Medisch geheim

Vorige week (op 17 februari) kwam prins Johan Friso onder een sneeuwlawine terecht die hij waarschijnlijk zelf (met zijn skivriend) had veroorzaakt. Heel vervelend, maar dit is alleen nieuws omdat Johan Friso een bekende Nederlander is. Vervolgens kwam medische informatie zoals het ondergaan van een CT-scan en een MRI-scan via een journalist van NRC in de openbaarheid.
Gisteren (22 februari) gingen het NOS journaal en Nieuwsuur voor een groot deel over het VU medisch centrum dat een cameraploeg met 35 verborgen camera's en microfoons opnamen heeft laten maken op de spoedeisende hulp. De patiënten werden zoveel mogelijk vooraf gevraagd of ze hier bezwaar tegen hadden. Kon dat niet, dan werd de toestemming achteraf gevraagd.

Medisch geheim is geen spelletje

Het medisch geheim dient patiënten die in alle vrijheid over hun medische problemen moeten kunnen praten. Daarbij kunnen zaken ter sprake komen (en geheim blijven) die de patiënt niet met de directe familie wil of durft te bespreken.

Prins Johan Friso heeft geen toestemming kunnen geven voor publicatie van enige informatie over zijn medische toestand. Het is een schande dat de betrokken artsen informatie naar de pers hebben laten uitlekken. Veel abonnees van NRC nemen het ook die krant zeer kwalijk.

De patiënten van de spoedeisende hulp van het VUMC is, voorzover mogelijk, vooraf toestemming gevraagd. In sommige gevallen kon dat niet en in minstens één geval kon dat wel maar is dat verzuimd. Die patiënten is achteraf om toestemming gevraagd die soms geweigerd is. In die gevallen is het medisch geheim geschonden. Het achteraf vernietigen van het beeld- en geluidmateriaal kan het feit dat een regisseur heeft meegekeken en geluisterd niet meer ongedaan maken.

Vertrouwen komt te voet, maar gaat te paard

Dit gezegde verwoordt een hoop (volks-)wijsheid.
De exacte medische toestand van Johan Friso heeft nieuwswaarde, maar de betrokken artsen hadden moeten beseffen dat ze die informatie alleen met Johan Friso mogen delen of (zolang hij bewusteloos is), met zijn vrouw. Natuurlijk mogen medici onderling over hun patiënten overleggen. Overleg is nuttig. Maar die medici mogen geen informatie naar buiten brengen.

Ik kan niet begrijpen hoe het VUMC heeft kunnen instemmen met een werkwijze waarbij opnamen gemaakt konden worden zonder voorafgaande toestemming. De leiding van het VUMC moet hier over nagedacht hebben en op één of andere manier hebben ze een drogredenering bedacht waarmee het medisch geheim geschonden mocht worden mits achteraf toestemming werd gevraagd.

Ze hebben zichzelf daarmee knap voor de gek gehouden.

Hoe zetten we dit recht?

Het lekken van informatie over Johan Friso is niet meer terug te draaien. Daar is niets meer aan te doen.

Het materiaal van de patiënten van de spoedeisende hulp van het VUMC is nog niet uitgezonden. Ook patënten die (vooraf of achteraf) toestemming hebben gegeven kunnen deze nu nog intrekken. Ze kunnen betogen dat ze onder druk stonden toestemming te verlenen. Ook het gevoel dat er eigenlijk iets onfatsoenlijks is gebeurd en dat je daar niet bij betrokken wilt zijn kan een reden zijn de toestemming in te trekken.

Het zou het VUMC sieren als ze alle betrokken patiënten opnieuw schriftelijk toestemming vraagt. Als een patiënt niet reageert moet de toestemming als ingetrokken worden beschouwd. Ik verwacht dat, na de commotie van gisteravond, weinig patiënten opnieuw toestemming zullen geven. Dat kan betekenen dat het programma niet door kan gaan. Dat lijkt mij niet zo erg.

Aanvulling (23 februari 2012, 23:00)

RTL4 heeft de eerste uitzending met twee weken vervroegd naar vanavond. Het lijkt wel of ze bang waren dat uitzending alsnog geblokkeerd zou worden. Vervolgens was er in Nieuwsuur een verhitte discussie. Nieuwsuur heeft nog enkele patiënten gevonden aan wie, zonder noodzaak, pas achteraf toestemming was gevraagd. De personen die om de toestemming vroegen waren gekleed in een witte jas. Verwarring met medici was te verwachten en heeft daadwerkelijk plaatsgevonden.

