Europese vervoerbedrijven menen ‘gerechtvaardigd belang’ te hebben bij massa-surveillance op alle treinreizigers in de EU.
Uit een zienswijze van Nederlandse Spoorwegen (NS) in oktober 2025 blijkt dat Europese spoorwegmaatschappijen gezamenlijk een surveillance-systeem hebben opgezet dat zij Electronic Ticket Control Database (ETCD) noemen. In dit systeem worden de persoonlijke reisgegevens (naam, soms geboortedatum, reisdatum en -tijd, reisroute, ticketspecificaties, klantgeschiedenis) opgeslagen van alle treinreizigers die zogeheten ‘e-tickets’ kopen, bijvoorbeeld door treinreizen te boeken via internet of aan een stationsbalie. In Nederland zijn voor het overgrote deel van de internationale reisroutes in de EU inmiddels alleen nog e-tickets verkrijgbaar. Vervoerbedrijven zoals Deutsche Bahn en het Franse SNCF hebben de verkoop van andere tickets in Nederland uitgefaseerd.
Het ETCD-systeem lijkt de afgelopen jaren in stilte te zijn opgebouwd door spoorwegbedrijven die zich hebben verenigd in de branche-organisatie UIC (Union Internationale des Chemins de Fer / International Railway Union). Het bestaan en de reikwijdte van het systeem bleek recentelijk uit een zienswijze van NS in een juridische procedure die sinds 2018 wordt gevoerd door privacy-activist Michiel Jonker. Hij verzocht de Nederlandse Autoriteit Persoonsgegevens (AP) tweemaal om handhaving.
In augustus 2024 nam de AP voor de tweede maal het besluit om de zaak niet te onderzoeken. Hiertegen diende Jonker bezwaar in. Aanvankelijk wilde NS geen inbreng leveren in de bezwaarprocedure, terwijl de AP zei er geen prioriteit aan te willen geven. Na verschillende interventies van Jonker, gevolgd door een smeekbede van de AP, stuurde NS in oktober 2025 alsnog een zienswijze waarin meer informatie werd verschaft.
Jonker: “Ik ben geschokt door deze informatie. Dit betekent dat het de bedoeling van deze bedrijven is om de locatiegegevens van iedereen die met het openbaar vervoer in de EU rondreist, continu voor zichzelf en eventuele belangstellende overheidsdiensten beschikbaar te hebben. Want voor vliegreizen binnen de EU gebeurt dat op dit moment ook al via een als ’tijdelijk’ gepresenteerde uitbreiding van Passenger Name Records (PNR), en uiteraard zullen ze dit ook willen uitbreiden naar het tracken van mensen die de bus nemen. Aan reizigers wordt niet de keuze gelaten of ze hun reis willen laten registreren of niet. Dit ETCD doet denken aan EHDS, de European Health Data Space, waarin de EU de persoonlijke medische gegevens wil opslaan van iedereen die in de EU medische zorg krijgt of nodig heeft. Daar was tenminste nog Europese wetgeving voor nodig. Maar dit ETCD gebeurt – in naam – geheel buiten de overheid om, zonder enige democratische controle, zelfs niet indirect. En nu zegt NS tegen de AP: ‘Bemoei je er niet mee. Wij mogen dit doen, want wij zijn particuliere vervoerbedrijven.’ Verbijsterend. Dit is een enorm schandaal. We weten inmiddels ook hoe riskant het is om gevoelige persoonsgegevens – locatiedata van identificeerbare personen – in zulke enorme systemen op te slaan.”
Voor het eerst voert NS nu ook een zogenoemd “gerechtvaardigd belang” (artikel 6.1 onder f AVG) aan voor deze gegevensverwerking. Jonker. “Dit is een nieuw argument dat NS op het allerlaatst inbrengt, pas na de hoorzitting in de bezwaarprocedure. Tot nu toe zei NS steeds dat het opeisen van die persoonsgegevens mocht op grond van een contract dat reizigers met NS sluiten, namelijk de algemene voorwaarden die NS eenzijdig heeft opgesteld en oplegt aan de klanten (artikel 6.1 onder b AVG). Daarnaast meende NS een gerechtvaardigd belang te hebben omwille van haar wens om reizigers altijd en overal te informeren over vertragingen – los van de vraag of burgers dat ook willen. Zelf wil ik bijvoorbeeld thuis niet ongevraagd geïnformeerd worden, ik zoek het liever zelf op de website van NS, of op de borden in de stations. Maar nu zegt NS dat ze de naam en andere persoonsgegevens van reizigers nodig hebben voor fraudepreventie, terwijl dat met traditionele tickets helemaal niet nodig was. Die privacyvriendelijke tickets willen de spoorwegmaatschappijen echter uitfaseren. In Nederland is dat voor bijna alle treintickets naar het buitenland al gedaan.”
