[OV chipkaart] geen privacy meer. Wat nu?

_Christiaan_ schreef op donderdag 05 februari 2009 @ 20:55:
Een mogelijke oplossing voor de studenten die hun privacy wel op prijs stellen:


[...]


Dus gewoon je echte OV chipkaart in je zak houden, en met de simulator in- en uitchecken. Gezien het feit dat dit een aanvaardbaar risico wordt gevonden ( ) zal het nog wel een tijdje mogelijk blijven. Het is een kwestie van tijd voordat het hele systeem door de hacking community onderuit wordt gehaald, de simulators of neppasjes voor een drol en een ei op Marktplaats staan en iedereen 'gratis' kan reizen.

ik vind het "kraakbare" echt een compleet non-argument (nofi uiteraard) in de OV chipkaart discussie. De strippenkaart was ook niet bepaald fraudevrij.
Geen enkel systeem is waterdicht en het betekent al helemaal niet dat iedereen z'n kans pakt om lekker gratis te reizen.
Creditcards kan mee gefraudeerd worden en toch doet niet iedereen het. Nummerplaten van auto's kun je mee sjoemelen en toch rijdt het gros gewoon rond met geldige platen.
Door de tijd heen zullen er aanpassingen komen om het misbruik probleem te verhelpen. En dan zijn er weer mensen die dat weten te kraken en dan wordt het weer aangepast etc...

[ Voor 33% gewijzigd door YellowCube op 05-02-2009 21:07 ]

Roenie schreef op donderdag 05 februari 2009 @ 20:02:
[...]
Leuk en aardig, maar dat vind jij handig, maar dat hoeft dus niet voor iedereen. Laten ze dan iets maken waarbij jij een abonnement kunt hebben waarbij je al die voorzieningen hebt en ik een abonnement waarbij ik ongeregistreerd kan reizen binnen een gebied en tijd. Het is toch niet of...of?

Wat ik in mijn vorige post duidelijk probeerde te maken is dat je een systeem ontwerpt aan de hand van requirements. Eén van de requirements is bijv. dat mensen een bonnetje moeten kunnen uitprinten voor declaratie bij hun werk. Dat niet alle requirements voor jou noodzakelijk zijn, dat is kort gezegd jouw probleem. Ik weet vrij zeker dat er op je mobieltje ook functies zitten die je nog nooit gebruikt hebt.

Ik vraag me trouwens af wat voor automatische afschrijving je dan nodig hebt, want een abonnement is over het algemeen iedere maand hetzelfde bedrag. Anders zit je meer in de hoek van een 'strippenkaart' op naam. Ook best natuurlijk als je dat wilt, dar niet van.

Ben je me nou voor de gek aan het houden of weet je echt niet hoe de OV-chipkaart werkt? De chipkaart is inderdaad niet alleen een vervanger van de abonnementen maar óók van de strippenkaart. Daarvoor kan je een tegoed op je kaart zetten. Je betaalt dan een startbedrag en een bedrag per kilometer. Wat je in kan stellen is dat het tegoed automatisch met een x bedrag wordt aangevuld als het beneden de 5 of 10 euro komt. Heel handig om te voorkomen dat op zondag je strippenkaart op is en je nergens in de omgeving meer zo'n flutpapiertje kan kopen.

Wat is er zo moeilijk aan een abonnementskaart te ontwikkelen die bij bepaalde stations/bussen het hekje open zet en bij andere juist niet, dat alles zonder reisgegevens op te slaan?

Dat is helemaal niet moeilijk, als je met zo'n systeem aan je requirements zou kunnen voldoen. Je hebt het hier al alleen over een abonnementskaart, dus voor het gemak sla je de vervanging van de strippenkaart alvast over. TLS heeft een aantal requirements opgesteld en aan de hand daarvan is dit systeem ontworpen. Daarbij zijn door verschillende partijen randvoorwaarden opgesteld, zoals door het CBP, die zegt dat de DBs gescheiden moeten zijn of de brandweer, die stelt dat je in geval van brand door de poortjes heen moet kunnen (één van de redenen waarom je dwars door die poortjes kan lopen). En ze hebben ook requirements opgesteld over de beveiliging van de kaart. En die laatste requirements zijn misschien verkeerd opgesteld, maar ze hebben nu de bedrijfseconomische overweging gemaakt om die kaart pas te vervangen als de schade door de slechte beveiliging te groot wordt.

mr_obb schreef op vrijdag 06 februari 2009 @ 08:24:
En die laatste requirements zijn misschien verkeerd opgesteld, maar ze hebben nu de bedrijfseconomische overweging gemaakt om die kaart pas te vervangen als de schade door de slechte beveiliging te groot wordt.

