Reisgedrag gebruikers anonieme ov-chipkaart eenvoudig in te zien

Een kaartlezer voor de ov-chipknip op een NS-station. De reisgegevens van een anonieme ov-chipkaart zijn eenvoudig in te zien.
Een kaartlezer voor de ov-chipknip op een NS-station. De reisgegevens van een anonieme ov-chipkaart zijn eenvoudig in te zien. ANP / Valerie Kuypers

Het blijkt kinderlijk eenvoudig om online het reisgedrag te volgen van mensen die een anonieme ov-chipkaart gebruiken. Daarvoor is alleen het kaartnummer en de vervaldatum nodig en die staan beide op de kaart zelf.

Kaartnummer en vervaldatum voldoende

Het privacylek kwam aan het licht toen anonieme ov-chipkaart-gebruiker Edo-Martijn Janssen op de website ns.nl een account aanmaakte voor zijn kaart. Via zo’n account is het mogelijk online een transactieoverzicht in te zien, inclusief de plaatsen waar is in- en uitgecheckt. Als test maakte Janssen een account aan onder de naam Pietje Puk die woont op het hoofdkantoor van de NS. Daar koppelde hij via een anoniem e-mailadres vervolgens moeiteloos ov-chipkaarten van gezinsleden aan, wiens reisgedrag Pietje Puk dus allemaal nagenoeg real time ongemerkt kon volgen. Janssen moest met de kaarten die hij wilde koppelen nog wel even langs een NS-automaat om de koppeling te activeren.

Via de website ov-chipkaart.nl blijkt het nog makkelijker te gaan. Daar kan je anonieme ov-chipkaarten aan een account koppelen door alleen het kaartnummer en de vervaldatum van die kaarten in te voeren. Snel even deze gegevens van iemands kaart overpennen is dus voldoende om vervolgens ongemerkt het reisgedrag van die persoon per trein, metro, bus of tram te volgen. Om persoonlijke kaarten te koppelen moet op ov-chipkaart.nl ook nog geboortedatum en postcode worden ingevoerd. Die laatste staat niet op de persoonlijke kaart, dus is het iets lastiger om via die kaarten iemands reisgedrag te volgen.

‘Ongemerkt iemand volgen’

Janssen is erg verbaasd over de zwakte in de website ov-chipkaart.nl, waar kaartnummer en vervaldatum dus al voldoende zijn. Janssen:

“Een stalker kan iemand zo ongemerkt volgen. En een inbreker kan zien wanneer iemand van huis is. Ik noem maar wat voorbeelden.”

Maar dan moeten ze wel ooit die ov-chipkaart gezien hebben om het nummer en de vervaldatum te weten? Janssen:

“Dat klopt. Dichter bij huis kan je bijvoorbeeld denken aan de partner die op deze manier makkelijk te volgen is, een werkgever die werknemers controleert wanneer ze zich ziek melden, of ouders die hun kinderen bespioneren.”

Stichting Privacy First neemt kwestie hoog op

Stichting Privacy First reageert verontwaardigd over het gevonden privacylek. Directeur Vincent Böhre:

“Het is een schande dat ieders reisgegevens zo makkelijk te traceren zijn. Wij nemen deze kwestie hoog op en verwachten snelle maatregelen van de verantwoordelijke ov-bedrijven, bijvoorbeeld een e-mailbericht bij koppeling van je ov-kaart aan andermans account.”

Trans Link Systems: op verzoek van consumentenorganisaties

Volgens een woordvoerder van Trans Link Systems, het bedrijf achter de ov-chipkaart en ovchipkaart.nl, is het op verzoek van consumentenorganisaties ook voor bezitters van anonieme ov-chipkaarten mogelijk gemaakt om online transacties in te zien. Dat ze daardoor ook makkelijk te volgens zijn is daar volgens haar de consequentie van. “We weten verder niets van die mensen. We kunnen ze bij het inloggen dus alleen vragen om hun kaartnummer en de vervaldatum.” Op het feit dat bij de NS-website in ieder geval nog activatie bij een automaat nodig is, gaat ze verder niet in.

Er worden in Nederland zo’n vijf miljoen anonieme ov-chipkaarten gebruikt. Niet alleen door privacyliefhebbers, maar ook door mensen die samen op één kaart willen reizen. Bij persoonlijke kaarten kan dat niet. Daarvan zijn er in Nederland ruim 7,5 miljoen in gebruik.