De vertegenwoordigers van het VUMC bleken niet te overtuigen van het feit dat gesprekken tussen een patiënt en een medicus geheim zijn en dat het, onzichtbaar, meeluisteren door derden gewoon niet mag. Een geheimhoudingsverklaring (getekend door de programmamakers) maakt dat niet goed. De vertegenwoordigers van het VUMC probeerden een discussie starten over grenzen aan de privacy van de patiënt. Het maken van een programma over hun afdeling spoedeisende hulp vonden ze belangrijker dan werken binnen de wet. Dit muisje krijgt nog een staartje...

Aanvulling (24 februari 2012, 23:00)

De overige uitzendingen van het programma over de spoedeisende hulp van het VUMC zullen, op verzoek van het VUMC, niet worden uitgezonden. Het gezond verstand heeft gewonnen, of misschien was het de vrees voor consequenties van doorgaan. Er zal nog wel een appeltje geschild worden over de kosten van de productie...

Er is weinig hoop voor meer voor Johan Friso. Het nieuws is dat niet is te voorspellen of hij ooit nog uit coma zal ontwaken. Ik wens zijn familie veel sterkte toe met de verwerking van deze ramp.

Aanvulling (23 maart 2012)

De kosten van het geannulleerde TV-programma worden gedeeld door VUMC, RTL en Eyeworks. Elke partij is ongeveer € 188.000 armer. Er zijn aangiften gedaan door minstens drie patiënten. De kosten kunnen dus nog wat verder oplopen.

Aanvulling (12 augustus 2013)

Deze morgen is Prins Friso overleden.

Informatievoorziening bij NS

Afgelopen vrijdag viel de eerste sneeuw van deze winter en de gevolgen waren ernstig. Nu was het al enige tijd goed koud. En natuurlijk kan sneeuw zich op vervelende plekken ophopen. Maar dat verklaart niet waarom NS geen fatsoenlijke informatie kan geven. Op 28 maart 2011 heb ik hierover al eens geschreven. In dit stukje schrijf ik steeds NS, maar het gaat net zo goed over Prorail.

Wat schreef ik toen?

Toen vroeg ik me af waarom er (kennelijk) geen koppeling is van de systemen van de treindienstleiders naar de informatieborden, web sites, enz. van NS. Ik heb toen het vermoeden geuit dat de huidige systemen zo gammel zijn dat nieuwe functionaliteit niet is toe te voegen zonder dat de zaak instort. Verder hoopte ik dat NS daar wat aan zou doen. (Ik schreef het toen iets diplomatieker dan nu.)

NOS journaal

In het NOS 6-uur journaal van zaterdagavond wordt gesproken van een combinatie van defecte wissels, bovenleidingen en treinen waardoor nagenoeg alle treinverkeer rond Utrecht is lamgelegd. Na een blik op de kaart van dit emplacement (van www.sporenplan.nl) lijkt me dit een ongeloofwaardige verklaring.
Utrecht heeft twee- (of meer-)sporige verbindingen met Vleuten (Gouda), Maarssen (Amsterdam), Blauwkapel (Hilversum en Amersfoort), Driebergen-Zeist en Culemborg ('s-Hertogenbosch). Door fly-overs kunnen uit nagenoeg al die richtingen tegelijk treinen binnenlopen en vertrekken. De gekleurde getallen in de tekening zijn wisselnummers. Het is gewoon onmogelijk dat slechts enkele defecten al dit treinverkeer blokkeren. Met een stuk of twintig zeer ongelukkig gekozen wissels gaat dat misschien net lukken.
Kortom, er was meer aan de hand. Maar wat?
Mogelijk komt daar nog een keer een eerlijk antwoord op. De minister van Infrastructuur en Milieu laat de zaak uitzoeken en over een jaar of zo zal er wel een rapport verschijnen.

Informatievoorziening aan de reizigers

De reizigers op Utrecht Centraal ontbeerden noodzakelijke informatie. In het eerdergenoemde NOS journaal werd een geval verteld van reizigers die naar vervangende bussen werden gestuurd terwijl er ook een trein reed. In een ander geval werden mensen naar een perron gestuurd waar de trein wegreed voordat ze konden instappen! Het was toch wel handig geweest als de conducteur van die trein dat omroepbericht ook gehoord had; dan had die trein even kunnen wachten.
Zo'n totaal gebrek aan coördinatie mag niet kunnen!

Wat moet er gebeuren

Defecte treinen, bovenleidingen en wissels zijn bij extreem weer niet te vermijden. Maar ontbrekende of faliekant onjuiste informatie aan de reizigers is niet goed te praten.
Ik ben een software man met redelijke kennis van verkeers- en vervoerssystemen. De enige manier waarop ik al deze miscommunicatie kan verklaren is het ontbreken van een automatische koppeling van de systemen van de treindienstleiding naar de reisplanners (van NS en 9292OV), treinaanwijzers, conducteurs, machinisten, perronopzichters, informatiebalies, enz.
Kennelijk staat het systeem van de treindienstleiding op zichzelf en moeten mutaties mondeling aan de rest van het bedrijf worden doorgegeven. Zodra de treindienstleiding het te druk heeft stort het systeem in elkaar.

