Nieuws

CBP: opslag reisgedrag OV-chipkaart illegaal

donderdag 9 december 2010, 11:48 door Redactie, 7 reacties

De opslag van reisgegevens door het Amsterdamse vervoerbedrijf GVB, het Rotterdamse vervoerbedrijf RET en OV-chipkaartuitgever Trans Link Systems (TLS) is in strijd met de wet, zo concludeert het College Bescherming Persoonsgegevens (CBP) na onderzoek. Het CBP onderzocht de verwerking van persoonsgegevens bij het in- en uitchecken met de studenten OV-chipkaart.

De bedrijven bewaren de reisgegevens te lang en beschikken niet over een verantwoord beleid voor bewaartermijnen. Volgens het CBP moeten er voorzieningen worden getroffen om onnodige gegevensverwerkingen en misbruik te voorkomen, onder meer door gegevens te verwijderen zodra zij niet meer nodig zijn voor het gestelde doel. Verder informatie de NS studenten niet goed over het in- en uitchecken met een studenten OV-chipkaart. "NS verwerkt nu zonder noodzaak reisgegevens van studenten die in- en uitchecken en dat is in strijd met de wet", aldus de toezichthouder. Studenten zouden onvoldoende informatie krijgen over wat er met hun reisgegevens gebeurt als zij wel in- en uitchecken.

Waarschuwing
Het is niet de eerste keer dat het CBP heeft gewezen op de wettelijke eisen met betrekking tot bewaartermijnen in het kader van de OV-chipkaart. Zo heeft het CBP al in 2005 - vóórdat het OV-chipkaartsysteem in de lucht was – gewaarschuwd dat OV-bedrijven voorzieningen moeten treffen om onnodige verwerkingen van persoonsgegevens en misbruik te voorkomen.

Een van die voorzieningen bestaat eruit dat bedrijven ervoor zorgen dat gegevens worden vernietigd op het moment dat zij niet meer noodzakelijk zijn voor het gestelde doel. Nu blijkt – sinds de inwerkingtreding van de OV-chipkaart in januari en augustus 2009 – dat de bedrijven hiervan geen werk hebben gemaakt waardoor zij de Wet bescherming persoonsgegevens overtreden. Het CBP kan de vervoersbedrijven en TLS een dwangsom opleggen. Het onderzoek kwam aan het rollen toen verschillende studenten bij de toezichthouder over de OV-chipkaart hadden geklaagd.

Update 12:45
Het GVB en RET laten in een reactie aan Security.nl weten dat ze zich wel aan de privacyregels houden. De vervoerbedrijven zeggen dat ze alleen over de transactiegegevens van de studentenkaarten beschikken. "Een database met persoonsgegevens (NAW) studenten OV-chipkaart is alleen bekend bij TLS en daar hebben vervoerbedrijven geen toegang toe."

Wat betreft het bewaren van de persoonsgegevens zouden de vervoerbedrijven al langere tijd in gesprek met het Ministerie van Financiën en de Belastingdienst zijn. Het gaat dan over bewaartermijnen vanuit fiscaal oogpunt enerzijds en vanuit privacy oogpunt anderzijds. Beide vervoersbedrijven willen naar aanleiding van het rapport in gesprek met het CBP gaan. "Na overeenstemming van de bewaartermijnen kan gestart worden met implementatie van het beleid."

Microsoft patcht Office 2008, laat 2004 zitten

Onderzoekers prijzen nieuwe "adblocker" IE9

Reacties (7)

09-12-2010, 11:54 door spatieman

denk je echt ,dat, DAT soort bedrijven zich daar wat van aantrekken ?

09-12-2010, 12:10 door Syzygy

en hoe zit het dan met mijn Airmiles kaart, aan de hand daarvan kun je ook zien waar ik geweest ben, wat ik koop, en mijn AH Bonus kaart en mijn ING betaalpas, je Bibliotheek kaart etc. etc.

09-12-2010, 12:20 door Anoniem

@Syzygy, Daarvoor heb je voorwaarden geaccepteerd. Eigen verantwoordelijkheid. Je kan je airmiles kaart niet gebruiken, en alles contant betalen. (geld pinnen bij 1 automaat en altijd dezelfde gebruiken, weten ze alleen dat je vlak bij die automaat woont)

Een student heeft 'recht' op OV. Nu moeten ze ineens gaan inchecken van het "systeem"... Daar zit best een verschil!

09-12-2010, 12:20 door Preddie

Door Syzygy: en hoe zit het dan met mijn Airmiles kaart, aan de hand daarvan kun je ook zien waar ik geweest ben, wat ik koop, en mijn AH Bonus kaart en mijn ING betaalpas, je Bibliotheek kaart etc. etc.

Die staan aangemeld bij het CPB met een doel ..... teminste, de meeste dan..... officieel moetje elke manier verwerking van persoonsgegevens aanmelden bij het CPB.

Het probleem is dus niet zo zeer dat zij de gegevens verzamelen maar dat zij geen vooraf aangegeven doel hebben om te gegevens te verzamelen. Wat dus impliceert dat zij de gegevens verzamelen omdat ze voor hun beschikbaar zijn en dan later nog maar eens gaan kijken wat ze met die gegevens gaan doen. Precies waar menig persoon op security.nl toen gewaarschuwd heeft.

Het kan dus zijn dat zij de gegevens gebruiken om reclame mee te maken, maar ook om bijv, te delen met politie en justitie of andere belang hebbende partijen. Sja en wat je nu, we zijn namelijk weer op een punt beland waar iedereen van te voren voor gewaarschuwd is....... Het is nog even wachten tot dat bekend wordt dat verzekeringsmaatschappijen toegang krijgen tot het EPD..... zeker is dat het gebeurt, alleen reist de vraag: wanneer?

09-12-2010, 16:04 door Syzygy

Wat ik wil zeggen is dat je van alle kanten in de gaten wordt gehouden en als de nood aan de man is worden alle gegevens zo overgedragen aan de instanties die daarom mekkeren in het kader van het landsbelang.

De code van de lob in de cel waarin je je met je GSM bevindt wordt ook opgeslagen.
Als er een aanlag wordt gepleegd en je bent verdachte dan wordt aan de Politie zo doorgegeven waar je op dat ogenblik was (althans je GSM).

Ik bedoel maar te zeggen, het is niet juist dat de gegevens van de OV chipkaart worden opgeslagen maar als je daartegen protesteert om in de anonimiteit te blijven dan zijn er nog wel andere zaken die je op de kaart zetten

09-12-2010, 17:48 door SirDice

Men heeft het hier overigens continue over de studenten OV-chipkaart. Hoe zit dat met de 'gewone' OV-chipkaart gegevens?

Ik krijg nu de indruk dat de studenten OV-chip gegevens en de gegevens voor de 'gewone' OV-chip verschillend worden behandeld. Gelden daar verschillende regels voor? Naar mijn idee zijn die privacywetten voor iedereen en zouden die gegevens dus ook hetzelfde behandeld moeten worden.

13-12-2010, 13:38 door Anoniem

Van mij mogen ze me in de gaten houden, ik reis elke dag door Nederland met diverse OV-voertuigen en heb totaal niks te verbergen!

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer