Vorig jaar was het groot in het nieuws: Dienst Uitvoering Onderwijs (DUO) vroeg reisgegevens van honderden studenten op bij ov-chipkaartbedrijf Translink. Met deze gegevens werd gecontroleerd of studenten niet onterecht een beurs voor uitwonenden ontvingen. Deze beurs is een stuk hoger dan de beurs voor thuiswonende studenten en om die reden wordt er flink mee gefraudeerd. Het is dan ook niet gek dat DUO deze studenten wil opsporen om het te veel betaalde geld terug te krijgen.
Met de reisgegevens kan DUO onderzoeken of een student daadwerkelijk op een andere plek woont, of nog steeds tussen zijn ouderlijk huis en de onderwijsinstelling op en neer reist. Deze gegevens zijn erg nuttig voor DUO en dus kwam het regelmatig voor dat deze gegevens werden opgevraagd. Volgens ov-chipkaartbedrijf Translink diende DUO vijf à tien keer per week een verzoek in voor gegevens, en deze werden zonder protest afgegeven. Bij publicatie van dit nieuws was de grote vraag: mag dit?
In het Europees Verdrag voor de Rechten van de Mens (EVRM) staat het recht op privacy uitdrukkelijk vermeld. De overheid mag hier alleen inbreuk op maken als dit in de wet staat en er goede redenen voor zijn. Ook moet er sprake zijn van een soort ‘laatste redmiddel’, dat in verhouding staat tot het doel. De overheid mag bijvoorbeeld niet camera’s in je huis plaatsen om erachter te komen of je nog openstaande boetes hebt. Ten eerste zijn camera’s niet het juiste middel om hierachter te komen, en ten tweede gaat cameracontrole in je eigen huis natuurlijk veel te ver.
Dit is een duidelijke inbreuk op je privacyrecht, maar hoe zit het dan met het opvragen van reisgegevens? Als er maar genoeg gegevens zijn, kan er een compleet beeld gemaakt worden van waar een persoon naartoe reist. Ook hier is een duidelijke inbreuk op je privacy, dit gaat namelijk in principe niemand iets aan. Mag DUO dan wel reisgegevens opvragen om fraude op te sporen?
Op 5 februari heeft de Centrale Raad van Beroep een antwoord op deze vraag gegeven. Een studente had bezwaar aangetekend nadat DUO ook haar reisgegevens had opgevraagd. Zij vond dat DUO haar recht op privacy had geschonden en de reisgegevens daardoor niet in haar fraudeonderzoek mocht gebruiken. De rechter was het niet met haar eens.
Volgens de rechter was er een goede reden voor het opvragen van de gegevens: het economisch welzijn van Nederland. In de wet staat dat toezichthouders (zoals DUO) voor onder andere dit doel gegevens mogen opvragen bij bedrijven. Er was geen ander middel dat DUO had kunnen gebruiken om aan extra bewijsmiddelen te komen. De rechter vond ook niet dat het middel te overdreven was. DUO keek alleen naar een reispatroon, en nam dus niet alle uitstapjes van de studente onder de loep.
Het werd in de uitspraak echter niet duidelijk hoe DUO dit precies voor elkaar kreeg. Dat DUO 18 maanden aan reisgegevens verzamelde - en dus niet alleen de 6 maanden waarin de fraude gepleegd zou zijn - was geen probleem.
Betekent dit dat DUO constant studenten in de gaten gaat houden? Nee, dat is niet waarschijnlijk. De rechter gaf aan dat de reisgegevens niet een sterk bewijs vormen. Iemand kan natuurlijk gewoon vaak bij zijn of haar ouders op bezoek gaan, zonder dat diegene thuis woont.
Daarnaast zal DUO alleen reisgegevens opvragen als ze een sterk vermoeden van fraude hebben, maar niet genoeg bewijs. Dit vermoeden ontstaat bijvoorbeeld als een student staat ingeschreven op een adres dat een stuk verder van zijn onderwijsinstelling is dan het adres van zijn ouders. Ook als er meerdere mensen op een adres staan ingeschreven is dit voor DUO verdacht. Voordat DUO reisgegevens opvraagt, zullen ze eerst even aanbellen om te kijken of de student echt op het door hem opgegeven adres woont.
Het opvragen van de gegevens is dus echt een laatste redmiddel voor de dienst. Studenten hoeven dus niet bang te zijn om de trein te pakken: zij worden (waarschijnlijk) niet gevolgd.
Dit artikel is geschreven door Cas Mevissen, in samenwerking met Fay Kartner.
ICTRecht Academy verzorgt een basis– en verdiepingscursus privacywetgeving waarmee u gedegen privacykennis opbouwt en uw organisatie kunt adviseren (als bijv. functionaris gegevensbescherming) en voorbereiden op de nieuwe privacywet. Voor deze cursussen is geen juridische voorkennis nodig. Volgt u beide cursussen dan krijgt u het handboek AVG gratis. Heeft u een juridische achtergrond dan vindt u onze privacytrainingen hier.
Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.