Dat is niet van deze tijd!

Het systeem van de treindienstleiding is safety critical. Fouten in dit systeem kunnen gevaarlijke situaties opleveren. Daarom moeten wijzigingen in dit software (en gedeeltelijk hardware-)systeem extreem zorgvuldig worden ontworpen en getest. Dat kost tijd. Maar een softwarematige koppeling naar de overige informatiesystemen hoeft slechts één kant op te werken. De informatie gaat alleen van de treindienstleiding naar de rest van het bedrijf en de reizigersinformatiesystemen en nooit in omgekeerde richting. Zo'n eenrichtingskoppeling is relatief simpel. Dit kan (en moet) helemaal los staan van safety critical aspecten van het systeem van de treindienstleiding.

Welke informatie moet er naar buiten gevoerd?

Elke (nieuw) ingelegde trein, elke wijziging (of vertraging) in een geplande of ingelegde trein, elke vervallen trein. Bij nieuwe ingelegde of gewijzigde trein moet het systeem doorgegeven op welke stations en op welke tijdstippen de trein zal stoppen.

Dit kan gewoon niet moeilijk zijn.

Iemand van NS moet mij eens uitleggen waarom die koppeling er niet is (of niet werkt). Ik wil NS graag helpen met advies en mijn kennis.

Hoe flexibel is het systeem van de treindienstleiding?

Treindienstleiders kunnen extra treinen toevoegen aan de normale dienstregeling. Maar als de zaak goed in de war ligt lijkt dat nauwelijks meer te kunnen. Om een geïmproviseerde passagierstrein in te leggen moet je natuurlijk een aantal zaken in orde hebben:

1. Een trein
2. Een machinist en een conducteur
3. Een rijweg voor die trein

Zo'n rijweg hoeft niet gelijk helemaal van Utrecht Centraal naar Groningen te lopen. Zorg dat er een rijweg is tot Amersfoort. Tegen de tijd dat de trein daar is moet je verder improviseren. Kennelijk zijn dit soort improvisaties met de huidige systemen niet goed mogelijk.

Wat voor noodplannen zou je moeten hebben?

Het simpelste noodplan voorziet voor de grotere stations voor elk naburig groter station in een rijweg (instelling van alle betrokken wissels) waarmee één trein tussen die stations kan pendelen en stoppen op alle tussengelegen stations. Na aankomst op het volgende grotere station gaat de trein direct weer terug (over hetzelfde spoor). Op bijna alle sporen in Nederland kunnen treinen links rijden (al is daarbij in sommige gevallen de maximum snelheid beperkt). Voor dit noodplan moeten wissels eenmalig in een geschikte stand gezet worden en, wanneer het eenmaal rijdt, kom je nooit treinen of treinbemanning tekort en hoeven nooit wissels omgezet te worden. De maximale frequentie is laag; op de meeste verbindingen één of twee treinen per uur.
De huidige nooddienstregeling (die een paar jaar geleden is getest, maar bij de recente problemen niet is gebruikt) voorziet weliswaar in pendelende treinen, maar die rijden steeds rechterspoor en dat vergt bediening van één wissel op elk van de keerpunten. Met zo'n nooddienstregeling kunnen makkelijk zes tot acht treinen per uur rijden, maar NS houdt het bij twee.

Omschakelen is ingewikkeld

Noodplannen, zoals hierboven moeten landelijk kunnen draaien, maar ook in delen van het land. In dat geval zijn er grensstations waar de normale treinseries verkort keren en de reizigers van en naar pendeltreinen moeten overstappen. Die grenzen kunnen bovendien verschuiven (als de verstoringen zich uitbreiden) en, als de problemen verminderen, dan moet het gebied met de nooddienstregeling ook weer verkleind kunnen worden.
Bij dat verschuiven van de grenzen is het ongetwijfeld lastig er voor te zorgen dat er op de alle plaatsen voldoende treinen en bemanningen aanwezig zijn. Maar ook een teveel aan treinen kan een probleem zijn. Dit managen vergt een goed overzicht van de treinenloop maar ook regelmatig oefenen (op simulators).

Het lijkt er op dat de treindienstleiding bij meerdere verstoringen tegelijk dat overzicht heel erg kwijt raakt.

Concurrentie en prijsvergelijkingen

Winkels zijn er op uit geld te verdienen met het verkopen van goederen.
Kopers willen goederen of diensten verwerven en daarvoor betalen.
Winkels en klanten hebben elkaar nodig, maar verder zijn de belangen ietwat tegengesteld.

