De bedrijven RET, GVB en TLS bewaren herleidbare reisgegevens langer dan noodzakelijk en hebben geen verantwoord beleid voor bewaartermijnen. Het is niet de eerste keer dat het CBP heeft gewezen op de wettelijke eisen met betrekking tot bewaartermijnen in het kader van de OV-chipkaart. Zo heeft het CBP al in 2005 - vóórdat het OV-chipkaartsysteem in de lucht was – gewaarschuwd dat OV-bedrijven voorzieningen moeten treffen om onnodige verwerkingen van persoonsgegevens en misbruik te voorkomen. Een van die voorzieningen bestaat eruit dat bedrijven ervoor zorgen dat gegevens worden vernietigd op het moment dat zij niet meer noodzakelijk zijn voor het gestelde doel. Nu blijkt – sinds de inwerkingtreding van de OV-chipkaart in januari en augustus 2009 – dat de bedrijven hiervan geen werk hebben gemaakt waardoor zij de Wet bescherming persoonsgegevens overtreden.
NS informeert studenten niet voldoende over het feit dat in- en uitchecken niet verplicht is bij treinreizen met een studenten OV-chipkaart. Die informatie wordt bijvoorbeeld niet gegeven bij de uitgifte van de kaart. Op de stations en in de treinen worden alle reizigers opgeroepen om niet te vergeten in- en uit te checken. Studenten worden hierdoor mogelijk op het verkeerde been gezet. NS geeft vervolgens onvoldoende informatie over wat er gebeurt met de reisgegevens van studenten als zij wel in- en uitchecken.
Het CBP sluit met de vier rapporten van definitieve bevindingen de onderzoeksfase af. Nu start de handhavingsfase. Het wettelijk kader voorziet er in dat indien het CBP voornemens is een last onder dwangsom op te leggen, de vervoerbedrijven en TLS in de gelegenheid worden gesteld in een hoorzitting nogmaals hun zienswijze te geven.
Een aantal studenten had zich gewend tot het CBP met het verzoek onderzoek te doen naar de studenten OV-chipkaart. Naar aanleiding van dit signaal is het CBP een ambtshalve onderzoek gestart naar de verwerking van persoonsgegevens bij de studenten OV-chipkaart.