Privacywet niet meer van deze tijd?

De Nederlandse Spoorwegen zijn afgelopen maandag door het College Bescherming Persoongegevens (CBP) berispt. Het vervoerbedrijf mag volgens het CPB niet zomaar de reisgegevens van klanten vastleggen om te gebruiken voor allerlei nieuwe (commerciële) diensten en aanbiedingen.

Eerst moet aan de passagiers toestemming gevraagd worden, aldus de voorzitter van het CBP J. Kohnstamm maandag in de Volkskrant. Het betreft met name klantgegevens die gebruikt zouden worden voor individuele klantprogramma's.

Kohnstam beroept zich hierbij op de Wet Bescherming Persoonsgegevens. Maar is die wet nog wel van deze tijd? Cor Molenaar, voorzitter RFID Platform Nederland, meent van niet.

Wat is er nu mis? De NS heeft bijvoorbeeld een nieuw programma ontwikkeld onder de naam Geld Terug bij Vertraging. Wanneer het bedrijf over individuele reisgegevens beschikt, zou de reiziger automatisch het geld van zijn kaartje terug kunnen krijgen op zijn rekening (bron: Volkskrant). Dat gaat volgens het CBP te ver: men bestrijdt niet dat dit een serviceverbetering is, maar vraagt zich af of hiervoor alle reisgegevens bewaard moeten blijven.

Vastgelegde gegevens moeten volgens het CPB puur gerelateerd zijn aan reizigersvervoer, gegevens op individueel niveau gaan echter al snel te ver. En mocht de NS de gegevens gebruiken voor andere toepassingen, dan is de NS is overtreding.
Het college kan in dat geval boetes opleggen.

Het CBP heeft in principe gelijk volgens Cor Molenaar, voorzitter van het RFID Platform Nederland": 'Mochten individuele klantgegevens ingezet worden voor andere diensten dan alleen reizgersvervoer, dan is dat in strijd met de huidige privacywetgeving.'

Maar is deze regelgeving nog wel van deze tijd? De Wet is vanaf 1 september 2001 van kracht. Molenaar meent van niet: 'Er zijn binnen het ministerie van Economische Zaken ook ideeën om de oude regelgeving weer eens tegen het licht te houden. In de tijd dat de regelgeving gemaakt werd, waren dit soort technieken namelijk nog niet aan de orde. Nu zie je allerlei technische ontwikkelingen die momentgedreven en/of locatiegedreven zijn. Daar past nieuwe regelgeving bij.'

Het RFID-platform heeft een eigen privacycode ontwikkeld, die echter wel uitgaat van opt-in. Molenaar pleit ook in het geval van de NS voor opt-in. 'Daarnaast is de NS gebaat bij transparantie, de reiziger moet zelf kunnen zien wat de NS hebben vastgelegd.'

De kwestie is actueel, omdat in 2007 de ov-chipkaart wordt geintroduceerd. Met de chipkaart weten de reisorganisaties straks tot in detail waar een reiziger is geweest. Zij willen daarvan gebruikmaken om persoonsgebonden aanbiedingen te doen. 'Wij doen de reiziger aanbiedingen, maar informeren ze ook over bijvoorbeeld vertragingen en stremmingen', zo zegt de woordvoerder van KNV Mobis (die optreedt als zegsman voor alle vervoerders, exclusief NS) tegen de Volkskrant.

Vorig jaar publiceerde het ECP (platform voor eNederland) nog een rapport over privacy en RFID, waarin dit soort kwesties ook worden behandeld. Download hier het rapport.