En daarnaast heeft MiFare inmiddels een upgrade pad van de kwestbare chip naar een (nog) niet kwetsbare chip die economisch gezien een stuk voordeliger is dan overstappen naar een andere chip.

YellowCube schreef op donderdag 05 februari 2009 @ 13:02:
[...]

Mocht het wel waar zijn, dan moet die persoon dat onmiddelijk aankaarten i.p.v. een ikje naar de krant te sturen.

Ik heb hem kennelijk niet duidelijk genoeg uitgelegd. Het 'ikje' ging over het foute saldo, het telefoontje kwam de dag na de publicatie in de krant. Toen het NRC.next een 2-pagina's breed artikel schreef over de risico's van de OV-chipkaart, is dat verhaal erbij gezet. Ik kan dat artikel zo gauw niet vinden.

Alex) schreef op donderdag 05 februari 2009 @ 13:17:
[...]
Ontopic: het is de vraag tot in hoeverre dat Ikje waar is... evenzogoed is het verzonnen, juist om de OVC qua privacy in diskrediet te brengen.

Zoals hiervoor al staat stond niet in het ikje dat er gebeld was, dat stond in een artikel 2 weken later. En ik hoop/neem aan dat het NRC zijn bronnen checkt, 't is niet de telegraaf

RM-rf schreef op donderdag 05 februari 2009 @ 12:51:
[...]


Mensen die roepen dat wetgeving niks uit zou maken, 'omdat het toch overtreden kan worden' diskwalificeren zich volgens mij in een serieuze discussie over privacy-grenzen.
Overigens, ik ben dus wel tegen de toepassing van RFID uitleesmogelijkheden in de OV-kaart omdat ik vooral de fraudegevoeligheid sterk vrees... dat is echter een argument dat losstaat van de discusie ovver persoonlijke levenssfeer...d dan gaat het gewoon over de vraag of een systeem ook technisch kan voldoen aan de gestelde eisen

Ik neem aan dat je op mij doelt? In het verleden zijn al een paar keer dingen ingevoerd die absoluut niet de privacy zouden schenden, omdat de gegevens nergens aan gekoppeld zouden worden. Als ik me niet vergis valt het sofi-nummer daar ook onder. In verband met makkelijker opsporen van illegalen, gemak voor de consument en nog wat non-argumenten wordt dat nu juist gebruikt om alles aan elkaar te koppelen onder de noemer BSN. Wie zegt mij dat de OV-chipkaart niet hetzelfde lot heeft? Het is soms heel verstandig om in de geschiedenis te kijken.

_Christiaan_ schreef op donderdag 05 februari 2009 @ 18:06:
Even over het GSM verhaal:

Ja ik heb een GSM, maar voor zover ik weet, en voor zover ik op Google heb kunnen zoeken, worden je locatiegegevens niet of slechts kort opgeslagen. De providers wìllen dit niet eens. Wat zou in godsnaam de zin zijn om 7 jaar de locatie vast te leggen? Het klopt gewoon niet.

Fout, de politie kan in elk geval een paar weken nadien nog de logs opvragen. Wettelijk verplicht ofzo.

Bovendien, als ik mijn GSM de ingebouwde positiebepaling puur aanzet "Op basis van netwerk" en zonder "Assisted GPS" en zonder "Ingebouwde GPS", dan zit je aan een zeer belabberde nauwkeurigheid. Daar bovenop, heb ik meer vertrouwen in mijn provider wat betreft privacybescherming. Het bedrijf TLS vertrouw ik voor geen meter. Ik word min of meer gedwongen hun product te gebruiken, tenzij ik mijn levensstijl drastisch verander (stoppen met studeren of erg veel werken om de vervoerskosten te betalen). Dat noem ik geen vrijheid.

