Voor wat betreft de huidige ov-chipkaarten (en bankpassen of wearables) gaat dat niet gebeuren natuurlijk. TLS heeft inzage in je reisgegevens nodig om de prijs van een reis te bepalen.
Bij reizen op saldo kunnen ze na een uitcheck (complete reis) alles natuurlijk na enkele weken ‘wissen waar je geweest bent’ (en het dan bekende saldo op de kaart aanhouden om te voorkomen dat daarmee gerommeld wordt)…
Blijft het ‘probleem’ dat ze wel moeten weten welk abonnement je op je kaart hebt staan, en sommige vervoerders leveren transacties zomaar pas weken later aan (buurtbusjes en zo, maar bij NS is enkele weken later ook geen uitzondering).
Over jou (en je kaart) moet simpelweg dus van alles bekend zijn in systemen. Anders kloon ik mijn kaart en maak ik morgen (en overmorgen etc.) dezelfde of een andere reis op hetzelfde saldo.
Bovendien zijn transactiegegevens nogal belangrijk voor vervoerders (al dan niet anoniem). Dat jijzelf helemaal geen behoefte hebt aan inzicht in je reizen (voor jezelf of door vervoerders) doet er niet toe, want de ov-strippenkaart komt echt niet meer terug.
Bij persoonlijke kaarten moet het volgens mij ook voor de Belastingdienst bijgehouden worden.
En hoe kom je erbij dat het in plaintext op de server wordt opgeslagen?
Meer informatie kun je hier vinden (niet zozeer over de reishistorie, maar wel als je een klacht o.i.d. zou willen indienen): https://www.ns.nl/privacy/rechten-betrokkenen.html
Op zich heb je recht op vergetelheid om je gegevens te wissen. Lees dat eerst maar eens goed (vanuit de organisatie die jouw gegevens veilig dient te beheren).
Jij als ik werk in de cybersecurity en het is niet zo'n fris idee om dingen te bewaren weet beter, log files (alles) zijn heilig als er ook maar iets mis gaat! Zelfde branch gewerkt lang geleden, dus ik weet waar ik over spreek (open ftp en telnet servers en Windows kwetsbaarheden). Zelfs de nodige ‘honey pots’ opgezet voor hackers en zo, probeer maar!
Hoe dan ook, ik ben super zuinig met locatie-gegevens opslaan via Google/Android (Maps en zo hebben zogenaamd geen flauw idee, dat staat gewoon uit!), maar ze weten het toch wel als ik hun services gebruik. Ze mogen er totaal niets mee (want dat heb ik aangegeven), maar ze hebben die gegevens dus wel.
Google als zoekmachine gebruik ik niet en YouTube heeft echt geen flauw idee welke filmpjes ik ooit bekeken heb. Ze vragen het natuurlijk wel elke keer “zet je historie aan voor betere resultaten” als ik toevallig ingelogd ben met een Google account (en daar heb ik er meerdere van, zoals werk en privé en hobby en zo).
Ik zie het probleem dus niet zo, tenzij iemand die mijn persoonlijke ov-chipkaartnummer en de einddatum weet in mijn reishistorie kan kijken (hou je kaart dus uit de buurt van ‘kwaadwillenden’).
Ja, de NS en TLS/OV-chipkaart kunnen gegevens inzien, want daar heb je toestemming voor gegeven bij aanschaf van de kaart of een abonnement, en bij NS Flex al helemaal (ook inzicht in je reizen met bus/tram/metro en andere treinvervoerders).
Als door een datalek of hack jouw gegevens ‘op straat komen te liggen’ dan is dat vette pech (en zul je niet de enige zijn). Maar wat zou een willekeurige hacker precies met jouw reishistorie willen doen?
De insteek snap ik wel (een AH of ALDI of LIDL hoeft helemaal niet bij te houden wat ik daar koop, want geen Bonuskaart en zo…) maar dat zullen ze toch wel doen als ik met PIN betaal.
30 jaar geleden zei een vriend al tegen me dat PIN betalingen gevaarlijk waren, want ‘stel dat jij drie keer per week een krat bier of wijn (of tabak/rookwaar) koopt voor je buurvrouw die slecht ter been is’ kan een zorgverzekeraar je zomaar bestempelen als drinker/roker (met alle gevolgen), terwijl jijzelf helemaal niet rookt of veel bier drinkt.
Nou ja, dan maar cash betalen (en als het toch voor de buurvrouw/man is geeft die je maar wat geld mee). Ik neem trouwens zomaar aan dat banken en supermarkten/slijterijen geen gegevens gaan delen met zorginstellingen of zo, maar je weet het niet…
Wat je (on-topic, maar metafoor) dus wilt is dat de een willekeurige winkel alle camerabeelden waarop jij zichtbaar/herkenbaar bent wist op jouw verzoek, of eigenlijk jou helemaal nooit op beeld mag zetten (film-me-niet register)? Succes daarmee!
Stel je kan je eigen encryptie-sleutel op je OV-kaart zetten.
Welja, genereer (en bewaar zorgvuldig) een eigen SHA256 key voor de info op je kaart (en geef die door aan TLS om de kaart tóch te kunnen lezen).
Zou dat niet hetzelfde zijn als een pincode of wachtwoord, zoals op een bankpas?
Wees gerust, jijzelf kan helemaal niets op een ov-chipkaart of bankpas zetten of versleutelen, behalve je pincode wijzigen. Wel lachen dit topic @Henk_NL
Maar ja, jouw reishistorie ligt dus ‘te grabbel’ voor iedereen die je ov-chipkaartnummer en de einddatum weet.
Hoe zorgelijk dat voor jou is (of anders maar niet op een persoonlijke ov-chipkaart met NS abonnement reizen ) Zelf weten dus…
TS @Slagroomwolk geeft aan met een (saldo) abonnement te willen reizen zonder dat iemand weet waar je ooit was… Want dat weten alleen de poortjes/paaltjes, en hoeft verder niemand te weten of te bewaren want het is ter plekke van het saldo op mijn kaart afgetikt) Bij een anonieme kaart of bankpas prima (voltarief).
Maar met jouw creditcard nummer plus https://www.creditcard.nl/faq/cvc-code kan ik ook zomaar iets kopen… Oei wat ernstig zeg! Let op: Die code zit dus niet opgeslagen in de magneetstrip of chip van de kaart.