De koper zal proberen voor een lage prijs een goed product te verwerven. Daarvoor moet de koper de aanbiedingen van de winkels vergelijken en het beste aanbod kiezen.
De optimale situatie voor de koper betekent dat de winkels weinig winst maken.

Voor de winkels kan het gunstig zijn als de klanten minder goed in staat zijn prijzen te vergelijken. De Nederlandse wet verplicht winkels de prijzen duidelijk aan te geven. Die wet gaat heel ver. Een klant die op grond van informatie in folders of in de winkel een bepaalde prijs verwacht moet het product voor die prijs kunnen kopen. Winkels moeten dus goed opletten dat er geen verwarring kan ontstaan over de prijs. Alleen in het geval een vergissing tot een absurd lage prijs leidt is de winkelier niet verplicht de verwachting waar te maken.

Het is in Nederland verplicht dat alle artikelen in een winkel duidelijk geprijsd zijn en dat bij de kassa exact die prijs wordt berekend. Winkeliers mogen niet geheimzinnig doen over prijzen. Ze mogen in beginsel niet per klant andere prijzen hanteren voor hetzelfde product. Dit is ter bescherming van de klanten. Toch zijn er heel veel manieren waarop winkels het vergelijken van prijzen lastig (kunnen) maken.

Hoe maak je het de klant zo moeilijk mogelijk

Een greep uit de vele mogelijkheden:

1. Albert Heijn heeft aanbiedingen die alleen gelden voor houders van een klantenkaart (bonuskaart). Het zal juridisch wel net kunnen, maar de incidentele klant die zo'n kaart niet heeft kan er gemakkelijke instinken.
2. Kruidvat heeft sinds kort een klantenkaart die gepaard gaat met gerichte kortingsaanbiedingen per email. Hierbij ontstaat in elk geval niet de situatie dat een incidentele klant meer betaalt dan verwacht, maar ook hier betalen verschillende klanten niet dezelfde prijs voor hetzelfde product.
3. Het airmiles spaarsysteem is bij veel Nederlandse winkel(-ketens) in gebruik. De klant betaalt dezelfde prijs, maar spaart punten waarvoor later iets gekocht kan worden. Dit is dus een verkapte korting die prijsvergelijken bemoeilijkt.

Dit zijn allemaal voorbeelden van zogenaamde loyalty-programma's. Ze maken het vergelijken van de echte prijzen moeilijker. En dat is precies de bedoeling.

Het is helemaal kwalijk als gespaard kan worden op producten die door een ander betaald worden. Elke grote vliegmaatschappij heeft een spaarsysteem. Zakelijke reizigers kunnen hier sparen met reizen die de baas betaalt. Dit kan heel gemakkelijk leiden tot het reizen bij een maatschappij die helemaal niet de beste prijs biedt.

Is er een oplossing?

Loyalty programma's werken. Zolang ze werken blijven ze bestaan en blijven de winkels nieuwe loyalty programma's verzinnen.

Principiële klanten zouden zoveel mogelijk moeten winkelen bij winkels die eerlijke prijzen hanteren en de zaak niet ingewikkelder maken met loyalty programma's. Ik vrees dat het een illusie is dat we dit voor elkaar gaan krijgen.

Skimming, wat is het probleem?

Skimming is het klandestien lezen van de informatie van een betaalpas of credit card in combinatie met het afkijken van de PINcode.
Omdat in Nederland (en daarbuiten) PIN betalingen nog vaak gebaseerd zijn op de magneetstrip van de betaalpas is kopiëren van de benodigde informatie kinderspel.
Jaren geleden hebben de banken al afgesproken dit systeem te vervangen door een systeem dat een chip in de pas gebruikt. Pas in de loop van dit jaar begint het gebruik van deze nieuwe methode ook in Nederland door te breken. De belofte was dat per 1 januari 2012 alle betaalautomaten in ons land de chip zouden gebruiken. Helaas gaat ook dit weer niet lukken.

Waarom is die chip veiliger dan de magneetstrip?

De chip in de pas bevat een microprocessor die de transactie autoriseert met een cryptografische handtekening. Als het goed is geïmplementeerd zal de chip daarbij geen cryptografische geheimen prijsgeven en ook is het niet mogelijk de handtekening van een transactie te gebruiken voor een andere. De autorisatie geldt alleen voor die éne transactie.
De magneetstrip is een dom ding. Het is volledig uit te lezen en perfect na te maken met apparatuur die slechts een paar tientjes kost.

Waarom is die chip niet eerder ingevoerd?

In veel Europese landen is dat al lang geleden gebeurd. Nederland loopt sterk achter. Hier, en in veel andere landen zijn de banken gewoon laks geweest. Die banken ondernamen geen actie zolang de kosten van de frauduleuze handelingen en de reputatieschade niet hoger waren dan de kosten van betere beveiliging. In ons land stegen de jaarlijkse kosten tot boven de € 36 000 000 voordat het systeem van PIN betalingen met chip serieus van de grond kwam.
Zolang er nog ergens betaalpunten zijn die alleen met het magneetstripsysteem werken moeten alle passen ook met een magneetstrip werken. Anders kunnen we onze passen niet overal gebruiken.

