Hoogleraar Privacy: ‘Regeling met reisbureau van de universiteit in strijd met wet’
-
Foto: Rob Dammers (Creative Commons)
Het is onrechtmatig dat de universiteit medewerkers verplicht om hun gegevens te delen met DGI Travel. Dat zegt hoogleraar Privacy Bart Jacobs, die om die reden weigert reizen te boeken via het reisbureau. ‘Ik houd graag de controle over waar ik mijn persoonsgegevens invul.’
De samenwerking tussen de Radboud Universiteit en reisbureau DGI Travel is in strijd met de Algemene Verordening Gegevensbescherming, kortweg de AVG. Tot die vaststelling komt Bart Jacobs, hoogleraar Computer Security, Privacy & Identity Bart Jacobs. Volgens Jacobs hebben zowel de universiteit als het reisbureau dit erkend, en werken ze aan een oplossing. Medewerkers van de universiteit zijn verplicht hun zakenreizen bij DGI Travel te boeken; het gaat om zo’n drieduizend reizen per jaar.
Zijn kritiek staat los van die van hoogleraar Astrofysica Heino Falcke, zegt Jacobs in zijn kamer in het Erasmusgebouw. In een opiniebijdrage op Voxweb uitte Falcke onlangs kritiek op de bureaucratie die gepaard ging met het boeken van een eenvoudig treinkaartje naar Duitsland. Onder het artikel kwamen tal van reacties, één afdeling bleek zelfs een zwartboek bij te houden van slechte ervaringen met het reisbureau. De ondernemingsraad wil dat de Radboud Universiteit het contract met DGI stopzet. ‘Ik heb me gefocust op de juridische aspecten van de samenwerking tussen de universiteit en het reisbureau’, aldus Jacobs.
Wettelijke grond
En daar klopt er volgens de hoogleraar iets niet. Medewerkers die een buitenlandse reis willen boeken, moeten zich verplicht inschrijven bij DGI Travel. Op de website van het reisbureau met hoofdkwartier in Manchester moeten ze vervolgens onder andere hun telefoonnummer, e-mailadres en paspoortnummer invullen. Daarna moeten ze op een knop klikken waarop staat dat ze akkoord zijn met de gegevensverwerking door het reisbureau.
Jacobs: ‘De AVG zegt dat persoonsgegevens niet verwerkt mogen worden, tenzij daar een wettelijke grond voor is. Dat kan een contract zijn, een wettelijke verplichting, consent of gerechtvaardigd belang. Maar de universiteit kan werknemers niet verplichten om hiermee akkoord te gaan.’
De hoogleraar geeft een voorbeeld: wie online een boek bestelt, moet bevestigen dat hij of zij akkoord is met de verwerking van de betaal- en adresgegevens. ‘Die consent of instemming is de wettelijke grond waarmee jij instemt met de verwerking van jouw gegevens door de boekverkoper.’
‘De universiteit dwingt werknemers om akkoord te gaan, maar mag die instemming niet afdwingen, zoals nu gebeurt’
Aan die instemming stelt de AVG echter enkele belangrijke eisen. Ten eerste moeten betrokkenen goed geïnformeerd zijn, ze moeten weten waarmee ze instemmen. Ten tweede moet de instemming volledig vrijwillig zijn. Het standaard voorbeeld van niet-vrijwillige instemming, aldus Jacobs, is een werkgever die een werknemer dwingt ergens mee akkoord te gaan. En dat is precies wat er gebeurt wanneer medewerkers reizen boeken via DGI Travel. ‘De universiteit dwingt werknemers om akkoord te gaan, maar mag die instemming niet afdwingen, zoals nu gebeurt. Dat is in strijd met de AVG.’
In juridische termen: de rechtsgrond ontbreekt voor de verwerking van de persoonsgegevens van medewerkers van de Radboud Universiteit door de reisagent. ‘Die verwerking is daarmee onrechtmatig’, aldus Jacobs.
Ongemakkelijk
Om die reden heeft Jacobs altijd principieel geweigerd om reizen te boeken via de reisbureaus van de universiteit, zowel bij voorloper VCK Travel als bij Diversity Travel (nu: DGI Travel). ‘Ik ben mijn reizen zelf blijven boeken en declareren. Daarop kreeg ik altijd te horen dat dat niet mocht. Maar door te zeggen dat je reizen niet worden vergoed als je je niet inschrijft bij het reisbureau, intimideert de universiteit haar medewerkers.’
