De betrapte student en DUO: onrechtmatige persoonsgegevensverwerking DUO en Translink

Onlangs heeft de rechtbank Den Haag een interessante uitspraak gewezen. Deze zaak was aangespannen door een student die volgens DUO ten onrechte  genoot van een uitwonende beurs. DUO kwam de frauderende student op het spoor door inzage te vorderen in de OV-chipkaartreisgegevens.

Partijen en situatie

De OV-chipkaart wordt in Nederland uitgegeven door Translink. Dit bedrijf is in het bezit van de persoonsgegevens van miljoenen reizigers. Naast het geslacht en de NAWTE-gegevens is Translink in het bezit van de dagelijkse reisgegevens van reizigers.

De Dienst Uitvoering Onderwijs (DUO) is onder meer belast met het verstrekken van uitwonende beurzen aan studenten die uitwonend zijn. De uitwonende beurs is een fraudegevoelige beurs. De uitwonende beurs is hoger dan de thuiswonende beurs. Frauderende studenten geven een (postbus)adres op om een uitwonende beurs te ontvangen terwijl ze thuiswonend zijn.

DUO vindt opsporing van frauderende studenten van groot belang. In 2013 bleek al dat er uit 3.662 controles, 1.784 studenten fraudeerden. Medewerkers van DUO, belast met het opspeuren van fraude vroegen honderden keren persoonsgegevens op bij Translink. Deze verzoeken betroffen reisgegevens van ‘uitwonende’ studenten op basis van een risicoprofiel. Met behulp van deze reisgegevens kon, onrechtmatig blijkt nu, gecontroleerd worden of studenten daadwerkelijk uitwonend waren.

Procedure van een betrapte student

Een student liet het er niet bij zitten. Op 8 mei jl. heeft de rechtbank Den Haag gewezen dat deze persoonsgegevensverstrekkingen onrechtmatig zijn geschied. De zaak betrof een frauderende student die stelde dat zijn persoonsgegevens onrechtmatig zijn verstrekt aan DUO. Hij beriep zich op artikel 8 EVRM. Dit artikel bepaalt dat een ieder het recht heeft op een privéleven. Uitzonderingen op dit recht zijn mogelijk maar vereisen een wettelijke grondslag.

DUO baseerde haar bevoegdheden op artikel 5:16 en 5:17 Algemene wet bestuursrecht (‘Awb’). Deze (algemene) artikelen bepalen dat een bestuurlijke toezichthouder, zoals DUO, bevoegd is inlichtingen te eisen en inzage te vorderen in zakelijke gegevens en bescheiden. Hiermee zou DUO, volgens haarzelf, rechtmatig de persoonsgegevens hebben verkregen van Translink.

Het vonnis van de rechtbank Den Haag

De rechtbank gaat hier niet in mee. Zij stelt vast dat het privéleven van de student wordt geraakt en dat de wettelijke grondslag waarop DUO zich beroept, niet voldoet. De gegevens die DUO opvraagt zijn niet van zakelijke aard, maar van persoonlijke aard en vallen daarmee buiten de reikwijdte van artikel 5:17 Awb. Hierdoor is er geen wettelijke grondslag voor DUO om de reisgegevens op te vragen waardoor deze gegevens als onrechtmatig verkregen bewijs moeten worden aangemerkt. Gevolg: deze gegevens mogen niet worden gebruikt en de frauderende student wordt in het gelijk gesteld.

Vervolg

DUO liet het er ook niet bij zitten en is hiertegen in hoger beroep gegaan. Zij wil bij de Centrale Raad van Beroep (de hoogste rechterlijke macht voor deze procedure) haar gelijk krijgen. De zaak krijgt mogelijk ook nog een staartje. Een belangenorganisatie voor reizigers, de Maatschappij voor Beter OV, is naar de Autoriteit Persoonsgegevens gestapt vanwege ernstige zorgen om de privacy van OV-gebruikers bij Translink. Zij willen dat de toezichthouder handhavend gaat optreden. Klik hier voor het betreffende artikel.

Uit de onderhavige zaak blijkt dat organisaties informatieverzoeken van de overheid goed moeten toetsen en zichzelf de vraag moeten stellen of er ook een wettelijke grondslag is voor de informatie verstrekking dan wel of het informatieverzoek proportioneel is. Onderhavige zaak laat zien dat een verzoek vanuit een publieke instantie niet automatisch betekent dat deze altijd gehonoreerd moeten worden.

Meer weten?

Neem vrijblijvend contact op met de Praktijkgroep Privacy van BANNING, of met Samuel Wiegerinck (s.wiegerinck@banning.nl, tel. 073-692 77 06).