29 januari 2010

De OV-chipkaart zou met dezelfde infrastructuur veel privacyvriendelijker zijn als de software anders was ontwikkeld. Vervoersbedrijven krijgen dan gewoon inzicht in vervoersstromen. Dat vertelt Bart Jacobs, hoogleraar op het gebied van het maken van veilige systemen en beveiliging bij de Radboud Universiteit. Hij voorzag vanaf het begin de privacyproblemen, die nu optreden. Het ontwerp van het OV-chipkaartsysteem is dus niet goed. ´Waar het om gaat is dat de OV-chipkaart vooral een betaalkaart is en zo moet je het ook behandelen´, legt hij uit. Wie op saldo reist moet een betaling verrichten, waarbij het nodig is een administratie te voeren. Bij abonnementshouders, zoals studenten en jaarkaarten, is dat niet nodig. ´Daar gaat het om het vaststellen dat iemand een reisrecht heeft´. Een poortje of een paal voert een controle op reisrecht nu ook uit, weet Jacobs. In theorie had in het ontwerp een ´hash´, een niet herleidbaar getal gebruikt kunnen worden. ´Dat registreer je bij het inchecken en het uitchecken. Een volgende reis krijg je een nieuwe hash´, vertelt hij. ´Dan weet je toch hoeveel reizigers er op een traject zijn, maar weet je niet wie het zijn´.

De tijd heeft deze oplossing inmiddels ingehaald. Het succes van slechts controleren op geldigheid van het abonnement zonder registratie van de kaart staat of valt met de betrouwbaarheid van de techniek. Omdat inmiddels de kaart is gekraakt is dat vertrouwen niet meer mogelijk. Het gevolg van de zwakheid van de kaart is dat er een tijdelijk noodzaak is voor de opslag van gegevens om fraude te detecteren. Dat hoeft volgens hem zeker geen 7 jaar te zijn, maar lang genoeg om onlogische reizen te detecteren. Daarna zou gegevensverwerker Trans Link Systems de informatie kunnen verwijderen. Vervoersbedrijven kunnen opnieuw met geanonimiseerde gegevens toe. Overigens denkt Jacobs dat het procedureel goed regelen van de privacy staat of valt met de betrouwbaarheid van bedrijven achter het systeem. ´Je moet er maar op vertrouwen dat privacygevoelige gegevens ook daadwerkelijk worden gewist´, stelt hij. ´Wie zegt dat ze dat inderdaad doen ?´ ´Dit soort zaken zijn vooral procedureel. Echt afdwingen kan veiliger hard technisch´, stelt Jacobs. Met dank aan een donatie van stichting NL Net doet op hij dit moment onderzoek naar technieken om een privacyvriendelijke OV-chipkaart te maken. Binnenkort worden daarvan de eerste resultaten bekendgemaakt. Dat politici zeggen niet op de hoogte te zijn geweest van het feit dat iedere reisbeweging van een abonnementshouder zeven jaar wordt bewaard, verbaast Jacobs. ´Het was mij al wel duidelijk dat men de reisbewegingen van abonnementskaarten ging bijhouden´, vertelt hij. ´Dat was mij vanaf het begin was al duidelijk toen ik enig zicht kreeg op de werking van de backoffice´. Overigens geeft dit ´blinde´ vertrouwen van de politici weinig vertrouwen in de privacy van de kilometerdata bij de kilometerheffing. Politici die het voor de hand liggende niet zien, zien dat bij een ander project ook niet….