IT’ers die ov-chipkaart kraakten moeten schade vergoeden, maar hoe veel is die dan?

Twee mannen die regelmatig reisden met gehackte ov-chipkaarten krijgen een taakstraf van 120 uur, las ik bij Tweakers. Ze hadden bestaande kraaksoftware gevonden en verbeterd, waardoor hun excuus van “geïnteresseerd in hoe dat werkt” niet werd geaccepteerd. Ze reisden ook zo’n anderhalf jaar met de gehackte kaarten, en moeten daarom TLS een schadevergoeding betalen van 7.500 euro de man:het bedrag dat de vervoersmaatschappijen misliepen door hun acties. En daar zag ik wat vragen over, want hoe is die berekening tot stand gekomen en is het niet stiekem een verkapte boete die TLS hier probeert te innen?

Hoewel het om een strafzaak gaat, is de claim van Trans Link Systems gewoon een burgerlijke schadeclaim. Dat kan, je kunt je voegen in de strafzaak als je benadeeld bent door het strafbare feit. Zo hoef je niet een aparte rechtszaak op te starten om je schade te claimen, want als vaststaat dat iemand strafbaar handelde dan kan in principe jouw daardoor geleden schade zo worden toegewezen.

Je moet natuurlijk nog wel bewijzen dát je schade hebt geleden, dat de dader die behoort te vergoeden en hoe veel schade het dan precies is. Dat TLS schade lijdt door zwartrijden, lijkt me niet zo moeilijk. De bedoeling is dat mensen betalen voor hun reis, wie dat niet doet die a) ontzegt TLS geld voor dienstverlening en b) ondermijnt het systeem van openbaar vervoer. Dus dat je moet gaan betalen, spreekt voor zich.

Alleen: hoe groot is de schade dan precies? Omdat het zo’n fors en afgerond bedrag lijkt, voelt het als een verkapte straf: betaal maar een flink bedrag, dat zal je leren. Maar zo werkt dat niet in het schadevergoedingsrecht, schade moet worden onderbouwd. Precies dezelfde discussie inderdaad als bij illegaal downloaden, waar Dutch Filmworks tegenaan loopt. Wat kost een download? Of, wat we ook vaak zien: wat kost een foto?

Bij het OV is dat iets makkelijker: we wéten wat een treinritje kost, meer specifiek wat de reis Alkmaar-Utrecht destijds kostte die de twee heren namen met hun vervalste kaart. Bepaal het aantal keer dat men zwart reed (heen en terug, het was woon-werkverkeer), vermenigvuldig dat met de prijs van een kaartje (enkeltje Alkmaar-Utrecht: 28 euro, in de relevante periode) en je hebt de schade.

Maar ho, zo lees ik dan: het is toch veel goedkoper om bij zulk frequent reisverkeer een trajectkaart te nemen of misschien zelfs een Dal Vrij of Altijd Vrij-abonnement? En ja, dat is zo natuurlijk. Als je netjes kaartjes koopt, dan kun je doorrekenen wat het goedkoopste abonnement of traject is en daar de prijs op afstemmen.

Bij een onrechtmatige daad worden dat soort argumenten echter buiten beschouwing gelaten. De veroorzaker van de schade kan zich niet op voordeel beroepen dat in een onderhandeling verkregen zou zijn. Stel je kopieert iemands foto zonder toestemming, en de normale licentieprijs was 250 euro. Dan wil ik graag geloven dat jij er de helft vanaf had gekregen, of zelfs dat de fotograaf bijna altijd mensen 50% korting geeft. Maar feit blijft dat de prijs van die foto dan 250 euro was, en dan gaan we niet je 50% korting geven omdat dat gebruikelijk is of voor de hand ligt of zo.

Voor dat zwartrijden zeggen we dus ook: de schade is de prijs van het kaartje enkele reis, zonder kortingen, abonnementen of vrij reizen op welke wijze dan ook. Dat kun je regelen als je kaartjes koopt. Of, iets anders bekeken: je hebt 330 dagen twee maal per dag zwart gereden, dat zijn dus 660 zwartritjes – 660 onrechtmatige daden die je apart van elkaar afrekent. Je krijgt geen korting op de schadevergoeding omdat je váák iemand schade berokkent.