Is die chip echt niet te kraken?

Alles is te kraken, maar de chips in onze betaalpassen zijn behoorlijk goed beveiligd. Helaas zitten er gigantische ontwerpfouten in het protocol waarmee de betaalautomaat met de chip op de pas communiceert. Zie Chip and PIN is Broken voor het achterliggende artikel (in het Engels).

1. De communicatie tussen de betaalterminal en de pas is niet cryptografisch versleuteld. De PIN die de klant intoetst gaat dus onversleuteld naar de pas. Daardoor is de PIN code met een simpele ingreep in de betaalterminal af te luisteren. Ook als deze communicatie wel versleuteld was, is een betaalterminail te corrumperen, maar dan moeten de skimmers wel voor ieder model betaalterminal iets nieuws verzinnen.
2. Het systeem voorziet in passen waarvoor geen PIN nodig is. Met een subtiel apparaatje dat als een hoesje tussen de betaalterminal en de pas zit is het mogelijke een echte pas te gebruiken zonder dat die pas de PIN controleert. De betaalterminal denkt echter dat de transactie wel door de pas met PIN is geautoriseerd. In Nederland is deze voorziening uitgeschakeld voor Nederlandse betaalpassen.
   

Wat moeten we verbeteren?

In Nederland draaien de banken in het algemeen op voor de schade. Maar natuurlijk betalen zij dat uit de opbrengsten van het betalingsverkeer; indirect betalen wij het zelf. Het enige wat je als klant kan doen is overstappen naar een bank die de kosten laag houdt.
De fouten in het protocol van de communicatie tussen de betaalautomaat en de chipkaart zijn heus wel op te lossen. Maar dat vergt nieuwe software in de betaalautomaten en (misschien) nieuwe betaalpassen met andere software in de ingebedde chip. Nieuwe software in de passen duurt helaas jaren om in te voeren. En wie je PIN kent hoeft nog steeds alleen je betaalpas te stelen om je bankrekening te kunnen plunderen.

Het echt goed beveiligen van de betaalautomaten tegen het aanbrengen van onbevoegde hardware die de ingetoetste PIN afkijkt is duur en lastig. PIN is een zeer zwakke beveiliging. Misschien moeten we gaan denken aan iets beters of wat extra's. Bijvoorbeeld een pasfoto die op de pas staat (en zichtbaar is voor de cassière is zolang de pas in de betaalterminal zit). Voor onbemande betaalsystemen werkt dat natuurlijk niet. Dat is een probleem omdat de meeste frauduleuze transacties bij geldautomaten in een ver buitenland plaatsvinden. Maar automatische herkenning van gezichten is de laatste jaren sterk verbeterd. Door dat in geldautomaten in te bouwen kunnen we ook veel winnen. (De pasfoto moet dan misschien ook in de chip op de kaart staan.) Natuurlijk kost het jaren om dit in te voeren, maar in de overgangstijd zou het maximum opnamebedrag bij de oude geldautomaten flink lager kunnen zijn.

NS tariefsystematiek

NS tarieven zijn afhankelijk van de gereisde afstand. Maar daarbij hanteert NS een vreemde manier van afstanden meten. Vervolgens is de prijs op een rare manier afhankelijk van de "gemeten" afstand.

Hoe meet NS de gereisde afstand?

NS tarieven zijn gebaseerd op het aantal gereisde tariefeenheden. Die tariefeenheden komen ongeveer overeen met echte kilomaters, maar vaak ligt een groepje stations op onderling 0 tariefeenheden uit elkaar en dan is de afstand tot het eerste station buiten die groep in tariefeenheden extra hoog om de "fout" weer goed te maken.
Voorbeeld ("werkelijke kilometers" gemeten met Google Earth):

Van station	Naar station	Tariefeenheden	Werkelijke kilometers
Eindhoven	Helmond Brandevoort	10	9,250
Helmond Brandevoort	Helmond 't Hout	3	1,650
Helmond 't Hout	Helmond (centraal)	0	2,400
Helmond (centraal)	Helmond Brouwhuis	0	2,750
Helmond Brouwhuis	Deurne	9	6,200
Eindhoven	Deurne	22	22,250

Op langere afstanden komen de tariefeenheden keurig overeen met de werkelijke kilometers, maar voor de kortere afstanden is het een rommeltje met afwijkingen van 100% te laag tot 80% te hoog.

