Rij bij Stadion Feijenoord (De Kuip)

NL nieuws

Nieuws

KNVB zet in op digitale toegangskaart: privacydiscussie rond supporters laait op na onderzoek

Van de redactie

Voetbalclubs kijken al jaren naar de manier waarop supporters het stadion binnenkomen. Feyenoord deed dat ook en lanceerde vorig seizoen de Feyenoord-App waarin de ticketing werd geregeld. Het systeem haperde echter en leidde tot grote frustraties, waarna de club besloot terug te grijpen op de vertrouwde plastic seizoenkaart. Toch staat de ontwikkeling niet stil en is de verwachting dat op termijn een verbeterd systeem zijn intrede zal doen.

Dit is een landelijk fenomeen. Bij steeds meer clubs moeten supporters eerst hun paspoort of identiteitskaart scannen voordat zij toegang krijgen. Dat wordt gepresenteerd als een handige innovatie: je identiteit fungeert als toegangsbewijs, waardoor losse tickets overbodig worden. Even scannen en je kunt naar binnen. De KNVB is er een groot voorstander van en wil dat alle profclubs daarnaar overstappen.

Maar achter dat gemak schuilt een belangrijke vraag: welke persoonsgegevens lever je daarvoor in en wat gebeurt er vervolgens met die informatie? Privacyonderzoeker Mick Beer dook in de techniek achter het systeem. Zijn bevindingen roepen vragen op die voor iedere supporter relevant zijn.

Je identiteitsbewijs als toegangspas
Het systeem heet Persoonlijke Digitale Toegang (PDT) en is ontwikkeld door het Zwolse bedrijf SIIP. Tijdens de eerste registratie lees je met je telefoon de chip in je paspoort of identiteitskaart uit. Daarna krijg je toegang tot het stadion via een barcode. Het idee is simpel: één keer registreren en vervolgens zonder gedoe naar binnen. Er zijn geen papieren kaartjes of plastic passen meer nodig.

Niet anoniem, maar wel een stap verder
Dat voetbalsupporters niet volledig anoniem zijn, is niets nieuws. Wie een seizoenkaart heeft, staat al jaren met naam en gegevens geregistreerd bij zijn club. Bovendien zijn vandaag de dag al veel kaarten gekoppeld aan een vaste plek in het stadion en hangen er overal camera;s. De discussie over anonimiteit in het stadion bestaat dus al langer.

Toch verandert PDT de situatie wezenlijk. Een seizoenkaart koppelt je naam aan een stoel in het stadion. Een paspoortscan koppelt je aan het officiële identiteitsdocument waarmee de overheid je identiteit vaststelt. Dat zijn gegevens van een heel andere orde. Juist omdat het systeem als een praktische verbetering wordt gepresenteerd, staan veel mensen waarschijnlijk niet stil bij de hoeveelheid informatie die zij delen.

Van enkele clubs naar mogelijk landelijke invoering
PDT wordt inmiddels gebruikt door onder meer PEC Zwolle, FC Eindhoven, ADO Den Haag en NAC Breda. Zij maken gebruik van dezelfde applicatie, die per club wordt ingericht maar draait op gedeelde servers in Ierland.

Volgens Beer wil de KNVB het systeem vanaf het seizoen 2027/28 uitrollen als landelijke standaard. Wat nu nog bij een beperkt aantal clubs wordt gebruikt, zou daarmee uiteindelijk bij vrijwel alle betaaldvoetbalclubs de norm kunnen worden.

Wat ontdekte het onderzoek?
Beer onderzocht het dataverkeer van de app. Daarbij trof hij ook positieve punten aan. Volgens zijn analyse zijn de meest gevoelige onderdelen, zoals identiteitsgegevens en tickets, technisch goed beveiligd. Ook vond hij geen advertentie- of trackingsoftware van externe partijen die voor reclamedoeleinden wordt gebruikt. Zijn kritiek richt zich op andere onderdelen van het systeem.