Arnoud

Duh, natuurlijk is iemands OV-saldo in kunnen zien een datalek

Via de website van de ov-chipkaart is eenvoudig te checken wat het saldo is van een willekeurige ov-chipkaart, las ik op de blog van Loran Kloeze. De saldochecker van Trans Link Systems blijkt te werken zonder ingelogd te zijn, enkel door invullen van een kaartnummer krijg je het huidige saldo op die kaart te zien. De vraag is dan, is dat een datalek? Het antwoord is, eh, nee dat is geen vraag dat spreekt voor zich. Toch?

De saldochecker is een simpel en op zich handig tooltje waarmee je je saldo kunt checken. Bij een anonieme kaart kan ik me voorstellen dat je dit als feature aanbiedt, maar bij een persoonsgebonden kaart klopt het volgens mij niet dat er buiten het account om persoonlijke informatie te achterhalen is.

En ja, het saldo op je persoonsgebonden kaart is een persoonsgegeven. Die kaart staat op naam en dus zijn alle gegevens die met de kaart samenhangen persoonsgegevens, geen twijfel over mogelijk. Dat het niet triviaal is om naam en adres van de kaarthouder te achterhalen, doet daarbij niet ter zake. Die link is er, dus zijn het persoonsgegevens.

Helemaal als je de update van Kloeze leest: ook je geboortedatum is te achterhalen zonder inlog, wanneer je via de webshop van de NS iets koopt, geeft TLS je geboortedatum door enkel op basis van een OV-chipkaartnummer.

TLS zegt hierover:

Goed gezien, geen authenticatie. Saldo inzichtelijk, dit is een grote wens van vele reizigers. Wekelijks meer dan 30.000 raadplegingen. Probeer het uit! ^MdeG

Ik denk niet dat ze bedoelen dat het een grote wens van veel reizigers is om elkaars saldo in te zien. Maar het is en blijft een datalek, je bent eenvoudigweg niet bevoegd om andermans saldo in te zien dus daar moet een authenticatiestap tussen.

Arnoud

Translink deelde reisgegevens studenten met DUO voor fraudebestrijding

Translink, het bedrijf achter de ov-chipkaart, gaf reisgegevens door aan DUO. Dat meldde Tweakers gisteren. DUO gebruikte deze gegevens om studenten op te sporen die zouden frauderen met een uitwonende beurs. En de ophef zit hem dan in het feit dat die reisgegevens werden verstrekt zonder dat daar een officier van justitie aan te pas komt. Wat in Nederland totaal geen ding is, maar iedereen praat elkaar na dat dat nodig zou zijn.

TransLink Systems (TLS) beheert reisgegevens van alle personen die reizen met een ov-chipkaart in Nederland, waaronder natuurlijk een heleboel studenten met reisproduct. Uit die reisgegevens zijn allerlei interessante gegevens af te leiden, waaronder waar iemand woont: als iemand zegt uitwonend student te zijn in Amsterdam, maar elke dag zijn er veel korte ritjes in Deventer en af en toe retourtreinritten naar Amsterdam Amstel, dan kun je vraagtekens zetten bij dat uitwonend zijn.

DUO vond dat laatste zo interessant dat ze structureel die gegevens besloot op te vragen bij TLS. Daarbij werd gewerkt met een risicoprofiel, er werd dus niet zomaar bij iedereen meegekeken.

Maar dat is niet genoeg natuurlijk: dergelijke reisgegevens zijn persoonsgegevens, en dat moet dus netjes gebeuren binnen de Wet bescherming persoonsgegevens. Hier gaat het dan ook nog eens om een overheidsinstantie (DUO is de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, Cultuur en Wetenschap) en dan moet het al helemáál strak geregeld zijn: er moet een wettelijke regeling zijn die specifiek hierover gaat en die fatsoenlijk rekening houdt met de privacy van eerlijke mensen.

