Dat vertelt Bart Jacobs, hoogleraar op het gebied van het maken van veilige systemen en beveiliging bij de Radboud Universiteit, tegenover Webwereld. Hij voorzag vanaf het begin de privacyproblemen waar onder andere abonnementshouders nu tegenaan lopen. Het ontwerp van het OV-chipkaartsysteem is dus niet goed.

Andere software

“Waar het om gaat is dat de OV-chipkaart vooral een betaalkaart is en zo moet je het ook behandelen”, legt hij uit. Wie dus op saldo reist moet een betaling verrichten, waarbij het nodig is een administratie te voeren. Bij abonnementshouders, zoals studenten en jaarkaarten, is dat niet nodig. “Daar gaat het om het vaststellen dat iemand een reisrecht heeft.”

Een poortje of een paal voert een controle op reisrecht nu ook al uit, weet Jacobs. In theorie had in het ontwerp vervolgens een “hash” ofwel een niet herleidbaar getal gebruikt kunnen worden. “Dat registreer je bij het inchecken en het uitchecken. Een volgende reis krijg je een nieuwe hash”, vertelt hij. “Dan weet je toch hoeveel reizigers er op een traject zijn, maar weet je niet wie het zijn.

Hack kost privacy

De tijd heeft de mogelijkheid van deze oplossing inmiddels ingehaald. Het succes van slechts controleren op geldigheid van het abonnement zonder registratie van de kaart staat of valt met de betrouwbaarheid van de techniek. Omdat inmiddels de cryptografie in de kaart is gekraakt is dat vertrouwen niet meer mogelijk.

Het gevolg van de zwakheid van de kaart is dat er toch een tijdelijk noodzaak is voor de opslag van gegevens om fraude te detecteren. Dat hoeft volgens hem zeker geen 7 jaar te zijn, maar lang genoeg om onlogische reizen te detecteren. Daarna zou gegevensverwerker Trans Link Systems de informatie kunnen verwijderen. Vervoersbedrijven kunnen opnieuw met geanonimiseerde gegevens toe.

Vertrouwen in OV-chipkaartbedrijven

Overigens denkt Jacobs dat het procedureel goed regelen van de privacy staat of valt met de betrouwbaarheid van bedrijven achter het systeem. “Je moet er maar op vertrouwen dat privacygevoelige gegevens ook daadwerkelijk worden gewist”, stelt hij. “Wie zegt dat ze dat inderdaad doen?”

“Dit soort zaken zijn vooral procedureel. Echt afdwingen kan veiliger hard technisch”, stelt de professor. Met dank aan een donatie van stichting NL Net doet op hij dit moment onderzoek naar technieken om een privacyvriendelijke OV-chipkaart te maken. Binnenkort worden daarvan de eerste resultaten bekendgemaakt.

Verbaasd

Dat politici zeggen niet op de hoogte te zijn geweest van het feit dat iedere reisbeweging van een abonnementshouder zeven jaar wordt bewaard, verbaast Jacobs “Het was mij al wel duidelijk dat men de reisbewegingen van abonnementskaarten ging bijhouden”, vertelt hij. “Dat was mij vanaf het begin was al duidelijk toen ik enig zicht kreeg op de werking van de backoffice.”

Zowel het College Bescherming Persoonsgegevens als Trans Link Systems reageerden niet op een verzoek om commentaar.