OV chipkaart

Context
In zijn rapportage “permanente structuur en splitsing TLS” van 18 april 2012 stelt de kwartiermaker ter behartiging van publieke belangen voor om een permanente structuur met een vorm van doorzettingsmacht in te stellen en te komen tot een herpositionering van TLS...

...Borging van publieke belangen
Het herpositioneren van TLS is complementair aan het oprichten van het samenwerkingsplatform inde toekomstige governance ten behoeve van het borgen van de publieke belangen rondom het OVbetalen,metnamedevolgendevierbelangen:

  • Het belang van de (concessieoverschrijdende) reiziger om gebruik te kunnen maken van een beschikbaar, toegankelijk, veilig, betrouwbaar, betaalbaar, transparant en gebruiksvriendelijk OV-betalingsdomein; 

  • Het belang van de efficiënte uitvoering van (monopolistische) TLS-activiteiten en legitieme bepaling van TLS-tarieven; 

  • Het belang van de toegankelijkheid van het OV-betalingsdomein voor andere marktpartijen (o.a. met het oog op innovatie en toetreding); 

  • Het belang van de beschikbaarheid van data ten aanzien van vervoersstromen, voor o.a. regionale en landelijke optimalisatie van het openbaar vervoer en de concessieverlening. 


Hieronder wordt toegelicht welke rol TLS met betrekking tot deze belangen speelt, zodat deborging hiervan mede door een herpositionering van TLS kan worden versterkt...

Criteria voor de herpositionering van TLS

IenM hanteert een aantal criteria voor de herpositionering van TLS. Voorop staat dat er sprake moet zijn van daadkrachtige besluitvorming ten behoeve van de reiziger. 

De structuur moet toekomstvast zijn. Tegelijkertijd moet er rekening kunnen worden gehouden met ontwikkelingen in de Nederlandse OV- en betaalmarkt. Nieuwe vervoerders moeten kunnen instappen bij het betreden van de Nederlandse markt, zodat er wordt voldaan aan de regels voor concurrentie en marktwerking. Tegelijkertijd moet het voor aanbieders van innovatieve betaalsystemen ook mogelijk zijn proposities voor het OV-betalen mogelijk te maken. Het ontwikkelen van activiteiten met de OV-chipkaart buiten het openbaar vervoer zal worden getoetst aan de behoefte van reizigers hiernaar...

Aanpassingen aan het systeem, en de verdeling van kosten hierbij is een zeer belangrijk punt. Er moeten duidelijke afspraken zijn over de financiering van investeringen in het OV-betaalsysteem. In de visie van IenM kunnen zogenaamde need to have systeemwijzigingen die belangrijk zijn voor het borgen van de publieke belangen worden gefinancierd vanuit het samenwerkingsplatform, de financiële middelen van TLS of via een verhoging van de TLS-tarieven (voor zover deze binnen het domein van TLS vallen). Investeringen die in het domein van de vervoerders vallen kunnen worden gefinancierd vanuit bestaande middelen van vervoerders en/of TLS, een verhoging van de TLStarieven of een verhoging van de tarieven van de vervoerders.

Alles bij de bron; RijksOverheid

Het blijkt kinderlijk eenvoudig om online het reisgedrag te volgen van mensen die een anonieme ov-chipkaart gebruiken. Daarvoor is alleen het kaartnummer en de vervaldatum nodig en die staan beiden op de kaart zelf. 

Het privacylek kwam aan het licht toen anonieme ov-chipkaart-gebruiker Edo-Martijn Janssen op de website ns.nl een account aanmaakte voor zijn kaart. Via zo’n account is het mogelijk online een transactieoverzicht in te zien, inclusief de plaatsen waar is in- en uitgecheckt. Als test maakte Janssen een account aan onder de naam Pietje Puk die woont op het hoofdkantoor van de NS. Daar koppelde hij via een anoniem e-mailadres vervolgens moeiteloos ov-chipkaarten van gezinsleden aan, wiens reisgedrag Pietje Puk dus allemaal nagenoeg real time ongemerkt kon volgen. 