GSM plaatsbepaling is echt veel nauwkeuriger dan OV-chipkaart-plaatsbepaling: het werkt continue (ook als je telefoon uitstaat, wanneer er een stukje software op is geïnstalleerd door de politie/geheime dienst), het werkt bij elke beweging, en een straal van 10km is voor veel doeleinden nauwkeurig genoeg.

Roenie schreef op donderdag 05 februari 2009 @ 20:02:

Ik vraag me trouwens af wat voor automatische afschrijving je dan nodig hebt, want een abonnement is over het algemeen iedere maand hetzelfde bedrag. Anders zit je meer in de hoek van een 'strippenkaart' op naam. Ook best natuurlijk als je dat wilt, dar niet van.

Dat is al een paar keer gezegd: OV-Chipkaart is gecombineerd een strippenkaart en abbonementskaart. Als je buiten je abbonementsgebied komt moet je betalen, en daar is een automatische afschrijving handig voor.

Wat is er zo moeilijk aan een abonnementskaart te ontwikkelen die bij bepaalde stations/bussen het hekje open zet en bij andere juist niet, dat alles zonder reisgegevens op te slaan?

Veiligheid: op die manier is fraude niet te detecteren.
- Als jij 100x incheckt, maar nog niet hebt uitgecheckt, dan klopt er iets niet.
- Als jij incheckt in groningen, uitcheckt in amsterdam en 1 minuut later incheckt in eindhoven, dan klopt er iets niet.
- Als jij op een of andere manier de chip hackt, dan hoef je alleen nog maar naar het scanapparaat te zeggen dat jij toegang hebt, ipv iemand anders zijn id zoeken met genoeg saldo erop.

YellowCube schreef op donderdag 05 februari 2009 @ 21:07:
[...]


ik vind het "kraakbare" echt een compleet non-argument (nofi uiteraard) in de OV chipkaart discussie. De strippenkaart was ook niet bepaald fraudevrij.

Probleem is dat de strippenkaart geen identificatiemiddel, abonnement en bankpas ineen was, de OV-chipkaart wel. Identiteitsdiefstal (met iemand anders zijn kaartje een moord plegen) en ordinaire geld-diefstal (reizen op andermans pas, waarbij het tegoed via automatisch in incasso wordt aangevuld) is belachelijk simpel: voor 100 euro koop je een kaartlezer, sluit je aan op je computer, en het enige wat je hoeft te doen is die 15 sec bij iemand zijn kaart in de buurt te houden. Om een strippenkaart te jatten moet je altijd nog in iemand zijn jaszak graven, dat is met een RFID systeem niet nodig.

MBV schreef op vrijdag 06 februari 2009 @ 11:00:


Ik neem aan dat je op mij doelt? In het verleden zijn al een paar keer dingen ingevoerd die absoluut niet de privacy zouden schenden, omdat de gegevens nergens aan gekoppeld zouden worden. Als ik me niet vergis valt het sofi-nummer daar ook onder. In verband met makkelijker opsporen van illegalen, gemak voor de consument en nog wat non-argumenten wordt dat nu juist gebruikt om alles aan elkaar te koppelen onder de noemer BSN. Wie zegt mij dat de OV-chipkaart niet hetzelfde lot heeft? Het is soms heel verstandig om in de geschiedenis te kijken.

probeer je hier nu te beweren dat gewone normale en volledig wetmatige opsporingsmogelijkheden, of bv controle's die bedoeld zijn om sociale dienstevrelening enkel te verlenen aan mensen die ook legaal daar 'recht' op hebben, volgens jouw een 'schending van je persoonlijke levenssfeer' zouden zijn?