Een andere zorgwekkende ontwikkeling is de wens van NS dat ticketverkopers een nieuwe rol krijgen als zelfstandige verwerkingsverantwoordelijken die eigen doelen mogen vaststellen voor de gegevensverwerking. Hiermee zou het in de AVG vastgelegde vereiste van “doelbinding” worden omzeild. Jonker: “NS vindt van zichzelf dat hij een zelfstandige verwerkingsverantwoordelijke is voor treintickets van Deutsche Bahn, SNCF of andere vervoersbedrijven die ze in Nederland door NS laten verkopen, zodat NS zelf eigen doelen mag vaststellen voor die verwerking. Daar ben ik het uiteraard niet mee eens. Voor die tickets is NS alleen een verwerker, niet de verwerkingsverantwoordelijke. Immers, NS krijgt alleen toegang tot die gegevens omdat Deutsche Bahn of SNCF een opdracht aan NS verlenen om die tickets te verkopen.”
NS lijkt daarnaast een geheel nieuwe rol voor zichzelf te willen creëren als “uitgever” van tickets, een soort tussenschakel tussen een vervoerbedrijf en een ticketverkoper. Jonker: “NS stuurt aan op een soort wonderbaarlijke vermenigvuldiging van verwerkingsverantwoordelijken die allemaal hun eigen doelen mogen vaststellen. Het enige wat een dergelijke “uitgever” van treintickets zou toevoegen aan het vervoer en de ticketverkoop, is het opslurpen van persoonlijke data van reizigers. Dat zou het doel zijn. NS is daar in Nederland al jaren geleden mee begonnen met de oprichting van dochterbedrijf Trans Link Systems (TLS), dat OV-chipkaartgegevens van reizigers verwerkt. Kennelijk willen NS en buitenlandse vervoerbedrijven zoals Deutsche Bahn en SNCF een vergelijkbaar technisch systeem voor massasurveillance EU-breed uitrollen, zonder enige democratische legitimering.”
Jonker hoopt dat na het door hem ingediende bezwaarschrift de Autoriteit Persoonsgegevens (AP) alsnog bereid zal zijn handhavend op te treden jegens Deutsche Bahn, SNCF en andere relevante vervoerbedrijven. Jonker: “De AP heeft tot nu toe geweigerd om onderzoek te doen, maar kan er wettelijk gezien eigenlijk niet meer omheen. Vooral niet nu de Franse Raad van State (de Conseil d’État) in een vergelijkbare zaak de Franse toezichthouder heeft verplicht om handhavend op te treden tegen het onrechtmatig opeisen van bepaalde gegevens van reizigers door SNCF. De AP is samen met andere toezichthouders bevoegd en beschikt over de middelen om te handhaven. Er is geen legitieme reden voor de AP om het doen van onderzoek nog langer te weigeren.”
De AP heeft aangegeven eerst te willen wachten op een uitspraak van de Nederlandse Afdeling bestuursrechtspraak van de Raad van State in een andere, eveneens door Jonker gevoerde procedure. Jonker: “Dat gaat over de acceptatie van contante betaling in een bioscoop, voor bioscooptickets. Ook daar weigert de AP onderzoek te doen. Dit is niet alleen in strijd met de AVG, maar ook met artikel 8 EVRM. De AP wil wachten om te horen wat de Raad van State gaat zeggen over de relevantie van artikel 8 EVRM. Op zich kan ik dat begrijpen, maar het moet niet het zoveelste excuus worden om besluitvorming op de lange baan te schuiven. Zowel met die bioscooptickets als met de treintickets ben ik al sinds 2018 bezig, en nog steeds weigert de AP om beide zaken zelfs maar serieus te onderzoeken. Dergelijk gedrag is een toezichthouder onwaardig. Het gaat immers om miljoenen mensen die met privacy cultureel en maatschappelijk willen kunnen participeren en willen kunnen reizen.”
De door Jonker ingediende processtukken kunnen HIER worden ingezien (tijdlijn van de procedure van 2020 tot heden).