Ik weet niet waarom NS de werkelijkheid zoveel geweld aandoet, maar ik kan wel enkele redenen bedenken:

1. Beperking van het aantal verschillende stationsnamen dat op kaartjes afgedrukt moet kunnen worden.
2. Reizigers kunnen voor hetzelfde tarief kiezen uit (alle) stations binnen een grote plaats.

Het eerste argument is tegenwoordig kletskoek. In de huidige plaatskaartenmachines zit een printer die de namen van alle Nederlandse (en een hoop buitenlandse) stations kan afdrukken. Het tweede argument kan van belang zijn voor houders van trajectabonnementen. Die kunnen nu (voor hetzelfde geld) kiezen uit een groep stations. Maar ik vind het nogal onfatsoenlijk dat sommige reizigers relatief teveel betalen zodat andere relatief te weinig kunnen betalen. Iedereen moet gewoon zijn of haar eigen reis betalen; niet meer, maar ook niet minder.

Dus: NS, maak de tariefeenheden zo goed mogelijk gelijk aan de afstand in kilometers.

Hoe is de prijs afhankelijk van de gehanteerde reisafstand?

Bij elk aantal tariefeenheden hoort een bepaalde prijs. Er is een minimumprijs die overeenkomt met 8 tariefeenheden. Boven de 8 tariefeenheden stijgt de prijs met ongeveer € 0,15 per tariefeenheid naar boven afgerond naar een veelvoud van € 0,10. Bij reizen verder dan 47 tariefeenheden daalt de prijs voor elke volgende eenheid geleidelijk naar 0. Zie onderstaand grafiekje.

Onwenselijke gevolgen

Deze niet-lineaire tariefstructuur heeft de volgende gevolgen voor de reizigers:

1. Het gebruik van de trein is relatief onvoordelig voor afstanden korter dan 8 km.
2. Het samenstellen van een lange reis uit twee of meer delen is onvoordelig. Tot voor kort was het ook mogelijk heel ingewikkelde reizen (met maximaal 3 via-stations) op één kaartje te zetten. Daarmee waren interessante kortingen te verkrijgen ten opzichte van de prijs van afzonderlijke retours.
3. Op dit moment mogen reizigers, zonder extra kosten, een treinreis op elk tussengelegen station te onderbreken. Wanneer, in de toekomst, vooral nog met OV-chipkaart in de trein gereisd wordt en veel stations met toegangspoortjes zijn uitgerust, zal zo'n onderbroken reis gezien worden als twee afzonderlijke reizen en daardoor meer gaan kosten.

Dit soort (maatschappelijk onwenselijke) effecten zijn bijna niet te vermijden als het tarief niet lineair is.

Het is wel te rechtvaardigen dat het begin(-nen) van een reis relatief duur is. Er zijn immers kosten verbonden aan een financiële transactie. Maar dan moet je consequent zijn; dus één van de volgende oplossingen kiezen:

1. Bij elke (deel-)reis dat tarief in rekening brengen (onderbreken op een tussengelegen station betekent altijd een nieuwe reis).
2. Per reiziger alle reizen van één dag bij elkaar tellen en het tarief hanteren dat past bij een reis over die totale reisafstand. (Dit kan alleen als het plaatsbewijs op naam staat.)
3. Een vaste prijs per gereisde kilometer hanteren, ongeacht de (totaal) gereisde afstand (geen starttarief; korte reizen worden goedkoper dan nu, lange reizen duurder).

Oplossing 1 is de richting die NS uit lijkt te gaan en is erg onsympathiek. Oplossing 2 is alleen met op naam gestelde OV chipkaarten uitvoerbaar. Oplossing 3 is het simpelst, maar ik kan me goed voorstellen dat NS reizigers die langere afstanden reizen een zekere korting wil verlenen.

Er is geen overduidelijk beste oplossing, maar mogelijkheid 2 vind ik het minst onaantrekkelijk.

Vertrouwen in fax- en email berichten

Veel bedrijven vragen je een bestelling te bevestigen door hun offerte te ondertekenen en terug te faxen. Kennelijk gaan deze bedrijven er van uit dat ze met het ontvangen faxbericht makkelijker kunnen bewijzen dat er een rechtsgeldige overeenkomst is.

Hoe werkt fax eigenlijk?

De verzendende fax is een scanner met een fax-modem. De ontvangende fax is een printer met een fax-modem. Bij het opzetten van de verbinding wisselen de faxapparaten de namen van hun eigenaars uit ten behoeve van de rapportage. Na ontvangst van de laatste pagina stuurt de ontvangende fax nog wat informatie terug over het aantal transmissiefouten en het aantal ontvangen pagina's. Sommige faxapparaten slaan de ontvangen berichten op in geheugen op en drukken pas iets af als daar (met een druk op een knop) uitdrukkelijk om wordt gevraagd.

Hoe veilig is een faxbericht?

