OV-Chipkaart reisgegevens zijn persoonsgegevens

Afbeelding: Forest of Terminals van Alper Çuğun | Licentie: CC BY

Reisgegevens die gegenereerd worden met de OV-Chipkaart zijn persoonsgegevens. Het GVB mag de gegevens minder lang bewaren dan zij nu doet.

Het College bescherming persoonsgegevens (CBP) heeft in een beslissing op bezwaar uitgelegd waarom reisgegevens ook als persoonsgegevens gezien moeten worden. In haar beslissing schrijft het Cbp:

GVB heeft zich op het standpunt gesteld dat de transactiegegevens niet kunnen worden aangemerkt als persoonsgegevens zoals bedoeld in artikel 1, sub a, Wbp. Hiertoe voert GVB aan dat de houders van de studenten OV-chipkaart niet kunnen worden geïdentificeerd door GVB, aangezien alleen de Dienst Uitvoering Onderwijs (DUO) en TLS beschikken over identificerende gegevens van de student en die gegevens worden afgeschermd voor GVB. GVB heeft derhalve geen toegang tot de NAW-gegevens van de student, waardoor GVB niet in staat is de transactiegegevens te herleiden tot een persoon.

Het CBP overweegt ten aanzien van dit standpunt als volgt. Een gegeven is te beschouwen als persoonsgegeven als het informatie verschaft over een geïdentificeerde of identificeerbare persoon. Deze persoon kan direct identificeerbaar zijn, bijvoorbeeld aan de hand van zijn naam, adres of geboortedatum. Maar ook een indirect identificeerbaar gegeven kan een persoonsgegeven zijn, bijvoorbeeld indien een persoon aan de hand van een identificatienummer kan worden geïdentificeerd.

3.1.1 Identificatie zonder achterhalen van de naam 

Identificatie kan ook plaats vinden zonder dat de naam van de persoon wordt achterhaald. Vereist is slechts dat de gegevens ervoor zorgen dat een bepaald persoon kan worden onderscheiden van anderen. In dit verband wijst het CBP op de volgende passage uit Advies 4/2007 van de Artikel 29-werkgroep:

Hier moet worden opgemerkt dat hoewel identificatie door middel van naam in de praktijk het meest voorkomt, de naam niet in alle gevallen noodzakelijk is om een persoon te identificeren. Dit is het geval wanneer andere identificatiemiddelen worden gebruikt om iemand van anderen te onderscheiden. In computerbestanden waarin persoonsgegevens zijn opgenomen, wordt aan geregistreerde personen doorgaans een unieke identificatiecode toegewezen om verwisseling van personen in het bestand te voorkomen. Op het world wide web is het met behulp van bewakingsinstrumenten voor het webverkeer eenvoudig om het gedrag van een machine te identificeren en daarmee ook dat van de gebruiker daarvan. De persoonlijkheid van de betrokkene kan op deze wijze worden achterhaald, zodat bepaalde besluiten aan hem of haar kunnen worden toegeschreven. Zonder zelfs maar naar de naam en het adres van de persoon te vragen, kan de betrokkene worden ingedeeld aan de hand van sociaaleconomische, psychologische, filosofische of andere criteria en kunnen bepaalde beslissingen aan hem of haar worden toegeschreven, omdat het voor het contactpunt voor de persoon (de computer) niet langer noodzakelijk is zijn of haar identiteit in enge zin bekend te maken. Met andere woorden, de identificatie van een persoon vereist niet langer het vermogen zijn of haar naam te achterhalen. De definitie van ‘ persoonsgegeven’ weerspiegelt ook dit feit.1 (onderstreping toegevoegd)

In gevallen waarin het op het eerste gezicht niet mogelijk is met de beschikbare identificatiemiddelen één bepaalde persoon te onderscheiden, kan die persoon wellicht toch “identificeerbaar” zijn doordat aan de hand van die informatie in combinatie met andere gegevens (die al dan niet bij de voor de verwerking verantwoordelijke berusten) de betrokkene van andere personen kan worden onderscheiden. 2

Van belang is dus of de betrokkene van andere personen kan worden onderscheiden, met andere woorden: of de betrokkene ‘individualiseerbaar’ is. Wanneer een betrokkene individualiseerbaar is, kunnen er aan de hand van de gegevens beslissingen worden genomen die de betrokkene direct raken. Juist dit aspect wordt in de Memorie van Toelichting bij de Wbp van belang geacht:

Als gegevens mede bepalend zijn voor de wijze waarop de betrokken persoon in het maatschappelijk verkeer wordt beoordeeld of behandeld, moeten die gegevens als persoonsgegevens worden aangemerkt.3 

Het verwerken van gegevens over een geïndividualiseerd persoon kan vergaande privacy-implicaties hebben, ook als het niet mogelijk is om een naam te verbinden aan de gegevens. Het is daarom van belang dat ook bij dergelijke gegevens de waarborgen van de Wbp gelden en dat betrokkenen in staat worden gesteld om inzicht te hebben in en zeggenschap te hebben over de beslissingen die aan de hand van die gegevens over hen worden genomen.

Juist de individualiseerbaarheid brengt immers mee dat er op basis van de gegevens beslissingen over een persoon kunnen worden genomen die hem raken in het maatschappelijk verkeer. Dat kan vergaande consequenties hebben voor een persoon. Zo kan een IP-adres toegang tot een bepaalde website geweigerd worden, zonder dat men weet wie er precies achter het IP-adres zit. Mede daarom is door zowel de Artikel 29-werkgroep als het CBP bepaald dat een IP-adres altijd als persoonsgegeven moet worden behandeld.4

Wanneer gegevens gekoppeld worden aan een uniek nummer, is doorgaans sprake van een geïndividualiseerd persoon. De hiervoor geciteerde definitie van persoonsgegevens in de Richtlijn noemt het gebruik van een identificatienummer dan ook als belangrijk element voor de vraag of sprake is van identificeerbaarheid. Ook hier is niet het achterhalen van de naam van de betrokkene van belang, maar de vraag naar de mogelijke gevolgen voor de behandeling van een onderscheiden betrokkene. Juist het gebruik van een identificatienummer kan immers tot gevolg hebben dat de gegevens bepalend zijn voor de wijze waarop de betrokkene in het maatschappelijk verkeer wordt beoordeeld of behandeld. In de Wbp (artikel 31 en 24) en de Memorie van Toelichting is dan ook speciale aandacht voor identificatienummers.

Uit een oogpunt van bescherming van de persoonlijke levenssfeer werd het noodzakelijk geacht om aan het gebruik van dergelijke nummers beperkingen te stellen. Vast staat immers dat persoonsnummers de koppeling van verschillende bestanden aanzienlijk vergemakkelijken en daarmee een extra bedreiging voor de persoonlijke levenssfeer vormen.5 

De OV-chipkaart is door middel van het unieke Chip-ID verbonden aan de persoon van de student. De transactiegegevens die GVB verwerkt als met de OV-chipkaart wordt gereisd, geven gedetailleerde informatie over het reisgedrag van de kaarthouder. Zo is af te leiden wanneer, waar en hoe vaak de student aan wie de kaart is uitgegeven reist. Deze gegevens bieden inzage in het leefpatroon van de student en ze kunnen worden gebruikt op een wijze die van invloed is op de bejegening van de kaarthouder in het maatschappelijk verkeer.6 Het CBP wijst in dit verband tevens naar de in de Memorie van Toelichting bij de Wbp geciteerde uitspraken van de Registratiekamer waarin telefoonnummers en kentekens van auto’s als persoonsgegevens worden aangemerkt.7 Verder worden ook IP-adressen8 en geolocatiegegevens op smartphones9 als persoonsgegevens beschouwd. In deze gevallen gaat het eveneens om gegevens zonder direct identificerende elementen, welke gegevens informatie verschaffen over (het gedrag van) een persoon en die via een uniek nummer in verband kunnen worden gebracht met die persoon. Deze gegevens kunnen van invloed zijn op de wijze waarop de betrokkene in het maatschappelijk verkeer wordt bejegend en zijn aldus als persoonsgegevens aan te merken.

3.1.2 Daadwerkelijke identificatie door GVB 

Daar komt nog bij dat GVB wel degelijk in staat moet worden geacht om de naam van de betrokkene te achterhalen en dat dat ook mede het doel is van de verwerking van de gegevens. GVB is op twee manieren in staat om de transactiegegevens te koppelen aan de persoon van de kaarthouder: (i) via het bestand met NAW-gegevens bij TLS en (ii) op het moment dat de student zelf contact met GVB opneemt.

[…]