Via de website ov-chipkaart.nl blijkt het nog makkelijker te gaan. Daar kan je anonieme ov-chipkaarten aan een account koppelen door alleen het kaartnummer en de vervaldatum van die kaarten in te voeren. Snel even deze gegevens van iemands kaart overpennen is dus voldoende om vervolgens ongemerkt het reisgedrag van die persoon per trein, metro, bus of tram te volgen.

De truc werkt alleen op ov-chipkaart.nl, de site van Trans Link Systems, het bedrijf achter de ov-chipkaart. Op Ns.nl kunnen ov-chipkaarten ook gekoppeld worden. Volgens NRC vereist de NS dat de gebruiker van de anonieme kaart om de registratie te valideren eerst bij een kaartautomaat een 'kaartservicecode' aan te vragen. Pas daarna kunnen de transactiegegevens kunnen worden ingezien. Die extra beveiliging heeft Trans Link Systems niet, waardoor bijvoorbeeld het maken van een foto van de kaart voldoet om iemands ov-reizen te kunnen volgen.

Alles bij de bron; NRC, Tweakers

Vanaf het najaar kunnen consumenten met een ov-chipkaart producten kopen bij winkels op het station. NS Stations Retailbedrijf werkt hiervoor samen met verschillende banken. 

NS Stations Retailbedrijf begon al begin 2011 met een test met betalen via ov-chipkaart bij de winkels op station Amersfoort. Het ging om een proef met onder meer vijfhonderd medewerkers van TLS, het bedrijf achter de ov-chipkaart, die hun chipkaart onder andere bij Burger King en de Broodzaak als betaalpas konden gebruiken. Betalen met de chipkaart verloopt contactloos via rfid: het pasje moet bij een speciale lezer worden gehouden, waarna de transactie binnen één of twee secondes afgerond is.

De bedoeling is dat straks niet alleen producten met de kaart aangeschaft kunnen worden, maar dat ook bijvoorbeeld huurfietsen op het station ermee betaald kunnen worden. Daarnaast denkt NS Station Retailbedrijf aan het betalen van parkeerplekken met de kaart. Volgens het bedrijf is een voordeel voor consumenten dat afrekenen met een ov-chipkaart sneller gaat dan pinnen of chippen.

Alles bij de bron; Tweakers

 

De stichting stelt dat de anonieme OV-chipkaart vanwege een uniek identificatienummer in de RFID-chip niet anoniem is. Het is hiermee nog steeds mogelijk om reizigers achteraf te identificeren en te traceren middels koppeling van transactiegegevens.

"In de optiek van Privacy First vormt dit een schending van twee mensenrechten, namelijk de vrijheid van beweging in combinatie met het recht op privacy, oftewel het klassieke recht om in eigen land vrij en anoniem te kunnen reizen." Er wordt dan ook gepleit voor het invoeren van een anonieme OV-chipkaart die daadwerkelijk anoniem is.

Een ander punt is de huidige bewaartermijnen van OV-chipkaartgegevens. Die dienen volgens Privacy First tot een absoluut noodzakelijk minimum te worden teruggebracht. "Tevens dient aan reizigers de optie te worden geboden om hun reisgeschiedenis op ieder gewenst moment te kunnen wissen."

Alles bij de bron; Security

Tot nu toe was het voor reizigers die hun kaart delen of hun persoonlijke gegevens niet bekend willen maken, niet mogelijk om een anonieme kaart te laten registreren. Reizigers konden daarom alleen hun laatste tien reizen uit laten printen bij een balie. Daar komt volgens Anita Hilhorst van beheerder Trans Link Systems nu verandering in. „We zijn sinds vrijdag aan het testen en het systeem werkt goed.” 