In de zaak van een student in mei ging het mis op dat eerste. Er is geen wettelijke grondslag voor wat DUO deed. Een protocol tussen DUO en TLS is geen wet.

Ook de Algemene Wet Bestuursrecht is geen wet, althans geen voldoende precieze wettelijke grondslag zoals onder de Wbp vereist:

Naar het oordeel van de rechtbank voldoen de artikelen 5:16 en 5:17 van de Awb niet aan dit vereiste. Deze artikelen bepalen dat een toezichthouder bevoegd is inlichtingen te vorderen en bevoegd is inzage te vorderen van zakelijke gegevens en bescheiden. Uit de memorie van toelichting volgt dat onder zakelijke gegevens moet worden verstaan ‘gegevens die gebruikt worden ten dienste van het maatschappelijk verkeer’. Zoals hierboven al is overwogen zijn de door verweerder opgevraagde Trans Link gegevens op de persoon van eiser herleidbaar. Deze gegevens zijn daarmee niet langer zakelijk in de zin van artikel 5:17 Awb.

Daarmee is het niet toegestaan die gegevens te vergaren. Gezien de ernst van de onrechtmatige verwerking worden de aldus verkregen gegevens uitgesloten van het bewijs. Dat is in Nederland uitzonderlijk bij gewone rechtszaken, maar het ging hier dus om een overheidsinstantie en die worden veel strenger daarop afgerekend.

DUO heeft al aangekondigd geen gebruik meer te maken van deze constructie om reisgegevens op te vragen totdat de Centrale Raad van Beroep zich over hoger beroep heeft gebogen.

En die officier van justitie dan? Die is totaal irrelevant, ook als het niet om overheidsinstanties zou gaan. Persoonsgegevens afgeven moet als de wet dat eist, en toezichthouders zoals DUO kunnen dat onder omstandigheden eisen. Privépartijen ook, onder het Lycos/Pessers arrest. Daar zit allemaal geen gerechtelijk bevel tussen of toetsing door een officier van justitie. Die kreet is een amerikaanserechtbankfictie. Het is eigenlijk nog veel simpeler: waar in de wet staat dat dit mag?

Arnoud

Waarom is je geslacht relevant bij een ov-chipkaartrestitutie?

ov-chipkaart-paal-inchecken-saldoEen lezer vroeg me:

Binnenkort verlopen de eerste OV chipkaarten omdat ze maar 5 jaar geldig zijn. Nu was ik aan het uitzoeken hoe je kan verlengen of je saldo terug kan krijgen? Je kan een formulier ‘Teruggave saldo ANONIEME OV-chipkaart’ downloaden, afdrukken en volledig ingevuld mét je verlopen anonieme OV kaart opsturen. En wat schets mijn verbazing? Ze eisen hierbij best wel veel gegevens van je. Mogen ze dat werkelijk allemaal vragen?

Inderdaad, dat is me nogal een waslijst die ze op dat restitutieformulier van je vragen:

  • Bankrekeningnummer
  • Volledige naam
  • Volledige adres
  • Geboortedatum
  • Geslacht
  • Telefoonnummer overdag

Oké, dat bankrekeningnummer slaat wel ergens op want hoe valt er te restitueren zonder bankrekening? Maar waar is al die andere informatie goed voor? Zelfs over je naam twijfel ik, is die echt nodig bij een bankoverschrijving? En hoezo moeten ze weten of ik de heer dan wel mevrouw Engelfriet ben die z’n geld terug wil, laat staan hoe oud ik ben of waar ik te bereiken ben?

Het voelt als een gevalletje “vraag maar want wie weet”, maar de Wet Chihuahua persoonsgegevens denkt daar toch echt anders over. Je mag alleen gegevens vrágen die daadwerkelijk nodig zijn voor het doel waarvoor je ze nodig hebt.

Onderaan staat dan de geruststellende tekst:

Privacybeleid
De op dit formulier verstrekte gegevens worden uitsluitend gebruikt om restitutie van het saldo uit te kunnen voeren. Uw gegevens worden door ons niet opgeslagen.

