Hugo Kroeze, docent elektrotechniek bij de Academie voor Deeltijd ziet veel haken en ogen aan het plan om de Avanspas te doen opgaan in de ov-kaart. In dit opiniestuk zet hij zijn bezwaren uiteen. “Wie garandeert mij dat een handige hacker straks niet onopvallend af en toe wat ov-saldo skimt.”
Het komt mij voor dat dit plan in strijd is met de algemene voorwaarden ov-chipkaart, zoals die door Trans Link Systems zijn vastgesteld. Artikel 8 stelt dat de gebruiker op de kaart producten kan plaatsen van bedrijven die de ov-chipkaart als betaalmiddel accepteren. In art. 9 wordt gesteld dat de gebruiker een saldo op de kaart kan laden, dat vervolgens voor alle toepassingen kan worden gebruikt. Nergens is sprake van een apart saldo voor verschillende toepassingen of bedrijven.
‘Nergens in de voorwaarden wordt genoemd dat ook andere dan ov-bedrijven de kaart mogen gebruiken’
Art. 28 maant de gebruiker om de kaart alleen te gebruiken voor het doel waarvoor deze is verstrekt, en nergens in de voorwaarden wordt genoemd dat ook andere dan ov-bedrijven de kaart mogen gebruiken voor andere doelen dan het betalen van openbaar vervoer.
Het bericht van de DIF over het gebruik van de ov-chipkaart stelt: “het saldo dat je straks op je kaart zet voor Avans, staat los van je ov-saldo”. Dat kan volgens de algemene voorwaarden niet, dus kennelijk brengt Avans wijzigingen aan in de software en/of het geheugen van de kaart. Dat mag ik volgens art. 33 van de voorwaarden niet toestaan als gebruiker: “het is niet toestaan de ov-chipkaart …. te wijzigen of te gebruiken in strijd met onze algemene voorwaarden. Het is ook niet toegestaan …. om deze handelingen door anderen te laten uitvoeren.”
‘Het is algemeen bekend dat de software van de ov-kaart gekraakt is’
De bewering “DIF zegt niet bij de reisgegevens en het saldo op de ov-kaart te kunnen” is aantoonbaar onjuist. Het is algemeen bekend dat de software van de ov-kaart gekraakt is (NRC 2-4-2015). Ik wil aannemen dat de DIF niet het voornemen heeft om reisgegevens en/of saldo te lezen, maar het is niet onmogelijk. Nu hoef ik mijn ov-kaart alleen maar aan te bieden aan lezers die onder controle staan van ov-bedrijven zodat ik door middel van de algemene voorwaarden garanties heb over de integriteit van mijn saldo en reisgegevens. Straks vliegt de ov-kaart data met duizenden per dag heen en weer in het Avans netwerk, waar een paar duizend studenten en medewerkers open toegang toe hebben. Wie garandeert mij dat een handige hacker straks niet onopvallend af en toe wat ov-saldo skimt?
Ik hoop ook dat dit niet gebeurt, maar de praktijk van de software-piraterij leert dat alles wat mogelijk is en geld oplevert ook gedaan wordt (when something can go wrong, it will go wrong).
Punt. Of had jij nog wat?