Fax apparaten kunnen niet bewijzen of ze met het gewenste andere fax apparaat communiceren. De nummers en namen die het andere fax apparaat heeft gestuurd kunnen net zo goed afkomstig zijn van een andere partij. Sommige fax apparaten maken gebruik van nummerherkenning, maar de betrouwbaarheid daarvan is afhankelijk van de betrokken telefoonbedrijven, je eigen bedrijfstelefooncentrale en de bedrijfstelefooncentrale van de andere partij. Het aantal plaatsen waar een hacker zou kunnen inbreken (en valse berichten kan injecteren of legitieme berichten onderscheppen) is groot:

1. Het eigen faxapparaat
2. De interne telefoonlijn
3. De eigen bedrijfstelefooncentrale
4. De lokale externe telefoonlijn
5. De openbare telefooncentrale van je telefonieprovider
6. Het netwerk tussen je eigen telefonieprovider en de telefonieprovider van de andere partij
7. De openbare telefooncentrale van de andere partij
8. De lokale externe telefoonlijn van de andere partij
9. De bedrijfstelefooncentrale van de andere partij
10. De interne telefoonlijn van de andere partij
11. Het faxapparaat van de andere partij

Bij email is het aantal plaatsen waar een hacker iets zou kunnen doen misschien nog wel groter...

In beide systemen is er een wirwar van partijen en plaatsen waar iets naars zou kunnen gebeuren.

Digitale handtekening

Een digitale handtekening garandeert dat de afzender van het bericht klopt en dat de inhoud van het bericht ongewijzigd is. Aan veel email programma's kun je software voor beveiliging met digitale handtekeningen toevoegen. Dat heeft alleen zin als het email programma van de ontvanger de digitale handtekening ook controleert. Er is dus een zekere penetratiegraad nodig voordat digitale handtekeningen nuttig worden.

Er zijn twee methoden om een systeem van digitale handtekeningen op te zetten:

1. De cryptografische sleutels zijn tevoren (bijvoorbeeld bij een persoonlijke ontmoeting) uitgewisseld tussen de verzender en ontvanger.
2. De cryptografisch sleutels worden (via een beveiligde verbinding) met een derde partij uitgewisseld. Die partij moet zowel door de verzender als door de ontvanger worden vertrouwd.

Voor het maken van een beveiligde verbinding met de derde partij moeten eenmalig op een veilige manier (bijvoorbeeld in een persoonlijk contact) cryptografische sleutels zijn uitgewisseld. Het lijkt misschien dat het probleem hiermee alleen verplaatst is, maar dat is niet helemaal waar. Een derde partij kan namelijk voor heel veel personen de cryptografische informatie bewaren die nodig is om handtekeningen te controleren. Om duizend personen onderling cryptografische sleutels veilig te laten uitwisselen zijn 499550 persoonlijke ontmoetingen nodig. Met een derde partij die voor al die duizend personen de cryptografische sleutels bewaard zijn maar 1000 persoonlijke ontmoetingen nodig. Dat scheelt een hoop en naarmate het aantal personen toeneemt, neemt de besparing toe.

Het huidige vertrouwen in fax- en email-berichten is volkomen misplaatst. Digitale handtekeningen zijn voor faxverbindingen lastig toe te voegen. Maar voor email bestaan digitale handtekeningen al vele jaren (zie PGP onder digitale handtekeningen). Het daadwerkelijk gebruik van dit soort beveiliging van email berichten is zeer gering en lijkt helemaal niet toe te nemen. Misschien moet het een keer echt goed misgaan om dit onderwerp in de belangstelling te krijgen. Ook moet het gebruik van digitale handtekeningen doodsimpel zijn en standaard in elk email programma ingebouwd zitten.

Wirwar van abonnementen bij NS

Het gaat in dit stukje uitsluitend over de algemene abonnementen; niet om abonnementen die op een bepaald traject geldig zijn.

Sinds 1 augustus verkoopt NS 5 nieuwe abonnementen. Zelfs in haar eigen overzicht slaagt NS er niet goed in daar een duidelijk overzicht van te geven. NS vermeldt van sommige abonnementen de prijs per maand, bij andere de prijs per jaar. Ook moet je goed zoeken op welke uren van de dag en week bepaalde abonnementen geldig zijn.

Hieronder staat mijn overzicht. Natuurlijk kan ik fouten gemaakt hebben en NS kan de regels veranderen. Aan de onderstaande tabel kunt u helaas geen rechten ontlenen.

