Privacyprobleem: Alle stadspassen moeten worden vervangen

De gemeente Eindhoven gaat alle 268.000 stadspassen vervangen. De operatie is nodig om aan de privacywet AVG te voldoen en gaat €826.000,= kosten.

Iedereen die op dit moment een stadspas heeft, krijgt een nieuwe. Dat is nodig omdat de gemeente ruim een jaar na de invoering van de AVG-wetgeving, die wet nog altijd blijkt te overtreden. Op de pas staat namelijk informatie die er niet op mag staan.

De kosten van €826.000 euro kosten zijn niet alleen voor de vervanging van de 268.000 passen, maar ook voor de hele organisatie er omheen en noodzakelijke aanpassingen aan software. De stadspassen worden overigens niet alleen gebruikt door Eindhovenaren, ook mensen van buiten de stad die bijvoorbeeld een abonnement op het zwembad hebben, krijgen een stadspas.

De stadspassen worden behalve voor het zwembad ook gebruikt om ondergrondse afvalcontainers mee open te kunnen maken. En ze worden gebruikt om mee te parkeren of fietsenstallingen mee open te maken.

Identiteitsfraude

Het probleem met de huidige passen is niet alleen dat iemand onrechtmatig naar het zwembad zou kunnen, of zijn fiets gratis stallen. De kwetsbaarheid zit hem nog meer in de persoonsgegevens die op de pas vermeld staan, zoals volledige naam, geboortedatum, en bij de oudere passen ook het BSN-nummer.

Met bijvoorbeeld een verloren stadspas kunnen onbevoegden beschikken over de combinatie van volledige naam, geboortedatum en BSN-nummer. De overheid voert al een tijd campagne om bijvoorbeeld bij het maken van kopieën van identiteitsbewijzen het BSN-nummer door te strepen.

Bij nieuwere stadspassen staat het BSN-nummer weliswaar niet meer zichtbaar op de pas, maar het kan eenvoudig worden uitgelezen via NFC/RFID. Dat is dezelfde techniek als gebruikt wordt voor contactloos betalen - met het verschil dat het BSN-nummer op de stadspas zonder versleuteling kan worden uitgelezen.

(De tekst gaat door onder de video)

Wetgeving

Het is onduidelijk waarom de gemeente nu pas alle passen vervangt. De AVG-wetgeving is immers al ruim een jaar van kracht en ook daarvoor kregen organisaties en instanties ruimschoots de tijd om hun administratie op orde te maken. Overigens zegt de gemeente dat de administratieve kant van de stadspassen wel op orde is, het gaat om de informatie die op de pas staat.

Volgens de AVG-wetgeving mogen er alleen persoonsgegevens worden gedeeld, die ook echt noodzakelijk zijn voor het doel. Zo is bijvoorbeeld een foto geoorloofd, als iemand achter de kassa moet kunnen zien dat degene aan de balie ook daadwerkelijk degene is die het abonnement heeft afgesloten. En als een pas alleen bepaalde afvalbakken in de buurt moet kunnen openen, zullen daar naamsgegevens op de pas voor nodig zijn. Maar of iemand een man of een vrouw is, doet daarvoor bijvoorbeeld helemaal niet ter zake. En dat mag dan officieel ook niet worden vermeld.

Iedereen die nu een stadspas van de gemeente Eindhoven heeft, krijgt dus een nieuwe. Maar dat gaat nog wel even duren. In de periode 2020 tot 2022 vervangt de gemeente alle passen. Daarmee blijft de gemeente dus nog een flinke poos in overtreding van de AVG-wetgeving.

De operatie is onderdeel van de Kadernota van de gemeente, waar de politiek volgende week een definitieve beslissing over neemt. Verantwoordelijk wethouder Marcel Oosterveer (VVD) wilde de plannen woensdag nog niet voor de camera toelichten omdat er nog onduidelijkheid zou zijn over de definitieve opzet van de omwisseloperatie.

advertentie Banner Gebit-plus

Lees ook deze artikelen