Eind vorige maand kraakten Duitse hackers de beveiliging van de chip die onder meer wordt toegepast in de ov-chipkaart. Maar onderzoek van TNO wees uit dat de sleutels van de Mifare versleuteling van de NXP chip nog intact zijn. Het zal bovendien nog maanden duren voordat één individuele kaart gekraakt is, sussen de onderzoekers.

"Er is absoluut een probleem", zegt Jeroen Kok, directeur van Trans Link Systems (TLS), het bedrijf dat de gewraakte ov-cipkaart levert. "We wisten van tevoren dat de chip op een gegeven moment gekraakt zou worden. Dat het nu gebeurt is vervelend en snel. Het is voor ons aanleiding er nog een keer naar te kijken."

Er zijn drie kaarten. Een persoonsgebonden kaart, een anonieme kaart en een wegwerpkaart. De laatste is slechter beveiligd en werd gisteren door studenten van de Radboud Universiteit gekopieerd.

De beveiliging van de reguliere kaart bestaat uit drie lagen. De chip zelf, extra Nederlandse beveiligingsmaatregelen en detectie achteraf waardoor een kaart geblokkeerd kan worden. Volgens Kok is het niet alleen de versleuteling maar ook om de combinatie van de drie lagen die ervoor moet zorgen dat 'fraude niet lonend genoeg' wordt.

TLS laat door TNO onderzoeken wat de beste oplossing is en zal de onderzoeksresultaten in februari bekend maken. Het gebruik van een meer geavanceerde chip sluit hij niet uit. "Maar ook deze chip zal op een gegeven moment gekraakt worden", benadrukt hij. TNO gaat ook onderzoeken of de drie beveiligingslagen afdoende zijn nu de eerste laag gekraakt is.

De ov-chipkaart ligt ook onder vuur omdat de persoonsgegevens die op de kaart staan te lang worden opgeslagen. Dat bleek uit onderzoek van het CBP naar de omgang met persoonsgegevens bij de GVB van Amsterdam. De GVB heeft besloten om alle standpunten van het CBP over te nemen. Die kunnen in sommige gevallen problemen veroorzaken met de fiscus. In overleg wordt er naar een oplossing gezocht.

Gert Jan Kroon directeur van de GVB: "We hebben besloten om geen gegevens te verwerken van een ov-chipkaart waar geen abonnement op staat." De gebruiker kan kiezen voor een persoonlijke kaart met een abonnement, maar ook voor een persoonlijke kaart waar het saldo automatisch aangevuld wordt. Als derde alternatief is er de wegwerpkaart waar helemaal geen persoonlijke gegevens op staan. Op geen enkele variant staan NAW-gegevens.

"Wij zullen tot 2010 geen persoonsgegevens gebruiken die te herleiden zijn op het reisgedrag van een individuele reiziger", ligt Kroon toe. "Ook zullen we de informatie niet gebruiken voor marketingdoeleinden." De informatie die binnen de wet gebruikt mag worden zal gebruikt worden voor het adviseren en informeren van de reizigers.

In 2010 wordt bekeken of de gegevens gebruikt kunnen worden voor aanvullende dienstverlening.

Staatsecretaris Tineke Huizinga van Verkeer en Waterstaat wil van TLS weten welke risico's gebruikers precies lopen. En als die er zijn hoe het bedrijf ze denkt op te lossen. De antwoorden van TLS zal ze onafhankelijk laten toetsen.