Volgens zijn metingen verstuurt de app direct na het opstarten gebruiksgegevens naar Amerikaanse bedrijven, zonder dat gebruikers daar expliciet toestemming voor geven. Daarnaast zou tijdens de registratie meer informatie naar de servers worden verzonden dan zichtbaar is voor de gebruiker. In een vervolgonderzoek concludeert Beer op basis van onderschept dataverkeer dat ook het burgerservicenummer (BSN) en de pasfoto uit de chip van het paspoort worden doorgestuurd.

Verder merkt hij op dat de verplichte Data Protection Impact Assessment (DPIA) niet openbaar is gemaakt en dat de privacyverklaring volgens hem geen volledig beeld geeft van welke partijen persoonsgegevens verwerken. Hier zitten volgens de onderzoeker dus de nodige haken en ogen aan.

Beer wijst daarnaast op de commerciële mogelijkheden van het systeem. Hij verwijst naar uitspraken van SIIP-directeur Remco Voorhorst, die geïdentificeerde bezoekers omschrijft als "exciting commercial opportunities": bezoekers aan wie gericht diensten of aanbiedingen kunnen worden gedaan.

SIIP weerspreekt de conclusies
SIIP kan zich niet vinden in de belangrijkste conclusies van Beer. Voorhorst stelt dat het onjuist is dat de identiteit van gebruikers het toestel verlaat om vervolgens als profiel op de servers te worden opgeslagen. Tegelijkertijd erkent hij dat het systeem commerciële voordelen biedt en noemt hij privacy een belangrijke randvoorwaarde.

Beer blijft echter bij zijn bevindingen en stelt dat zijn eigen metingen juist het tegenovergestelde aantonen. Daarmee is de discussie nog niet beslecht: het gaat op dit moment om twee tegenovergestelde lezingen van hetzelfde systeem.

Wat betekent dit voor supporters?
Voor supporters draait de discussie uiteindelijk om een aantal vragen. De eerste is keuzevrijheid. Wie zijn paspoort liever niet laat scannen, kan straks mogelijk geen alternatief meer hebben om een wedstrijd te bezoeken.

De tweede betreft de beveiliging van persoonsgegevens. Hoe meer identiteitsgegevens centraal worden opgeslagen, hoe aantrekkelijker zo'n systeem wordt voor cybercriminelen. Datalekken komen regelmatig voor en ook de voetbalwereld is daar niet immuun voor. Mocht er iets misgaan, dan gaat het niet alleen om een verloren toegangspas, maar mogelijk om gevoelige gegevens zoals een burgerservicenummer en een pasfoto uit een identiteitsdocument. Een wachtwoord kun je veranderen; een BSN niet.

Tot slot gaat het om transparantie. Als supporters niet precies weten welke gegevens worden verzameld, waar die terechtkomen en met wie ze worden gedeeld, is het moeilijk om een weloverwogen keuze te maken.

En juist daar ligt de kern van de discussie. Het extra gemak is onmiskenbaar, maar vormt tegelijk het belangrijkste verkoopargument van het systeem. Daardoor verdwijnt gemakkelijk naar de achtergrond hoeveel persoonlijke informatie daar mogelijk tegenover staat.

De bredere discussie
Dat voetbalclubs de toegang willen controleren en willen weten wie zich in het stadion bevindt, is begrijpelijk. De echte discussie gaat daarom niet over de vraag óf identificatie mag plaatsvinden, maar over de omvang ervan. Welke persoonsgegevens zijn daarvoor daadwerkelijk noodzakelijk? Waar worden die opgeslagen? Wie heeft er toegang toe? En hoe transparant is dat proces?

Zolang belangrijke documenten, zoals de DPIA, niet openbaar zijn en onderzoeker en leverancier fundamenteel van mening verschillen over wat er precies met persoonsgegevens gebeurt, blijven die vragen onbeantwoord. Als PDT inderdaad uitgroeit tot de landelijke standaard, is dat een ontwikkeling die supporters kritisch zullen blijven volgen.

Delen