Het College Bescherming Persoonsgegevens (CBP) dreigt het Amsterdamse vervoerbedrijf GVB met een dwangsom als dit vervoersbedrijf niet op korte termijn de privacy van burgers die met een OV-chipkaart reizen beter beschermt.
De werking van de OV-chipkaart van het Amsterdams Gemeentelijk Vervoerbedrijf (GVB) in het metronet is in strijd met de Wet Bescherming Persoonsgegevens (WbP). Dat stelt het College Bescherming Persoonsgegevens (CBP) in een onderzoeksrapport. Als toezichthouder dreigt het CBP het GVB nu met het opleggen van een dwangsom . "Het gaat daarbij om bedragen die vroeg of laat tot het faillissement van een bedrijf kunnen leiden", zegt Jacob Kohnstamm, voorzitter van het CBP.
Het GVB draait als een van de eerste openbaarvervoerbedrijven in de metro proef met de OV-chipkaart. De bezwaren van het CBP gaan niet over de (bijna) gekraakte rfid-chip van NXP die in de kaart verwerkt is, maar over de privacybescherming van reizigers. "De werking van de OV-chipkaart zoals de GVB die heeft ingevoerd, is in strijd met de wet", aldus Kohnstamm.
Onvoldoende maatregelen
Het GVB heeft volgens het CBP onvoldoende maatregelen genomen om databanken met naw- en reisgedraggegevens van elkaar te scheiden. Alle gebruikte databanken zijn daarnaast onvoldoende beveiligd en de opgeslagen gegevens worden te lang bewaard. Verder vraagt het GVB aan de reiziger geen toestemming voor het gebruiken van reisgegevens voor marketingdoeleinden. Dat is wettelijk vereist. Het GVB informeert de reiziger ook niet over het gebruik van deze gegevens. Tot slot valt het CBP over de aanschaf van een persoonlijke OV-chipkaart zonder GVB-product. GVB slaat bij die aankoop nu persoonsgegevens op. Die handeling maakt volgens het CBP inbreuk op de privacy van reizigers.
Volgens Kohnstamm bereikte hem gisteravond "een briefje" waarin het GVB aangaf op onderdelen tegemoet te willen komen aan de eisen van het CBP. Het ging daarbij echter niet om ‘relevante onderdelen’. Kohnstamm: "De bereikte irritatiegraad en de weigerachtigheid van het GVB om überhaupt de wet na te leven is zodanig dat we de fase van vrijblijvend overleg ruimschoots voorbij zijn."
Reactie GVB
Op een aansluitende persconferentie zei directeur van het GVB, Gert-jan Kroon, dat het GVB zo veel mogelijk tegemoet wil komen aan de eisen van het CBP. Hij kreeg de lachers op zijn hand met de uitspraak: "We gaan ons dus aan de wet houden." Kroon ging kort in op de punten van kritiek van het CBP.
Kroon: "Het CBP zegt dat de GVB persoonsgegevens niet mag opslaan op een persoonlijke OV-chipkaart zonder GVB-product. Wij hebben besloten dat niet te doen. Daarmee voldoen wij onverkort aan datgene wat de wet voorschrijft." Daarnaast belooft het GVB om tot 2010 geen informatie over reizigersgedrag te verzamelen en te gebruiken voor marketingdoeleinden.
Kroon gaf aan dat het GVB niet volledig kan voldoen aan de eis van het CBP om persoonsgegevens minder lang te bewaren, omdat dat zou botsen met een door de fiscus voorgeschreven termijn. Om te voldoen aan de eis om betere beveiligingsmaatregelen te nemen, zowel op technisch als organisatorisch niveau, laat het GVB volgens Kroon "de komende tijd audits uitvoeren, om reeds bestaande privacymaatregelen te verbeteren. De aanbevelingen die hieruit volgen zullen we dan ook implementeren."
Tot slot belooft het GVB de reiziger beter te informeren over het gebruik van persoonsgegevens.
Is de Rotterdamse RET ook al eens op deze manier tegen het licht gehouden? Zij draaien ook al een hele tijd proef.
Waarom staat er een foto van een Bommetje terwijl t over GVB gaat, hadden ze dat kloekblik er niet op kunnen zetten??