En goed om door R. de Waard geattendeerd te worden dat het scannen van de kortingskaart het bewaren van persoonlijke reisgegevens tot gevolg heeft. Dat is mij nooit verteld door de NS, conducteurs halen die kaart gewoon door de scanner zonder iets te vragen of uit te leggen. Bedankt, R. de Waard!

Ja, zo’n “pricacy compliance officer” van NS… Bedoeld wordt natuurlijk de compliance (gehoorzaamheid) van de klanten, niet van NS zelf. De hoeveelheid Doublethink die meneer S. Katus uitstort, maakt wel duidelijk dat hij alleen de schijn van redelijkheid probeert op te houden, maar in feite gewoon doorstoomt als een locomotief over zijn eigen spoor.

Toch frappant als hij ergens schrijft: “Klantgegevens geven we in zo’n geval niet graag prijs. Het klantvertrouwen is in het geding.” Wat mij betreft is het klantvertrouwen helemaal niet in het geding. Het is gewoon weg.

Als de NS of andere vervoerders ooit iets van mij nodig hebben wat ze niet kunnen afdwingen, dan zal ik eens flink achter mijn oren krabben. Zal ik de dieven van mijn privacy zomaar iets cadeau geven?

Op nieuw een stap verder naar de “low trust” samenleving.

Maar eigenlijk worden al die ideetjes worden over het algemeen niet erg gewaardeerd, ook niet door de zwijgende meerderheid die er in de loop van de jaren achter gaat komen dat het ‘vroeger inderdaad beter was’.

Van A naar B dat is waar ik de trein voor gebruik.
Al die ‘mijn NS’en, mijn Veolia’s, mijn Connexions, mijn Arriva’s en weet ik wat voor persoonlijke internetpagina’s die je allemaal proberen te binden aan het product NS, Veolia, Connexion, Arriva, etc. etc., daar zit ik helemaal niet op te wachten.

De beveiligers die in webwereld worden geciteerd, hebben in principe gelijk. Deze blog begon met de opmerking dat bij NS groter privacybewustzijn is ontstaan. Waar ik op doelde is dat zowel op het gebied van managementverantwoordelijkheid als op het gebied van professioneel privacy- en informatiebeveiligingsbeleid, NS tegenwoordig zijn (wettelijke) verantwoordelijkheid néémt.

Vertaald naar het webwereld-bericht, zijn professionals op het gebied van privacybescherming en informatiebeveiliging, nu wel degelijk vanaf de tekentafel betrokken. Zo denken we momenteel hard na over de privacyproof inrichting van de data analyse-omgeving (NS analyseert nù nog geen reisgedrag!). Ook in bredere zin wordt alle OV-chipkaart ICT op privacyproofheid tegen het licht gehouden. Belangrijk hierbij zijn Privacy Impact Analyses.

NS Privacygovernance kent als referentiebronnen niet alleen de Wet Bescherming Persoonsgegevens, de Gedragscode OV-chipkaart en – in deze blog nog niet genoemd – de Telecomwet (anti-spamwetgeving), maar vooral ook de Code voor Informatiebeveiliging; de internationale standaard voor ICT-veiligheid (NEN ISO 27001/27002). Onafhankelijke compliancebewaking ligt evenzeer in deze lijn. Vgl. http://nl.wikipedia.org/wiki/Compliance

Veranderingen zijn niet altijd even snel door te voeren. Zo zal de OV-chipkaart worden voorzien van een veiligere chip *zodra dat mogelijk is*. Het feit dat de beveiliging van de chip is gekraakt (chapeau voor de wetenschap!), is vanuit privacyoptiek overigens niet zozeer een probleem. Zoals ik al eerder aangaf, zijn gegevens in het chipgeheugen zowel minimaal als anoniem (Privacy by Design): wat is, in alle redelijkheid, nou het werkelijke *privacy*probleem? Degene die last heeft van een gekloonde kaart, is het vervoerbedrijf (vergrote kans op zwartrijden/fraude).

De opstellers van het webwereld-bericht geef ik nog mee dat het landelijk OV-chipkaartnetwerk géén overheidssysteem is (geen onderdeel van de e-overheid). Dat maakt een verschil: NS wil voor de OV-Studentenkaart bijvoorbeeld een ‘chinese wall’ inbouwen die garandeert dat het Burger Service Nummer *niet* vanuit het Basisregister Onderwijs (IN-Groep/DUO) in het OV-chipkaartdomein terecht kan komen. Ook dit is Privacy by Design.

http://www.ov-chipkaart.nl/pdf/21860/gedragscodeovbedrijven

Wie op basis hiervan een klacht heeft, kan terecht bij NS Klantenservice (zie http://www.ns.nl), om vervolgens eventueel in beroep te kunnen gaan bij de Geschillencommissie Openbaar Vervoer:

https://loket.degeschillencommissie.nl/Web/Site/default.aspx?m=commissie&code=opv

De oude Wet Persoonsregistraties geldt al niet meer sinds 1 september 2001. De Bonuskaartaffaire deed zich voor onder dat oude regime. NS houdt zich aan het thans geldend recht, dus de WBP. Die WBP is weer een uitvoeringswet van harmonisatierichtlijn 95/46/EG, die óók bedoeld is om gebruik van persoonsgegevens voor economische doeleinden te faciliteren. Het lijkt mij dat dit het CBP voldoende bekend is.

Hoewel geen privacy-onderwerp, toch nog een opmerking over Oyster: groot verschil tussen de Oyster-kaart en de OV-chipkaart is dat de OV-chipkaart een kaart is waarmee je in principe terecht kunt bij alle vervoerders in Nederland, en waar je bijvoorbeeld ook je OV-studentenkaart op kunt laden. Dat maakt het OV-chipkaartsysteem exponentieel complexer dan het Oystersysteem, waarmee je alleen kunt reizen in Londen.

Ik wil tot een afronding komen wat deze blog betreft, tenzij er nog indringende privacyvragen zijn. Doel was niet zozeer om een technisch-juridische discussie te voeren, maar om de zienswijze van NS op privacy nader toe te lichten.

Met vriendelijke groet,

Sergej Katus

M.b.t. de betaalkaart. ook nu zijn er nog banken die je geld laten overmaken via een ingevuld papiertje. Ook al bestaat intertnetbankieren.
Net zoals je nog steeds bij het GWK of een bank vreemd geld kunt opnemen voor als je buiten de EU op vakantie gaat. Ook al kun je er pinnen of betalen per creditcard. Zelfs Amerikanen gebruiken nog travelers-checks. Duh.
Dit zijn keuzes. Iedereen kan dan zelf bepalen wat hij wel of niet vertrouwt, cq wil gebruiken.

Het leuke van onheisprofeten is, dat als er niets gebeurt, ze voor gekken versleten worden.
Tot er echter wel iets gebeurt.
Zoals de filosoof George Santayana zei: “Those who cannot remember the past are condemned to repeat it.”
Vrij vertaald: Als je niets van het verleden wilt leren, ben je gedoemd dezelfde fouten nog een keer te maken.
Naar mijn mening zijn we daar een goede bodem voor aan het leggen in dit land. Nu maar hopen dat er niets verkeerd gaat, en er vervolgens sorry gezegd wordt. :->