Het CBP dwong vorig jaar een termijn van twee jaar af voor het bewaren van ov-chipgegevens. De NS had tot eind november de tijd gekregen maatregelen te nemen. Het vervoersbedrijf verklaarde daarop de reisgegevens te anonimiseren, zodat de privacy van de reizende studenten niet in gevaar zou komen. Het CBP stelt echter dat studenten nog gewoon geïdentificeerd kunnen worden en hun reisgedrag op die manier te volgen is.

De NS heeft de wettelijk verplichte bewaartermijn van twee jaar nu wel ingevoerd en alle reisgegevens die ouder zijn vernietigd. Het bedrijf tekent wel bezwaar aan tegen de dwangsom, omdat het vindt dat het de gegevens niet te lang heeft bewaard. De NS heeft de termijn overigens op eigen initiatief teruggebracht tot achttien maanden.

Het gaat het vervoersbedrijf er vooral om dat het niet over de naam- en adresgegevens van de studenten beschikt. De NS zegt met anonieme gegevens alleen te willen zien hoe mensen reizen, om zo ten behoeve van de reizigers treinen optimaal in te zetten.

Omdat de gegevens blijkbaar wel te hacken zijn, wil de NS in overleg met het CBP een wettelijk verantwoorde methode ontwikkelen voor het anonimiseren van reisgegevens.

"Het is een technisch complex verhaal", zegt een NS-woordvoerder. "We willen nu constructief naar een oplossing zoeken met het CPB, eventueel met onderzoekers van een universiteit." De NS heeft volgens hem altijd gedacht dat de gegeven volledig anoniem waren, maar het CBP zegt dat daar toch reizigersprofielen uit kunnen worden samengesteld. "Het zal een ict-hoogstandje worden. We willen als NS toch ruimte om gegevens te gebruiken om de dienstverlening te optimaliseren."

Eind 2010 bleek uit onderzoek van de privacywaakhond dat de openbaarvervoerbedrijven GVB, RET en NS de wet overtreden door reisgegevens van studenten te lang te bewaren. De bedrijven zegden vervolgens toe nieuwe termijnen in te voeren.