Translink voert wijzigingen door aan de tool 'reishistorie anonieme kaart', nadat bleek dat deze onder meer de geboortedatum van de eigenaar van een persoonlijke ov-chipkaart prijsgaf. Sander Wind, die de site nader onderzocht, ontdekte dat.
Een woordvoerder van Translink laat aan Tweakers weten dat er inderdaad 'onwenselijke gegevens' op te vragen zijn met de tool. Websitebouwer Sander Wind onderzocht de ov-chipkaartsite nader toen deze week bleek dat het saldo van willekeurige ov-chipkaartnummers was op te vragen. Translink zag dat echter niet als problematisch. Wind ontdekte dat er met een cURL-verzoek meer gegevens dan alleen de reishistorie op te vragen waren, nadat hij internetverkeer zag langskomen dat hij kon aanpassen. Volgens Translink houdt dit verband met een andere onlinetool, die op het moment van schrijven offline is. Daaronder waren de geboortedatum van de eigenaar, het saldo, het type kaart en de geldigheidsdatum.
Voor het verzoek was alleen een kaartnummer nodig en geen verdere authenticatie. Translink zegt dat dit niet de bedoeling was, maar dat 'een geboortedatum niet herleidbaar is tot een persoon'. Een geboortedatum wordt aangemerkt als een 'direct identificeerbaar gegeven'. De woordvoerder stelt dat er wel contact is opgenomen met de Autoriteit Persoonsgegevens en dat het bedrijf eraan werkt de tool weer online te zetten. Wanneer dat gebeurt, is vooralsnog onduidelijk.
Wind zei tegen Tweakers dat het bovendien mogelijk is om een deel van het e-mailadres van de eigenaar te achterhalen door een poging te doen de kaart te koppelen aan het eigen profiel. Volledig koppelen kan volgens Translink niet zonder toegang tot het e-mailadres.
Eerder deze week bleek dat er ook via de NS-site de geboortedatum op de vragen was van de eigenaar van een ov-chipkaart. De NS liet toen aan Tweakers weten dat de tool is aangepast en dat gebruikers nu zelf hun geboortedatum moeten invullen. Ook heeft het bedrijf melding gemaakt bij de Autoriteit persoonsgegevens. Over de opvraagbaarheid van het saldo via de ov-chipkaartsite schreef jurist Arnoud Engelfriet deze week dat hij dit ziet als datalek. De Autoriteit Persoonsgegevens wilde niet op het specifieke geval ingaan.