Met alle respect maar dan gooi je wat heel belangrijks door elkaar.... bv sociale dienstevrelening is enkel bedoeld voor mensen die daar recht op hebben, en dat een SOFI-numer bv gebruikt wordt om te controleren of een ontvanger ook daadwerkelijk recht heeft op bepaalde diensten is geen 'schending van je privacy' maar gewoon het doorvoeren van de vereiste van die dienst..
het SOFI-nummer is expliciet daarvoor ook ingesteld.

wat je verder bedoeld met 'gemak voor de consument' weet ik niet... als het echter om consumentenzaken gaat betreft het veelal bedrijven die bv uitgebreidde klantendatabases bijhouden en mensen telefonisch benaderen..
daarvoor zijn wel degelijk duidelijke wettelijke voorwaarden ... enkel, als mensen zelf makkelijk hiun adresgegegevens gaan invulen op allerhande formuliertjes waarmee ze dan een 'gratis test-pakket' kunnen aanvragen of 'kans kunnen maken op het winnen van een iPhone' doen ze dit gewoon zelf en uit vrije wil ... als ze vervolgens rond etenstijd lastig gevallen gaan worden door een tiental telefonische verkopers, moet ze niet vreemd opkijken, maar ligt hun fout echt bij henzelf en niet bij een 'oberheid' die bepaalde centrale registratie verplicht gesteld heeft.

Verder, dat voor addministratieve zaken een direkte koppeling va gegevens of centrale en gestandaardiseerde opslag en uitwisseling een grote meerwaarde heeft is heus niet vreemd.
Ieder bedrijf dat zelf voor toepassingen van databases gebruikt en informatie-standaards kan dat utleggen; de kostenbesparende en efficientie-verhogende effcten zijn juist erg groot (vreemd genoeg is dat nu juist óók een argumeent van de tegenstanders van zulke centrale registratie, nl. 'dat het zo effectief' en 'efficient' is en dat men dan gelijk 'alles van je zou weten', wat helaas ook een beetje een overdrijving is, de voordelen zijn substantieel maar zeker niet eindeloos).

In het geval waar het gaat om persoonsgegevens ligt het natuurlijk een stuk gevoeliger, en is er wel degelijk een noodzaak tot meer zorgvuldigheid en ook wetmatige afdwingeing daarvan, om uiterste zorgvuldigheid af te dwingen, en bv ook het eigendsomrecht van mensen op hun gegevens te warborgen (iets dat imho een vand e belangrijkste aspecten is, nl. het recht van mensen op inzicht wat en waar er aan gegevens bewaard wordt; transparantie)
Maar het is onzin om te gaan stellen 'argumenten voor standaardisatie en centralisatie van bepaalde persoonsgegevens die bv door overheidsdiensten benut worden per definitie al 'non-argumenten' zouden zijn...
Dat is nu net weer een methode om een discussie te verlaten, voordat je 'm begint.

Deze post was aan pedorus gewijd maar wilde er toch ook nog iets over kwijt. Don't worry, het is geen persoonlijke reactie naar jou toe Dido:

Dido schreef op donderdag 05 februari 2009 @ 15:00:
Een huis vergelijken met vervoersprijzen is een dusdanig onzinnige vergelijking dat het doet vermoeden dat je helemaal geen discussie wilt, maar slechts bevestigd wilt hebben dat een ononderbouwd onderbuikgevoel een valide reden is om ergens tegen te ageren. En die bevestiging krijg je niet van me.

Precies, een onderbuikgevoel. Je kunt het blijven herhalen, maar een onderbuikgevoel blijft m.i. een klotereden om op te ageren. Je mag vanuit een onderbuikgevoel best iets tegen een OVC, negers of homo's hebben, maar verwacht vanuit de rationele hoek niet te veel begrip

Het klopt soms dat mensen zich 1 kant op laten duwen door een "politics of fear".
Maar wij techneuten, tweakers en alles-analyseerders willen soms vergeten dat een mens beslissingen en keuzes maakt niet alleen op ratio, maar ook op (onderbuik) gevoel. It's part of who we are. Ononderbouwd buikgevoel....dat is het hem nou juist. Jij kunt niet iemands beredenatie voor onderbuikgevoel afschieten. Waarom niet, omdat je een rationele verklaring probeert te zoeken in iets emotioneels. Wil je een discussie aangaan, zul je het gevoel dat die persoon heeft ook moeten begrijpen, maar dan moet die persoon wel echt alles zeggen waarom hij dat vindt en op een forum is dat vaak lastig. Textuele dingen drukken maar tot een bepaalde waarde gevoel en emotie uit....ik denk dat dat ook een van de redenen is waarom er in veel van dit soort topics eigenlijk iets te snel gegooid wordt met weerwoorden, beschuldigingen, conclusies en verklaringen etcetera....