Net als reizigers met een OV-chipkaart op naam kunnen anonieme gebruikers nu een ’Mijn OV-chipkaart account’ aanmaken. Voor bestaande gebruikers is het daarnaast ook mogelijk om een anonieme kaart toe te voegen aan hun profiel. Een inlognaam kan dus bestaan uit meerdere OV-chipkaarten, zowel anonieme als persoonlijke kaarten.

Volgens het College Bescherming Persoonsgegevens (CBP) is het wel de vraag hoe anoniem de kaart nog is als er bij het registeren bijkomende gegevens nodig zijn. Gebruikers met een anonieme kaart hebben bij het aanmelden een werkend e-mailadres nodig. Het CBP concludeerde eerder dat de NS e-mailadressen van anonieme OV-chipkaarthouders die hun saldo via de website van NS activeerden, gebruikt voor marketingmailtjes. Hilhorst verzekert dat dit bij TLS niet het geval zal zijn.

Wie met korting wil reizen, zal nog steeds een persoonlijke kaart aan moeten vragen. Bij NS wordt het vanaf maart 2013 wel mogelijk om met korting op een anonieme OV-chipkaart te reizen.

Alles bij de bron; spitsnieuws

Een groep Australische beveiligingsonderzoekers is erin geslaagd om chipkaarten van een vervoersbedrijf te kraken. De vier beveiligingsonderzoekers, die zich TrainHack noemen, hebben hun bevindingen openbaar gemaakt tijdens een presentatie op een beveiligingsconferentie in Melbourne, zo meldt SC Magazine. Volgens de vier bleek de toegepaste cryptografie van de vervoersbewijzen van een niet nader genoemd openbaarvervoerbedrijf sterk verouderd, hoewel het bedrijf een eigen variant had toegepast.

Net als bij het hacken van de Nederlandse ov-chipkaart hadden de onderzoekers genoeg aan vrij verkrijgbare en goedkope hardware, waaronder enkele kaartlezers. In totaal zouden de vier een week nodig hebben gehad om de gedateerde encryptie op de kaarten te kraken, waardoor het mogelijk zou zijn om gratis te reizen bij de desbetreffende vervoerder.

Alles bij de bron; tweakers

De NS heeft de OV-chipkaart misbruikt om persoonsgegevens te verzamelen voor marketingdoeleinden. Ook gegevens van zogenaamd anonieme OV-chipkaarthouders zijn verzameld. Als ze hun saldo via de website van de NS activeerden, werden hun e-mailadressen voor reclamedoelen gebruikt. Dat concludeert het College Bescherming Persoonsgegevens (CBP) in een vandaag gepubliceerd onderzoek.

Zo werd reizigers niet om toestemming gevraagd om de informatie te gebruiken. Ook hield de NS een gedetailleerd beeld bij van het reisgedrag van OV-chipkaarthouders, terwijl de voorwaarden juist moeten voorkomen dat een beeld ontstaat van wie op welk tijdstip waar heeft gereisd.

De NS krijgt geen boete of een andere vorm van straf opgelegd omdat inmiddels maatregelen zijn getroffen. De verzamelde e-mailadressen van ‘anonieme’ OV-chipkaarthouders zouden zijn vernietigd. De spoorvervoerder is hierdoor niet meer in overtreding, stelt het CBP.

Alles bij de bron; nrc

De RET heeft het College Bescherming Persoonsgegevens (CBP) een boete van 120.000 euro betaald omdat het de reisgegevens van studenten met een OV-chipkaart bewaarde. Het CBP had RET in juni 2011 een last onder dwangsom opgelegd voor het in strijd met de wet bewaren van reisgegevens.

De RET bleek in juni inderdaad de maximale bewaartermijnen te hebben ingevoerd, maar had de reisgegevens niet vernietigd of afdoende geanonimiseerd. De vervoerder verklaarde de reisgegevens te anonimiseren, maar het bleek toch mogelijk om reizigers te identificeren en onbegrensd te volgen. De RET gaat wel in bezwaar tegen de boete.

Alles bij de bron; security

 

Abonneer je nu op onze wekelijkse nieuwsbrief!
captcha