NS naam	Prijs per jaar	Omschrijving
Altijd Vrij (bestond al voor 1 augustus)	1e klas €5940 2e klas €3540	Algemeen abonnement op het hele net (altijd geldig, 100% korting), in de daluren 40% korting voor maximaal drie medereizigers.
Altijd Voordeel	€240	20% korting in de piekuren (alleen voor de houder), 40% korting in de daluren voor de houder en maximaal drie medereizigers.
Dal vrij	1e klas €1980 2e klas €1140	100% korting in de daluren voor de houder en 40% korting in de daluren voor maximaal drie medereizigers
Dal Voordeel	€50	40% korting in de daluren (houder en maximaal drie medereizigers).
Weekend vrij	1e klas €780 2e klas €480	100% korting voor de houder tussen vrijdagavond 19:30 en maandagochten 04:00, 40% korting in de overige daluren, 40% korting in alle daluren voor maximaal drie medereizigers.
Kids vrij	€15 Prijs per kind, indien samen met een ander abonnement zijn de eerste drie Kids vrij abonnementen gratis	Kinderen van 4 t/m 11 jaar reizen gratis mee met een betalende volwassene. Ieder kind krijgt een eigen (op naam gestelde) OV chipkaart.
Voordeelurenabonnement (niet meer af te sluiten sinds 1 oktober 2011)	€55 (€60 m.i.v. 2012)	40% korting op werkdagen voor 04:00 en na 09:00, de hele dag in het weekend en in juli en augustus. Deze korting geldt - op dezelfde tijden en dagen - ook voor maximaal drie medereizigers.

De definitie van daluren is op werkdagen voor 06:30, tussen 09:00 en 16:00 en na 19:30. In het weekend zijn alle uren daluren.

Leuker konden ze het niet maken; wel ingewikkelder!

Waarom is het zo waanzinnig ingewikkeld?

Een goed tarief zou ervoor moeten zorgen dat de treinen zowel in de spits als in de daluren goed gevuld raken tegen een fatsoenlijke opbrengst uit de kaartverkoop. Dat gaat met deze wirwar van abonnementen nooit werken.

Deze jaarabonnementen zijn per definitie niet geschikt voor mensen die ons land voor een vakantie bezoeken. Dat is zonde.
Mensen die hier wel het hele jaar wonen en reizen moeten een akelig goed idee hebben van hun reisbehoefte voor een heel jaar vooruit om de juiste keuze te maken en zelfs dan zullen ze wel een uurtje nodig hebben om te bepalen welk abonnement het meest geschikt is. Veel van deze abonnementen concurreren met elkaar en sommigen zijn te combineren.

Het lijkt erg veel op de chaos van telefoon, TV en Internetabonnementen in Nederland. Mijn verklaring voor die chaos is dan ook dezelfde:

• Het is de bedoeling dat de klanten niet het (voor hun) meest voordelige abonnement aanschaffen.

Dat is een zware beschuldiging. Maar ik geloof gewoon niet dat deze wirwar echt bedoeld is om de treinen zo goed mogelijk te vullen.

Hoe moet het dan wel?

1. Hou het simpel!
2. Verplicht je klanten niet om zich voor lange tijd vast te leggen; ook toeristen die Nederland voor een dag, of een week bezoeken en incidentele reizigers zijn potentiële klanten (en juiste zij kunnen vaak gemakkelijk buiten de spitsuren reizen).
3. Maak de trein voor incidentele reizigers niet duurder dan voor regelmatige reizigers, maar beloon regelmatige reizigers met af een toe een extraatje.

Hoe simpel kun je het maken?
Één tarief in de spits en een lager tarief in de daluren. Geldig voor iedereen. Alle bovenstaande jaarabonnementen vervallen.

De prijsreductie in de daluren mag wat minder zijn de nu veel gebruikte 40%. Zo kunnen de opbrengsten ongeveer gelijk blijven. Maar probeer het wel zo te maken dat de reiziger die in z'n eentje in een auto reist tussen twee plaatsen waartussen ook een treinverbinding bestaat net iets meer geld kwijt is aan benzine of diesel dan de prijs voor een treinkaartje in de daluren. Adverteer ook dat wie buiten de spits in z'n eentje met de auto gaat een dief is van z'n eigen portemonnee. Zo krijgen we die stoelen vast wel redelijk gevuld!

Tenslotte

Wat voor extraatjes zou NS aan haar regelmatige klanten kunnen geven?

• Voor elke gereisde 250 km een kop koffie of thee bij de kiosk.
• Voor elke gereisde 10000 km een eendaagse upgrade naar 1e klas, of een dag in een weekend vrij reizen met één medereiziger.
• Enz. Er zijn zat kadootjes te verzinnen die weinig kosten, maar wel gewaardeerd worden.

De gespaarde treinkilometerpunten zijn vast wel op de bestaande OV-chipkaarten op te slaan en vervolgens bij de kiosk of plaatskaartenautomaat te verzilveren.

Aanvullingen en correcties

2011/10/12: Prijs en naam van Voordeelurenabonnement gecorrigeerd.