Maar eh, hóe dan? Wat doe je met dat geslacht als je het niet opvraagt en je het ook niet bij een bankafschrijving nodig hebt?

Arnoud

Papieren treinkaartje hoeft niet meer, vanwege incheckdisplay

ov-chipkaart-paal-inchecken-saldoHet papieren treinkaartje hoeft niet terug te keren, meldde Nu.nl onlangs. De Nederlandse Spoorwegen (NS) moeten op verzoek wel laten zien welke reis de reiziger op zijn OV-chipkaart heeft staan. Dat blijkt uit een uitspraak van de hoogste rechtbank voor sociaal-economisch bestuursrecht, het College van Beroep voor het Bedrijfsleven. Hoewel Europese regels eisen dat een OV-reiziger zijn reisrecht kunnen controleren, voldoet de NS omdat je bij de incheckpaal en bij de conducteur inzage kunt krijgen in dat rechter.

Een ICT-er was naar de rechter gestapt met de eis dat het papieren treinkaartje moest blijven, omdat je met de ov-chipkaart geen objectief bewijs hebt dat je legaal mag reizen. En dat is wél verplicht van Europese Verordening 1371/2007. Bij een elektronische kaart is dat een probleem, want het is niet echt mogelijk een identiek resultaat neer te zetten als met een papieren vervoerbewijs. Maar, zo staat in die Verordening:

De voor de registratie en bewerking van de gegevens gebruikte procedures moeten uit functioneel oogpunt gelijkwaardig zijn, in het bijzonder wat betreft de bewijskracht van het vervoerbewijs (…)

Hoe kun je nu het bewijs dat je mag reizen halen met een ov-chipkaart? Het College noemt vijf manieren:

  1. op het display van een incheckpaal of –poortje ziet de reiziger, zeer kort, dat hij tot de reis is toegelaten omdat er voldoende saldo is, de klasse waarmee wordt gereisd en of er al dan niet een voltarief wordt berekend;
  2. bij een kaartautomaat op het station kunnen op het display de laatste tien transacties ingezien worden;
  3. bij een NS-servicebalie kan om een papieren uitdraai van de NS-transacties gevraagd worden;
  4. via internet kunnen transactiegegevens worden opgeroepen indien de houder van de OV-chipkaart daarvoor een account heeft aangemaakt;
  5. op het uitleesapparaat van de conducteur is zichtbaar of is ingecheckt, het station waar is ingecheckt, de inchecktijd, de klasse waarmee wordt gereisd, alsmede gegevens over een eventueel op de kaart geladen reisproduct (bijvoorbeeld een bepaald soort abonnement).

Is dit nu genoeg? In principe ja, zegt het Cbb: je kunt (optie 3) naar een servicebalie gaan en die printen het voor je uit. Maar ben je op reis, dan is dat geen optie. Dan ben je afhankelijk van de conducteur (optie 5) en dan moet je maar hopen dat die meewerkt. De NS zegt toe dat ze hier de conducteur over zullen instrueren, maar bij Nu.nl meldt Rikus Spithorst (reizigersbelangenorganisatie ‘Voor Beter OV’ ) dat de conducteur “meester is in het onvindbaar zijn”. Dat wordt dus nog wat.

Voor mij voelt het bepaald onbevredigend: niemand gaat werkelijk naar de servicebalie om te zien of hij ingecheckt is. En in de drukte van de spits kun je gemakkelijk het piepje van de incheckpaal missen, en daar sta je dan als vertwijfelde reiziger. Ja oké ik heb een laptop bij me en zou dus kunnen zien of ik ingecheckt ben, maar het voelt alsnog wat om een laptop mee te moeten nemen om informatie te krijgen die vroeger gewoon op een stukje papier staat.