Op een gegeven moment werden de reisdeclaraties van de hoogleraar niet meer vergoed. ‘Toen ben ik bezwaar gaan maken, op juridische gronden. Mijn argumenten zijn onlangs als juist erkend en mijn reizen zijn alsnog vergoed door de universiteit.’
Wat DGI Travel doet met de gegevens van universiteitsmedewerkers, is volgens Jacobs niet duidelijk. ‘Dat hangt af van het contract dat de universiteit met het reisbureau heeft gesloten, maar dat is niet openbaar. Meestal staat in zo’n verwerkingsovereenkomst dat de gegevens alleen voor een beperkt aantal doelen gebruikt kunnen worden. Maar toch voel ik me er ongemakkelijk bij dat een andere partij zomaar al mijn gegevens gaat invullen bij het boeken van een reis.’
‘Waar te veel informatie gevraagd wordt, vul ik onzin in’
Zelf zegt Jacobs altijd heel voorzichtig te zijn wanneer hem gevraagd wordt om persoonlijke gegevens in te vullen. ‘Waar te veel informatie gevraagd wordt, vul ik onzin in. Waarom heeft DGI bijvoorbeeld onze paspoortnummers nodig? Die zijn niet vereist bij het boeken van een hotel of een reis. Ze zijn wel nodig bij het inchecken, maar dat doe je als medewerker zelf. De AVG vereist ook doelbinding en dataminimalisatie.’
Dat voelt niet lekker, aldus de hoogleraar. ‘Mijn zorg zit erin dat het reisbureau dingen gaat doen met mijn gegevens die ik nooit zou doen. Ik houd graag de controle over waar ik mijn persoonsgegevens invul.’
Druk overleg
Volgens Jacobs hebben zowel de ambtelijke top van de universiteit als het reisbureau inmiddels erkend dat de huidige regeling in strijd is met de AVG. ‘Mijn advies was om het gebruik van de reisagent vrijwillig te maken. Daarmee is het juridische probleem opgelost. Er is nu druk overleg tussen privacy-betrokkenen op de universiteit om te kijken of dit gefikst kan worden. Een oplossing is er nog niet. Er zou wel een mogelijke oplossingsrichting zijn, maar die is niet met mij gedeeld, dus daar kan ik niets over zeggen.’
Reizen boekt Jacobs daarom nog steeds zelf. ‘Ik heb het probleem aangekaart, het is nu aan de universiteit om het op te lossen.’
Evaluatie van DGI Travel
De Radboud Universiteit is het niet eens met hoogleraar Privacy Bart Jacobs dat de samenwerking met DGI Travel niet overeenkomstig de wet zou zijn. Dat laat een universiteitswoordvoerder desgevraagd weten. ‘Omdat er sprake is van gevoelige gegevens, zoals de vereiste combinatie van geboortedatum, het paspoortnummer en de naam van de boeker om te kunnen reizen, en de mogelijke impact als dit uit zou lekken, is gekozen voor een strikte toetsing van de vereisten die volgen uit de AVG.’
Bij deze zogenaamde gegevensbeschermingseffectbeoordeling of DPIA zijn de AVG-vereisten volgens de woordvoerder systematisch getoetst. ‘Ook is de medezeggenschap betrokken bij deze beoordeling, net zoals de Functionaris Gegevensbescherming van de universiteit. De kern van de beoordeling vormt het identificeren van risico’s die moeten worden tegengegaan met maatregelen. Met de reisagent zijn daarnaast overeenkomsten afgesloten die strikt vastleggen hoe zij persoonsgegevens verwerken, dat is bijvoorbeeld ook een maatregel.’
Radboudmedewerkers delen volgens de woordvoerder enkel de gegevens die verplicht zijn om in het buitenland te kunnen reizen. ‘Zonder deze gegevens kan de reisagent geen reizen boeken; de boeker zou deze gegevens anders zelf in moeten vullen bij bijvoorbeeld de vliegmaatschappij. Voor het gebruik van een reisagent is door de medezeggenschap en het Lokaal Overleg ingestemd in respectievelijk 2020 en 2022. Ook daarin heeft de universiteit voldaan aan vereisten.’
Wel heeft de universiteit besloten tot een evaluatie van DGI Travel, aldus vicevoorzitter Marcel Wintels in een schriftelijke reactie. “Er wordt één en ander uitgezocht om preciezer te weten waar zowel aan de kant van de Radboud Universiteit alsook aan de kant van DGI de grootste knelpunten en issues zitten, om hopelijk op korte termijn vast te kunnen stellen of en hoe die oplosbaar zijn.”