Ik ben het toch deels eens met de topicstarter, en Dido, je hebt gelijk dat mensen eerst goed moeten nagaan of hun gevoel klopt. Dat is zo, maar je hebt nou eenmaal niet 100% inzage op alle feiten, bewijzen en andere materialen om je gevoel voor 100% af te dekken.
Ik vind het onzin om te denken: ik heb niks te verbergen, ze mogen alles weten.....zo ook bijvoorbeeld het elektronisch patientendossier.....ik ben aan de ene kant ervoor, want hetgeen wat ze beloven is efficientie en minder bureaucratische rompslomp en dat vind ik goed. Maar er zitten teveel haken en ogen aan wat wel weer gebleken is, waardoor een deel van je privacy toch in gevaar zou kunnen komen in situaties dat je dat niet wilt. Puur vanuit mijn optiek he. Kijk, een pinpas is al iets waar we bijna niet meer zonder kunnen. Iedereen heeft wel een bankrekening en daar komt een pinpas bij.
Je kunt geen loon/salaris/uitkering ontvangen zonder bankrekening. Althans niet dat ik weet....Het is al bijna geen keuze meer te noemen om al dan niet een bankrekening te nemen.
Maar mensen krijgen nou eenmaal wel vaker een onderbuikgevoel bij veel nieuwe dingen die een stukje privacy zouden kunnen schenden. Dat is niet voor niks, want in de praktijk zien we zoveel voorbeelden van dingen wanneer je privacy wel degelijk aangetast wordt. Het is zelfs onze eigen schuld, want wij, de mens, zijn degene die overal controle over willen hebben, een goeie deal te maken zo goed en goedkoop mogelijk en alles draait om geld...

[ Voor 30% gewijzigd door Deathchant op 06-02-2009 11:48 ]

mr_obb schreef op vrijdag 06 februari 2009 @ 08:24:Wat ik in mijn vorige post duidelijk probeerde te maken is dat je een systeem ontwerpt aan de hand van requirements. Eén van de requirements is bijv. dat mensen een bonnetje moeten kunnen uitprinten voor declaratie bij hun werk. Dat niet alle requirements voor jou noodzakelijk zijn, dat is kort gezegd jouw probleem. Ik weet vrij zeker dat er op je mobieltje ook functies zitten die je nog nooit gebruikt hebt.

Tja, ik heb dan ook een hele simpele GSM ;-) Ik begrijp wel dat niet alle functies voor iedereen hetzelfde zijn, sterker nog, dat is juist mijn punt. Waarom dan maar een versie aan iedereen aanbieden. Zeker met de weerstand die er heerst. Waarom kunnen er wel mobieltjes zijn voor 'ouderen' met maar enkele knoppen en niet een OV chipkaart abonnement zonder registratie.

Ben je me nou voor de gek aan het houden of weet je echt niet hoe de OV-chipkaart werkt? De chipkaart is inderdaad niet alleen een vervanger van de abonnementen maar óók van de strippenkaart. Daarvoor kan je een tegoed op je kaart zetten. Je betaalt dan een startbedrag en een bedrag per kilometer. Wat je in kan stellen is dat het tegoed automatisch met een x bedrag wordt aangevuld als het beneden de 5 of 10 euro komt. Heel handig om te voorkomen dat op zondag je strippenkaart op is en je nergens in de omgeving meer zo'n flutpapiertje kan kopen..

Dit topic ging over de studentenkaart waarbij de TS zich zorgen maakt over registratie. Dat is nu eenmaal een abonnementsvorm. Vandaar dat ik op die vorm focus. Waarom maar één kaart aanbieden? Waarom geen abonnementen en prepaid, met en zonder registratie van reisgegevens?