Arnoud

Wanneer is een API reverse engineeren computervredebreuk?

chip-paspoort.jpgEen lezer vroeg me:

Onlangs is de OV-Chipkaart app uitgekomen. Uit analyse blijkt dat de app per request een specifieke signature meestuurt, en zonder die signature komt er geen reactie vanuit de server van Trans Link Systems. De methode waarop de signature gemaakt wordt is te achterhalen met decompileren en daarna eenvoudig na te maken. Het is erg moeilijk te achterhalen door puur naar het verkeer te kijken. Mijn vraag is: als iemand API calls doet op basis van die kennis, is er dan sprake van computervredebreuk?

Als ik het goed begrijp, dan doet die app dus aanroepen op de server van TLS. Om te bewijzen dat de app echt de app is, wordt daarbij een signature/code gemaakt op basis van een sleutel die in de app aanwezig zit. Heb je de sleutel, dan kun je dus de code namaken en je eigen aanroepen als echt presenteren.

Van computervredebreuk is sprake als je binnendringt in andermans computer. Een ov-chipkaart is een computer, en die heb je te leen van TLS. Binnendringen daarin is dus mogelijk. Maar een app op je eigen telefoon, daar kun je niet in binnendringen. De app is geen ‘geautomatiseerd werk’, de telefoon wel maar die is van jezelf.

Binnendringen in de server van TLS is mogelijk en dat kan wel computervredebreuk zijn. Alleen, er moet dan sprake zijn van binnendringen zonder recht, wederrechtelijk dus. Je zegt dan, je mag inloggen met de app maar handmatig/eigen app inloggen mag niet. Ik twijfel of dat werkt. Als ik zeg “hier is de sleutel” en jij maakt een sleutel erbij, dan pleeg je geen huisvredebreuk als je met die extra sleutel binnengaat. Het gaat om de plek waar je mag zijn, niet het middel waarmee je daar komt. Een undocumented feature aanroepen door de API-URL te manipuleren (misschien doet &debug=1 iets leuks?) zou ik wel computervredebreuk noemen.

Auteursrechtelijk is het spannender. Je decompileert en achterhaalt de werking van de app. Als het doel dan is een kloon van de app te maken, dan botst dat met het auteursrecht op de app. Maar ‘kloon’ is een beperkt begrijp. En een nieuwe app die alleen dezelfde API calls doet, zou ik niet snel een ‘kloon’ noemen. De wet hanteert “computerprogramma, dat niet als een nieuw, oorspronkelijk werk kan worden aangemerkt” als criterium. Dus echt pure nabouw, dezelfde functionaliteit en layout.

Je kunt je ook afvragen of je wel de ‘werking’ van de app aan het achterhalen bent. Je wilt in feite alleen het algoritme voor het maken van de code achterhalen, en natuurlijk het element zelf dat daarvoor nodig is. Hoe de rest van de app werkt, is minder van belang.

Arnoud

Nieuwste OV-chipkraak maakt zwartrijder onzichtbaar

ov-chipkaart-kraak-perfecte-misdaad.jpgHet is mogelijk te frauderen met de OV-chipkaart zonder gebruik te maken van de poortjes. Daardoor valt het misbruik niet meer te detecteren in de centrale systemen. Dat meldde Webwereld gisteren op basis van Brenno de Winter’s geweldige onderzoeksjournalistiek over de OV-faalkaart. Bij het NOS-journaal mocht ik zeggen dat dit “de perfecte misdaad” is: wel strafbaar maar niets aan te doen.

Hopelijk is dit het laatste hoofdstuk in de langlopende soap rond de OV-chipkaart. Al jaren is bekend dat de kaart grote technische zwakheden vertoont, maar tot nu toe werden die steeds afgedaan als “theoretisch” of “alleen voor übernerds”. Nu is er een Windowsapplicatie waarmee ook mijn vader gratis zou kunnen reizen.

Niet dat hij dat moet gaan doen, want het is en blijft strafbaar. In december werd nog een man veroordeeld wegens computervredebreuk (wtf?) omdat hij zijn OV-chipkaart illegaal had opgewaardeerd en daarmee was gaan reizen. Een kaart faken of zelf opladen valt onder het “valselijk opmaken van een betaalkaart” (art. 232 Strafrecht).

