Schriftelijke vraag betreffende het contactloze systeem bij de MIVB.
- Indiener(s)
- Françoise Schepmans
- aan
- Elke Van den Brandt, Minister van de Brusselse Hoofdstedelijke Regering, belast met Mobiliteit, Openbare Werken en Verkeersveiligheid (Vragen nr 474)
| Datum ontvangst: 08/07/2020 | Datum publicatie: 02/10/2020 | ||
| Zittingsperiode: 19/24 | Zitting: 19/20 | Datum antwoord: 18/09/2020 | |
| Datum | behandeling van het stuk | Indiener(s) | Referentie | Blz. |
| 10/07/2020 | Ontvankelijk | p.m. |
| Vraag | Ik vroeg u afgelopen februari naar het nieuwe contactloze systeem van de MIVB. Ik heb u met name gevraagd naar de situatie van passagiers die gebruik hebben gemaakt van dit systeem in het geval van controle van de geldigheid van het ticket. U antwoordde dat de MIVB-inspecteurs zouden worden uitgerust met specifieke controleapparatuur. Vandaag de dag is dit systeem ingevoerd. Graag een antwoord op de volgende vragen: 1. Beschikken alle medewerkers over dit nieuwe type apparatuur? Hoeveel hebt u er? Waaruit bestaat het? 2. Dit nieuwe systeem houdt in dat de bankkaart als het ware het vervoerbewijs van de passagier wordt. Hoe worden de gegevens "geanonimiseerd" in overeenstemming met de AVG? 3. In verschillende gevallen, met name in Engeland, heeft het probleem van een lege smartphone-batterij zich voorgedaan bij de controle van de geldigheid van het vervoerbewijs. Hoe is de MIVB van plan deze zaak op te lossen? |
| Antwoord | In een eerste fase zal er één controletoestel voor contactloos betalen per controleploeg zijn (gezien het beperkte volume) maar de door de MIVB afgewerkte aanbesteding voorziet dat elke agent een toestel krijgt. Het gaat om een beveiligd toestel (onderworpen aan de normen PCI DSS) dat toelaat na te verifiëren, op presentatie van de bankkaart, of er een geldige validering in de backoffice van de MIVB zit die correspondeert met het token verbonden aan de kaart. De MIVB kan in geen enkel geval de persoonlijke informatie van de klant lezen, noch de informatie betreffende het rekeningnummer. De verwerking van persoonsgegevens in het nieuwe EMV-systeem moet in overeenstemming zijn met de beginselen van de GDPR zoals uiteengezet in artikel 5 van de GDPR. Op deze manier is de verwerking gebaseerd op een wettelijke basis, is het doel van de verwerking vooraf gedefinieerd, worden alleen de voor het doel noodzakelijke gegevens verzameld, wordt de juistheid van de gegevens gewaarborgd en wordt een bewaartermijn vastgesteld. (De modaliteiten van de verwerking worden beschreven in de Privacyverklaring, in de paragraaf "Waarom verwerken wij uw gegevens? / Betaling met creditcard: EMV"). Bovendien is in de GDPR het beginsel van gegevensbeveiliging vastgelegd. In overeenstemming hiermee streeft de MIVB ernaar "een passende beveiliging van de gegevens te garanderen" door technische en organisatorische maatregelen in te voeren zoals omkeerbare anonimisering (pseudonimisering). Meer bepaald stuurt de oplossing voor de validatie van betaalkaarten geaggregeerde technische gegevens naar de MIVB. Een kaart wordt geïdentificeerd met een identificatienummer en er worden geen gegevens over de identiteit van de houder van de betaalkaart aan de MIVB doorgegeven. De MIVB is niet in staat om direct of indirect een persoon te identificeren op basis van deze gegevens alleen. Wie ervoor kiest om zijn smartphone als betaalmiddel voor een ticket te gebruiken, moet er daadwerkelijk voor zorgen dat deze voldoende batterijvermogen heeft. Dit is inderdaad de verantwoordelijkheid van de klant (net zoals de persoon die een papieren ticket koopt het moet kunnen tonen tijdens een controle en er dus voor moet zorgen dat hij het niet verliest). |