je een uitwonende beurs ontvangt. Een te grote schending van je privacy, zo stelde de rechtbank.

Stap 1/2: Vraag om inzage

DUO en Translink zijn verplicht om jou inzage te geven in de gegevens die ze over je hebben. Daarvoor hoef jij alleen een brief of e-mail te sturen. We hebben alvast twee voorbeeldbrieven voor je opgesteld, één voor DUO en één voor Translink. Verzendinstructies vind je in het bestand. Met de brieven vraag je om twee dingen:

  1. Welke gegevens heeft DUO van mij en als ik die niet zelf heb verstrekt, hoe komt DUO er dan aan?
  2. Welke gegevens heeft Translink van mij, en met wie is die informatie gedeeld?

Stap 2/2: Blijf op de hoogte

DUO en Translink hebben vier weken de tijd om te reageren. Als je je e-mailadres achterlaat sturen we je over vier weken een herinnering en zullen we je proberen te helpen met mogelijke vervolgstappen.

Waarom is het belangrijk om te vragen om inzage?

Waar en wanneer we reizen, wie we bellen, wat we kopen: soms lijkt het wel alsof er van alles dat we doen, wel ergens een registratie is. We worden voor bedrijven en overheden steeds transparanterDat data meer over je vertelt dan je in eerste instantie zou denken, bewezen De Correspondent en onze Ton Siedsma en makkelijker te beïnvloeden. Op basis van de data die er over ons verzameld wordt, worden conclusies getrokken met tastbare, soms verreikende consequenties. Daarom is het belangrijk dat we inzicht krijgen in wie wat van ons weet. En natuurlijk wat er met die informatie wordt gedaan.

Stel je voor: je woont op kamers wanneer één van je ouders ernstig ziek wordt. Je bent weken, misschien wel maandenlang veel in je ouderlijk huis. Je woont er niet, maar logeert er wel. Kan een DUO-medewerker echt dat onderscheid maken op basis van jouw OV-gegevens? Wij denken van niet. Je kunt data op meerdere manieren interpreteren en vaak vertelt data niet het hele verhaal. De conclusies die iemand trekt door te kijken naar jouw gegevens zijn niet persé de juisteVideo: Hans de Zwart - The Future is False Positive. En toch word jij opgezadeld met de consequenties.

Maar fraude moet toch ook bestreden worden?

Het is inderdaad belangrijk dat fraudeurs worden aangepakt. Maar het is ook belangrijk dat het gereedschap dat wordt ingezet om dat te doen, in verhouding staat tot het vergrijp. De rechtbank vindt in dit geval dat DUO dit soort privacygevoelige informatie niet zomaar kan opvragen. En ook Translink zelf weet eigenlijk wel beter: in hun voorwaarden staat dat ze gegevens alleen afstaan in het kader van een strafrechtelijk onderzoek en dus alleen aan de politie en het Openbaar Ministerie. Door van hun eigen toezegging af te wijken ondermijnen ze het vertrouwen in hun dienst. Kun je Translink jouw gegevens wel toevertrouwen?

Jouw rechten

In de Grondwet staat dat iedereen recht heeft op eerbiediging van zijn persoonlijke levenssfeer. De Wet bescherming persoonsgegevens (Wbp) is de belangrijkste wet die gaat over het vastleggen en verstrekken van persoonsgegevens. Deze wet geeft burgers ook het recht op inzage in hun gegevens en het recht om hun gegevens te corrigeren. Door gebruik te maken van jouw inzagerecht kun je controleren of de verwerking van jouw persoonsgegevens juist, volledig, relevant en rechtmatig is. De Privacy Inzage MachinePIM helpt je daarbij.

  1. BA

    Hallo BOF,

    Een vereniging waar ik lid van ben geweest heeft een e-mail waarin ik het lidmaatschap had opgezegd en de reden daarvan doorgestuurd aan mijn verhuurder. De verhuurder wou mij namelijk zonder compensatie het huurhuis uit hebben omdat de woning moest worden gesloopt. Toen ik hoorde dat ik er uit moest heb ik natuurlijk een andere woning gezocht alleen om mijn onderhandelingspositie niet te verspelen heb ik dat niet aan mijn verhuurder verteld. De verhuurder had mij moeten aanschrijven en de huur moeten opzeggen met verwijzing van ‘Dringend Eigen Gebruik van de huurwoning.’Dat heeft de verhuurder helemaal niet gedaan. Plotseling beweerde verhuurder dat ik daar helemaal niet meer woonde en ze toonden een vage kopie van mijn e-mail die ik aan de vereniging had gestuurd.

    Hierop heb ik de vereniging een inzage verzoek gestuurd: Welke informatie ze van mij hebben, wat zij met mijn gegevens hebben gedaan en met wie ze deze gegevens hebben gedeeld. Daarop kreeg ik de reactie dat een bestuurslid op eigen titel mijn e-mail heeft doorgestuurd en verder niets. Helemaal geen afschrift van de gevraagde gegevens. Van de gedeelde e-mail kreeg ik geen duidelijk afschrift en dus geen overduidelijk bewijs dat mijn gegevens waren gedeeld door de vereniging of door het bestuurslid. Met het inzage verzoek kwam ik dus helemaal niet verder. Het enige wat ik kon doen is een rechtszaak beginnen? Ik heb ook jullie om advies gevraagd. Daar werd ik ook niet wijzer uit. Dus hoezo Wet bescherming persoonsgegevens (Wbp)?

    Zolang er geen sanctie staat op het niet verstrekken van de persoonsgegevens haalt dit weinig uit en helemaal als het niet om grote groepen gaat die deze gegevens wil hebben en ook niet als het om een kleine organisatie gaat die lak heeft aan hun reputatie.

    Dus ik heb een advocaat moeten inschakelen om tegen de verhuurder te procederen en toen was het geld wel op om ook nog eens tegen de vereniging dan wel tegen het bestuurslid een zaak te starten.

    Waar het mij om gaat is dat er beter handvatten moeten komen om je verhaal te kunnen halen bij de schending van persoonsgegevens. Nu is het recht halen 1) heel lastig; 2) zeer onduidelijk welk schadebedrag kan worden verwacht.

    Dus wat zijn de vervolgstappen bij het weigeren van de gevraagde gegevens?: 3) Is hier jurisprudentie over? 4) Wat zijn de schadevergoedingen wanneer geweigerd wordt de gevraagde gegevens aan te leveren. 5) wat als ze gegevens zomaar zonder toestemming hebben gedeeld en 6) is de vereniging in dit voorbeeld aansprakelijk of het bestuurslid?

    Ik zie uit naar jullie uitgebreide en onderbouwde reactie,

    Met vriendelijke groet,

    Ps. Wat ik nog even kwijt wil: Ik ben een fan van jullie en sta volledig achter jullie doelstellingen.

  2. Bart

    Wat ernstig dat we anno 2017 kopieën van identiteitsbewijzen meesturen om ons te identificeren

Geef een reactie

Het e-mailadres wordt niet gepubliceerd.

Help mee en steun ons

Door mijn bijdrage ondersteun ik Bits of Freedom, dat kan maandelijks of eenmalig.