Op zich snap ik dus dat TLS na bekend worden van deze hack aangifte heeft gedaan. Alleen: ik mag hopen dat het OM die allemaal in het halfronde archief stopt, pardon via politiesepot afdoet zodra de woordvoerder weer naar buiten is. De strafwet is bedoeld voor die gevallen waarin je goed beveiligde kaart ondanks al je inspanningen toch vervalst werd. Niet als compensatie voor implementatiefalen van de leverancier.

Wie zijn huis totaal niet beveiligt, mag niet verwachten dat de politie veel doet om diefstal van zijn spullen op te lossen. Evenzo zie ik niet waarom TLS nu mag verwachten dat de politie het probleem van hun rammelende beveiliging gaat oplossen.

En nee, ik reis niet zwart maar keurig met (papieren) kaartjes.

Arnoud

Hacken OV-chipkaart is computervredebreuk (wtf?)

Een 30-jarige hacker is in Utrecht veroordeeld voor het vervalsen van 20 ov-chipkaarten, las ik bij Webwereld. Hij krijgt 60 uur werkstraf voor dit vervalsen, dat door de rechter “computervredebreuk” wordt genoemd. Hoogst merkwaardig. Wel terecht is de veroordeling wegens vervalsen van een betaalkaart.

De rechter spreekt van “binnendringen in de chip” van de OV-kaart. Omdat deze eigendom is van Trans Link Systems, wordt daarmee in andermans computersysteem binnengedrongen en dat is strafbaar. Ik vind dat een hoogst merkwaardige uitleg. Zo is dit wetsartikel niet bedoeld. En het zou betekenen dat simlocks verwijderen óók illegaal is, wanneer de telecomboer je de SIM maar in bruikleen geeft in plaats van verkoopt. De rechter had in 2002 al geoordeeld dat dat niet opgaat.

Wel terecht is de beschuldiging van het valselijk opmaken van een betaalkaart (art. 232 Strafrecht). Met de OV-chipkaart kun je immers betalen voor een dienst, en het namaken van zulke betaalmiddelen is (terecht) strafbaar.

Het verweer van de man dat hij alleen de zwakheden wilde blootleggen in de kaart gaat niet op.

Uit niets blijkt dat verdachte contact heeft gezocht met de media of met [bedrijf 1] om zijn standpunt met betrekking tot de beveiliging van de OV-chipkaart weer te geven. Verdachte heeft weliswaar verklaard dat zijn onderzoek nog niet was afgerond, maar op het moment van zijn aanhouding had hij al 26 OV-chipkaarten vervalst en uit niets blijkt dat verdachte van plan was hiermee op korte termijn te stoppen. De rechtbank is dan ook van oordeel dat onder deze omstandigheden het beroep van verdachte op artikel 10 van het EVRM niet kan slagen.

Op zich kan het legaal zijn om dingen te kraken om daarmee te laten zien dat we een probleem hebben, maar dan moet je het wel houden bij het kraken en daarna het bedrijf inlichten en/of naar de pers stappen (responsible disclosure). Maar deze man is gewoon gaan reizen met de kaart, en dat is zeer zeker niet de bedoeling bij responsible disclosure.

Arnoud

Juridische stappen met de OV-chipkaart

Het kraken van de OV-chipkaart is een fluitje van een cent, meldde PC-Active een tijdje terug. Op OV-chipkaart.org is te lezen hoe men de kaart kan uitlezen en de inhoud kan backuppen. TLS, het bedrijf achter de veelgeplaagde kaart, stuurde daarop een blafbrief waarin wordt gemeld dat men de site nauwlettend in de gaten zal houden en “juridische stappen” zal ondernemen. Ik moest lachen: het bedrijf houdt immers de gangen van iedere OV-gebruiker al nauwlettend in de gaten met die kaart.

