IT’ers die ov-chipkaart kraakten moeten schade vergoeden, maar hoe veel is die dan?

| AE 12021 | Regulering | 41 reacties

Twee mannen die regelmatig reisden met gehackte ov-chipkaarten krijgen een taakstraf van 120 uur, las ik bij Tweakers. Ze hadden bestaande kraaksoftware gevonden en verbeterd, waardoor hun excuus van “geïnteresseerd in hoe dat werkt” niet werd geaccepteerd. Ze reisden ook zo’n anderhalf jaar met de gehackte kaarten, en moeten daarom TLS een schadevergoeding betalen van 7.500 euro de man:het bedrag dat de vervoersmaatschappijen misliepen door hun acties. En daar zag ik wat vragen over, want hoe is die berekening tot stand gekomen en is het niet stiekem een verkapte boete die TLS hier probeert te innen?

Hoewel het om een strafzaak gaat, is de claim van Trans Link Systems gewoon een burgerlijke schadeclaim. Dat kan, je kunt je voegen in de strafzaak als je benadeeld bent door het strafbare feit. Zo hoef je niet een aparte rechtszaak op te starten om je schade te claimen, want als vaststaat dat iemand strafbaar handelde dan kan in principe jouw daardoor geleden schade zo worden toegewezen.

Je moet natuurlijk nog wel bewijzen dát je schade hebt geleden, dat de dader die behoort te vergoeden en hoe veel schade het dan precies is. Dat TLS schade lijdt door zwartrijden, lijkt me niet zo moeilijk. De bedoeling is dat mensen betalen voor hun reis, wie dat niet doet die a) ontzegt TLS geld voor dienstverlening en b) ondermijnt het systeem van openbaar vervoer. Dus dat je moet gaan betalen, spreekt voor zich.

Alleen: hoe groot is de schade dan precies? Omdat het zo’n fors en afgerond bedrag lijkt, voelt het als een verkapte straf: betaal maar een flink bedrag, dat zal je leren. Maar zo werkt dat niet in het schadevergoedingsrecht, schade moet worden onderbouwd. Precies dezelfde discussie inderdaad als bij illegaal downloaden, waar Dutch Filmworks tegenaan loopt. Wat kost een download? Of, wat we ook vaak zien: wat kost een foto?

Bij het OV is dat iets makkelijker: we wéten wat een treinritje kost, meer specifiek wat de reis Alkmaar-Utrecht destijds kostte die de twee heren namen met hun vervalste kaart. Bepaal het aantal keer dat men zwart reed (heen en terug, het was woon-werkverkeer), vermenigvuldig dat met de prijs van een kaartje (enkeltje Alkmaar-Utrecht: 28 euro, in de relevante periode) en je hebt de schade.

Maar ho, zo lees ik dan: het is toch veel goedkoper om bij zulk frequent reisverkeer een trajectkaart te nemen of misschien zelfs een Dal Vrij of Altijd Vrij-abonnement? En ja, dat is zo natuurlijk. Als je netjes kaartjes koopt, dan kun je doorrekenen wat het goedkoopste abonnement of traject is en daar de prijs op afstemmen.

Bij een onrechtmatige daad worden dat soort argumenten echter buiten beschouwing gelaten. De veroorzaker van de schade kan zich niet op voordeel beroepen dat in een onderhandeling verkregen zou zijn. Stel je kopieert iemands foto zonder toestemming, en de normale licentieprijs was 250 euro. Dan wil ik graag geloven dat jij er de helft vanaf had gekregen, of zelfs dat de fotograaf bijna altijd mensen 50% korting geeft. Maar feit blijft dat de prijs van die foto dan 250 euro was, en dan gaan we niet je 50% korting geven omdat dat gebruikelijk is of voor de hand ligt of zo.

Voor dat zwartrijden zeggen we dus ook: de schade is de prijs van het kaartje enkele reis, zonder kortingen, abonnementen of vrij reizen op welke wijze dan ook. Dat kun je regelen als je kaartjes koopt. Of, iets anders bekeken: je hebt 330 dagen twee maal per dag zwart gereden, dat zijn dus 660 zwartritjes – 660 onrechtmatige daden die je apart van elkaar afrekent. Je krijgt geen korting op de schadevergoeding omdat je váák iemand schade berokkent.

Arnoud

Duh, natuurlijk is iemands OV-saldo in kunnen zien een datalek

| AE 10101 | Privacy | 52 reacties

Via de website van de ov-chipkaart is eenvoudig te checken wat het saldo is van een willekeurige ov-chipkaart, las ik op de blog van Loran Kloeze. De saldochecker van Trans Link Systems blijkt te werken zonder ingelogd te zijn, enkel door invullen van een kaartnummer krijg je het huidige saldo op die kaart te zien. De vraag is dan, is dat een datalek? Het antwoord is, eh, nee dat is geen vraag dat spreekt voor zich. Toch?

De saldochecker is een simpel en op zich handig tooltje waarmee je je saldo kunt checken. Bij een anonieme kaart kan ik me voorstellen dat je dit als feature aanbiedt, maar bij een persoonsgebonden kaart klopt het volgens mij niet dat er buiten het account om persoonlijke informatie te achterhalen is.

En ja, het saldo op je persoonsgebonden kaart is een persoonsgegeven. Die kaart staat op naam en dus zijn alle gegevens die met de kaart samenhangen persoonsgegevens, geen twijfel over mogelijk. Dat het niet triviaal is om naam en adres van de kaarthouder te achterhalen, doet daarbij niet ter zake. Die link is er, dus zijn het persoonsgegevens.

Helemaal als je de update van Kloeze leest: ook je geboortedatum is te achterhalen zonder inlog, wanneer je via de webshop van de NS iets koopt, geeft TLS je geboortedatum door enkel op basis van een OV-chipkaartnummer.

TLS zegt hierover:

Goed gezien, geen authenticatie. Saldo inzichtelijk, dit is een grote wens van vele reizigers. Wekelijks meer dan 30.000 raadplegingen. Probeer het uit! ^MdeG

Ik denk niet dat ze bedoelen dat het een grote wens van veel reizigers is om elkaars saldo in te zien. Maar het is en blijft een datalek, je bent eenvoudigweg niet bevoegd om andermans saldo in te zien dus daar moet een authenticatiestap tussen.

Arnoud

Translink deelde reisgegevens studenten met DUO voor fraudebestrijding

| AE 9620 | Privacy, Regulering | 34 reacties

Translink, het bedrijf achter de ov-chipkaart, gaf reisgegevens door aan DUO. Dat meldde Tweakers gisteren. DUO gebruikte deze gegevens om studenten op te sporen die zouden frauderen met een uitwonende beurs. En de ophef zit hem dan in het feit dat die reisgegevens werden verstrekt zonder dat daar een officier van justitie aan te pas komt. Wat in Nederland totaal geen ding is, maar iedereen praat elkaar na dat dat nodig zou zijn.

TransLink Systems (TLS) beheert reisgegevens van alle personen die reizen met een ov-chipkaart in Nederland, waaronder natuurlijk een heleboel studenten met reisproduct. Uit die reisgegevens zijn allerlei interessante gegevens af te leiden, waaronder waar iemand woont: als iemand zegt uitwonend student te zijn in Amsterdam, maar elke dag zijn er veel korte ritjes in Deventer en af en toe retourtreinritten naar Amsterdam Amstel, dan kun je vraagtekens zetten bij dat uitwonend zijn.

DUO vond dat laatste zo interessant dat ze structureel die gegevens besloot op te vragen bij TLS. Daarbij werd gewerkt met een risicoprofiel, er werd dus niet zomaar bij iedereen meegekeken.

Maar dat is niet genoeg natuurlijk: dergelijke reisgegevens zijn persoonsgegevens, en dat moet dus netjes gebeuren binnen de Wet bescherming persoonsgegevens. Hier gaat het dan ook nog eens om een overheidsinstantie (DUO is de Dienst Uitvoering Onderwijs van het Ministerie van Onderwijs, Cultuur en Wetenschap) en dan moet het al helemáál strak geregeld zijn: er moet een wettelijke regeling zijn die specifiek hierover gaat en die fatsoenlijk rekening houdt met de privacy van eerlijke mensen.

In de zaak van een student in mei ging het mis op dat eerste. Er is geen wettelijke grondslag voor wat DUO deed. Een protocol tussen DUO en TLS is geen wet.

Ook de Algemene Wet Bestuursrecht is geen wet, althans geen voldoende precieze wettelijke grondslag zoals onder de Wbp vereist:

Naar het oordeel van de rechtbank voldoen de artikelen 5:16 en 5:17 van de Awb niet aan dit vereiste. Deze artikelen bepalen dat een toezichthouder bevoegd is inlichtingen te vorderen en bevoegd is inzage te vorderen van zakelijke gegevens en bescheiden. Uit de memorie van toelichting volgt dat onder zakelijke gegevens moet worden verstaan ‘gegevens die gebruikt worden ten dienste van het maatschappelijk verkeer’. Zoals hierboven al is overwogen zijn de door verweerder opgevraagde Trans Link gegevens op de persoon van eiser herleidbaar. Deze gegevens zijn daarmee niet langer zakelijk in de zin van artikel 5:17 Awb.

Daarmee is het niet toegestaan die gegevens te vergaren. Gezien de ernst van de onrechtmatige verwerking worden de aldus verkregen gegevens uitgesloten van het bewijs. Dat is in Nederland uitzonderlijk bij gewone rechtszaken, maar het ging hier dus om een overheidsinstantie en die worden veel strenger daarop afgerekend.

DUO heeft al aangekondigd geen gebruik meer te maken van deze constructie om reisgegevens op te vragen totdat de Centrale Raad van Beroep zich over hoger beroep heeft gebogen.

En die officier van justitie dan? Die is totaal irrelevant, ook als het niet om overheidsinstanties zou gaan. Persoonsgegevens afgeven moet als de wet dat eist, en toezichthouders zoals DUO kunnen dat onder omstandigheden eisen. Privépartijen ook, onder het Lycos/Pessers arrest. Daar zit allemaal geen gerechtelijk bevel tussen of toetsing door een officier van justitie. Die kreet is een amerikaanserechtbankfictie. Het is eigenlijk nog veel simpeler: waar in de wet staat dat dit mag?

Arnoud

Waarom is je geslacht relevant bij een ov-chipkaartrestitutie?

| AE 7456 | Privacy | 32 reacties

Een lezer vroeg me: Binnenkort verlopen de eerste OV chipkaarten omdat ze maar 5 jaar geldig zijn. Nu was ik aan het uitzoeken hoe je kan verlengen of je saldo terug kan krijgen? Je kan een formulier ‘Teruggave saldo ANONIEME OV-chipkaart’ downloaden, afdrukken en volledig ingevuld mét je verlopen anonieme OV kaart opsturen. En wat… Lees verder

Papieren treinkaartje hoeft niet meer, vanwege incheckdisplay

| AE 7018 | Privacy | 44 reacties

Het papieren treinkaartje hoeft niet terug te keren, meldde Nu.nl onlangs. De Nederlandse Spoorwegen (NS) moeten op verzoek wel laten zien welke reis de reiziger op zijn OV-chipkaart heeft staan. Dat blijkt uit een uitspraak van de hoogste rechtbank voor sociaal-economisch bestuursrecht, het College van Beroep voor het Bedrijfsleven. Hoewel Europese regels eisen dat een… Lees verder

Wanneer is een API reverse engineeren computervredebreuk?

| AE 6374 | Security | 27 reacties

Een lezer vroeg me: Onlangs is de OV-Chipkaart app uitgekomen. Uit analyse blijkt dat de app per request een specifieke signature meestuurt, en zonder die signature komt er geen reactie vanuit de server van Trans Link Systems. De methode waarop de signature gemaakt wordt is te achterhalen met decompileren en daarna eenvoudig na te maken…. Lees verder

Nieuwste OV-chipkraak maakt zwartrijder onzichtbaar

| AE 2405 | Innovatie, Security | 44 reacties

Het is mogelijk te frauderen met de OV-chipkaart zonder gebruik te maken van de poortjes. Daardoor valt het misbruik niet meer te detecteren in de centrale systemen. Dat meldde Webwereld gisteren op basis van Brenno de Winter’s geweldige onderzoeksjournalistiek over de OV-faalkaart. Bij het NOS-journaal mocht ik zeggen dat dit “de perfecte misdaad” is: wel… Lees verder

Hacken OV-chipkaart is computervredebreuk (wtf?)

| AE 2347 | Security | 20 reacties

Een 30-jarige hacker is in Utrecht veroordeeld voor het vervalsen van 20 ov-chipkaarten, las ik bij Webwereld. Hij krijgt 60 uur werkstraf voor dit vervalsen, dat door de rechter “computervredebreuk” wordt genoemd. Hoogst merkwaardig. Wel terecht is de veroordeling wegens vervalsen van een betaalkaart. De rechter spreekt van “binnendringen in de chip” van de OV-kaart…. Lees verder

OV-chipkaart toch geen elektronisch geld

| AE 1591 | Informatiemaatschappij, Innovatie | 1 reactie

De OV-chipkaart blijkt geen elektronisch geld in de zin van de wet, zodat exploitant Trans Link Systems geen vergunning van de Nederlandse Bank nodig heeft om de veelgeplaagde kaart landelijk uit te rollen. Recent werden de Europese regels op dit gebied verruimd. De Wet op het Financieel Toezicht bevat een serie bepalingen voor elektronischgeldinstellingen (egi’s)…. Lees verder