De intercity naar Enkhuizen rijdt voorbij. In de trein zitten zeven mensen met een Samsung-telefoon op de wifi van NS. Een van hen zit op Google, stuurt een appje via Telegram en gebruikt de Facebook-app.

Het zijn gegevens die Hannes Mühleisen simpel binnenhaalt vanaf zijn woonboot in Amsterdam. Hij woont vlak naast het spoor en dankzij twee antennes slurpt hij de data binnen.

In maart ontdekte hij dat het heel makkelijk ging. De wifi-netwerken in de treinen zijn niet versleuteld. "Ik kan gewoon alles uit de lucht plukken." Hij kan zien welke sites mensen bezoeken, welke apps worden gebruikt en welk uniek MAC-adres er aan een apparaat hangt. Hij kan dus niet zien wát de reizigers precies doen op de websites of apps. Want die maken vaak wel gebruik van versleuteling. En als hij de gegevens wel kan zien, gebruikt hij het bewust niet omdat dat strafbaar is.

Via een website van Hannes zijn de gegevens allemaal realtime te bekijken. Maar er zijn ook leuke statistieken uit te halen. Zo gebruiken de reizigers dubbel zo vaak een Apple-telefoon dan een Android-telefoon om in te loggen op het wifi-netwerk. Het drukste moment is op dinsdagmiddag om 17.00 uur.

Alle openbare wifi-netwerken hebben dit probleem, maar de NS-treinen rijden natuurlijk het hele land door. "Als meerdere mensen door het hele land dit doen, dan kunnen reizigers echt gevolgd worden. En weten we ook wat je zo'n beetje doet op je telefoon", zegt Hannes. Hij bracht zijn gegevens naar de NS, maar die reageerde schouderophalend. Daarna stapte hij naar De Correspondent en deed zijn verhaal.

De NS erkent dat het netwerk open is. Sterker nog: het is beleid, en daar hebben ze nooit doekjes om gewonden. "4,5 jaar geleden hebben wij al gezegd dat het een openbaar netwerk is", zegt woordvoerder Eric Trinthamer. "Dat doen we om het netwerk zo laagdrempelig mogelijk te maken." Beveiligen kost volgens de woordvoerder erg veel gedoe. "Dan moeten reizigers accounts gaan aanmaken en dat is te ingewikkeld." Nu hoef je alleen de voorwaarden te accepteren. "En daar staat in dat het een openbaar netwerk is."

Maar dat gaat om het netwerk zelf. Zijn de gegevens dan niet te versleutelen? "Dat zorgt voor belemmeringen omdat er met veel verschillende apparaten wordt ingelogd. Ook dat is niet goed voor de toegankelijkheid van het netwerk."