Het uitlezen van een kaart en het vastleggen van de data die je dan krijgt, kan ik met geen mogelijkheid als strafbaar zien. Ook niet als je het omineus getitelde Mifare Classic Offline Cracker daarvoor gebruikt (maar het kan altijd hernoemd worden naar Mifare Security Verifier of zo natuurlijk). Ga je de kaart manipuleren, dan kom je in een grijs gebied. En ga je reizen met een gemanipuleerde kaart, dan pleeg je zeker een strafbaar feit: het valselijk opmaken van betaalkaarten (art. 232 Strafrecht).

Dat weet TLS ook maar al te goed, want er wordt niets gesommeerd of geëist. De brief komt neer op “we houden je in de gaten mannetje” en dat is een beetje merkwaardige manier van blaffen. Net zo merkwaardig vind ik de reactie van TLS dat dit “oud nieuws” zou zijn, want “tot nu toe is er nauwelijks fraude gepleegd”. Het lijkt mij toch nieuws dat je nu voor een paar tientjes je kaart kunt manipuleren, precies zoals TNO in 2008 voorspelde in 2008.

In een vonnis uit 2008 werd onderzoek naar het kraken van de OV-chipkaart overigens legaal verklaard omdat dit evident in het algemeen belang is, en er geen sprake was van het actief maken van nepkaarten of promoten van reizen met een nepkaart.

Zucht. Waarom is de reactie van dit soort clubs toch altijd om eerst te gaan blaffen en te dreigen met juridische stappen en pas daarna om eens na te denken dat het misschien ook wel ligt aan je eigen product? Dat had die rechter uit 2008 ze nota bene met zo veel woorden verteld.

Arnoud

OV-chipkaart toch geen elektronisch geld

ov-chipkaart.pngDe OV-chipkaart blijkt geen elektronisch geld in de zin van de wet, zodat exploitant Trans Link Systems geen vergunning van de Nederlandse Bank nodig heeft om de veelgeplaagde kaart landelijk uit te rollen. Recent werden de Europese regels op dit gebied verruimd.

De Wet op het Financieel Toezicht bevat een serie bepalingen voor elektronischgeldinstellingen (egi’s). Zij moeten zich aan grofweg dezelfde regels als banken houden. Een belangrijke is dat zij hun financiële verplichtingen moeten kunnen nakomen. Tot nu toe zat de hoeveelheid geld achter de ov-chipkaart onder de ” 6.000.000, waardoor (art. 1:5 Wft) geen vergunning nodig was. Maar bij landelijke uitrol van de kaart zou dit bedrag overschreden worden. TLS zat al enkele jaren in de procedure om een vergunning te krijgen, en werd nogal verrast door een brief van DNB dat die niet meer nodig zou zijn.

De reden? In Europa is men bezig de enigszins mislukte Richtlijn 2000/46/EC over elektronisch geld aan te passen. Deze was bedoeld om het elektronisch geldverkeer en de ontwikkeling van financiële diensten te stimuleren. Maar de regels bleken te breed en daarmee te beperkend voor allerlei toepassingen.

Op 24 april keurde het Europees Parlement een serie amendementen goed die onder andere bepaalden dat de Richtlijn niet langer zou moeten gelden voor “beperkte” toepassingen. Daaronder dienen prepaid kaarten te vallen waarmee je alleen bij de uitgever van het elektronisch geld zelf zaken of diensten kunt kopen, of bij een beperkt netwerk of beperkte groep bedrijven. En, belangrijk voor de OV-chipkaart:

An instrument should be considered to be used within a ‘limited network’ if it can be used only for the purchase of goods and services in a specific store or a chain of stores or for a limited range of goods or services, regardless of geographical location of the point of sale. Such instruments could include store cards, petrol cards, membership cards, public transport cards, meal vouchers or vouchers for services …

Op 5 mei 2009 is onder andere dit amendement door de Europese Raad van Ministers aanvaard, zodat deze regels binnenkort in werking zullen treden. Daarmee zag DNB niet langer een reden om TLS als vergunningplichtig aan te merken.

En bijgevolg kan de strippenkaart nu worden afgeschaft. Wanneer heel Nederland aan de OV-chipkaart moet zitten, is nog niet bekend.

Arnoud