Drie ov-bedrijven en Trans Link Systems, dat de OV-chipkaart coördineert, overtreden met de studenten-OV-chipkaart de wet. Dat concludeert het College Bescherming Persoonsgegevens. Gegevens worden bijvoorbeeld te lang bewaard.
Het CBP startte een onderzoek nadat een aantal studenten zich had gemeld met het verzoek de studenten-OV-chipkaart nader te onderzoeken. Nu blijkt dat vier bedrijven de privacyregels overtreden, meldt het CBP vrijdag. Trans Link Systems, het Amsterdamse vervoersbedrijf GVB en de Rotterdamse RET bewaren 'direct of indirect herleidbare' persoonsgegevens langer dan noodzakelijk. Ook weten ze de bewaartermijnen onvoldoende te motiveren, meent het CBP.
Volgens het CBP moeten persoonsgegevens worden verwijderd als zij niet meer noodzakelijk zijn, om misbruik en 'onnodige verwerking' te voorkomen. Dat doen de drie bedrijven niet, aldus het CBP, en dus wordt de privacywetgeving overtreden.
De ov-bedrijven verweerden zich altijd door te zeggen dat ze persoonsgegevens nu eenmaal lang moeten bewaren voor de belastingdienst, maar met die redenering maakt de privacywaakhond gehakt; een belastingplichtige hoeft alleen persoonsgegevens te verzamelen als hij al is bevoegd om deze te verzamelen. Verstrekking van persoonsgegevens aan de fiscus is op zichzelf geen grondslag voor het mogen verzamelen van die gegevens, stelt het CBP.
Ook de NS kreeg een tik op de vingers. Dat bedrijf zou studenten onvoldoende informeren over de noodzaak om in- en uit te checken. Dat is voor studenten die gratis met de trein reizen niet verplicht, maar dat weten veel studenten niet. In plaats daarvan worden reizigers op stations herinnerd aan het in- en uitchecken van hun kaart, waardoor studenten zouden inchecken terwijl dat technisch niet noodzakelijk is.