Dat is helemaal niet moeilijk, als je met zo'n systeem aan je requirements zou kunnen voldoen. Je hebt het hier al alleen over een abonnementskaart, dus voor het gemak sla je de vervanging van de strippenkaart alvast over. TLS heeft een aantal requirements opgesteld en aan de hand daarvan is dit systeem ontworpen. Daarbij zijn door verschillende partijen randvoorwaarden opgesteld, zoals door het CBP, die zegt dat de DBs gescheiden moeten zijn of de brandweer, die stelt dat je in geval van brand door de poortjes heen moet kunnen (één van de redenen waarom je dwars door die poortjes kan lopen). En ze hebben ook requirements opgesteld over de beveiliging van de kaart. En die laatste requirements zijn misschien verkeerd opgesteld, maar ze hebben nu de bedrijfseconomische overweging gemaakt om die kaart pas te vervangen als de schade door de slechte beveiliging te groot wordt.

Leuk al die 'requirements'. Hebben ze ook wat met de 'wensen' van de (potentiele) klant gedaan? Zo ja, dan had de publieke opinie heel anders geweest.

Het zou jammer zijn als een project als de OV Chipkaart mislukt of in ieder geval vertraging oploopt door een klassieke fout van dit soort projetcen: kijken naar wat kan en moet, in plaats van wat de klant wil. Uiteraard is dat maar één visie en zijn andere klanten blij met deze ontwikkelingen of kan het niets schelen. Echter, de publieke opinie in totaal moet er klaar voor zijn voor je zoiets groots een success kan maken.

MBV schreef op vrijdag 06 februari 2009 @ 11:00:Dat is al een paar keer gezegd: OV-Chipkaart is gecombineerd een strippenkaart en abbonementskaart. Als je buiten je abbonementsgebied komt moet je betalen, en daar is een automatische afschrijving handig voor.

Veiligheid: op die manier is fraude niet te detecteren.
- Als jij 100x incheckt, maar nog niet hebt uitgecheckt, dan klopt er iets niet.
- Als jij incheckt in groningen, uitcheckt in amsterdam en 1 minuut later incheckt in eindhoven, dan klopt er iets niet.
- Als jij op een of andere manier de chip hackt, dan hoef je alleen nog maar naar het scanapparaat te zeggen dat jij toegang hebt, ipv iemand anders zijn id zoeken met genoeg saldo erop...

Wil je zeggen dat daar geen oplossingen voor te vinden zijn? Ik weet ze zo gauw niet, maar daar ben ik ook niet voor. Wat betreft het laaste punt: als die chip te kraken is dan lijken de tegenstanders toch wel een punt te hebben

Jij vraagt waarom ze niet zoiets kunen verzinnen, ik geef daar een antwoord op. Zonder centrale registratie is fraude ontzettend moeilijk te detecteren,je kan er dan bijna niet achter komen dat je kaart stiekem gekraakt is. Dat is een reden dat je ergens je gegevens centraal wil opslaan.

Dus om omzetverlies bij de vervoerder te bestrijden, kan ik alleen een abonnement met registratie van reisgegevens afnemen Als je een abonnement voor een vast traject of zone hebt maakt het immers niet uit hoeveel er gereisd wordt.

Maak dat ding dan op een andere manier fraudebestendig. Maar goed, zo blijven we een kringetjes discussieren.

Wat me gewoon stoort is dat om belangen van anderen, de reiziger van het openbaar vervoer gedwongen wordt om met bepaalde privacybeperkende maatregelen akkoord te gaan.

Ehm, heb je de rest van mijn vorige bericht niet gelezen ofzo? Eigenlijk is de oplossing heel simpel: gooi de gegevens na 24 uur weg, zoals dat ook met camerabeelden vaak wordt gedaan. Als er een misdrijf is gepleegd zouden de relevante gegevens eventueel bewaard kunnen worden, net zoals met camerabeelden. Dan zou ik er al een stuk minder moeite mee hebben.

Is inderdaad al een stuk beter