Chipkaart ontleedt consument

De ontwikkeling van chipkaarten is stormachtig. Binnen enkele jaren kunnen deze minicomputers overal voor gebruikt worden, van betalingen in euro's, het boeken van een vliegreis tot een telefoongesprek. Maar met een chipkaart kan ook het gedrag van de consument worden geregistreerd.

ROTTERDAM, 3 JULI. Chipper, Chipknip, Studentenchipkaart, Albert Heijn-kaart, MKB-kaart, Zeelandkaart, KLM-kaart en Edah-kaart. Een stortvloed van chipkaart-projecten van banken, supermarkten, oliemaatschappijen, luchtvaartmaatschappijen en verzekeraars rolt over Nederland. Voor het bedrijfsleven is het zonneklaar: De chipkaart, die dezelfde omvang heeft als creditcard of pinpas, wordt een onmisbaar onderdeel van ons dagelijks leven.

Wie de kaart op zak heeft bezit de sleutel die de poort opent naar de geneugten van de informatie-economie. Met één kaart kun je betalen voor je boodschappen, bellen, sparen, teleshoppen, parkeren of een ritje met het openbaar vervoer maken. En zelfs kan de kaart op termijn gebruikt worden om produkten en diensten af te rekenen die je vanachter je pc thuis selecteert via het wereldwijde computernetwerk Internet.

Wie de digitale sleutel hanteert zal wél een prijs moeten betalen. Bedrijven en instellingen kunnen dankzij de chipkaart meekijken over de schouder van de klant en zijn of haar consumptiegedrag nauwkeurig in kaart brengen.

Zorgverzekeraars hebben plannen om medische informatie op een chipkaart op te slaan, supermarkten willen meer weten over het koopgedrag van hun klanten. Dat roept om herbezinning op het vraagstuk van privacy en bescherming van gegevens. De Nederlandse banken willen hun chipkaarten dit najaar massaal in Nederland introduceren.

De Registratiekamer, die waakt over de privacy-wetgeving, liet vorige maand weten dat die plannen voorlopig maar even moeten worden uitgesteld.

Het is voorzitter mr. P.J. Hustinx een doorn in het oog dat de diverse partijen die bezig zijn met chipkaarten momenteel “grote urgentie oproepen”. Daardoor dreigen bij sommige projecten de regels die de privacy van de consument moeten waarborgen in het gedrang te komen. “Dat is niet goed. Daarom hebben wij scherp positie gekozen.” De Registratiekamer wil dat alle organisaties die chipkaarten uitgeven zo snel mogelijk een gedragscode onderschrijven waarin de bescherming van persoonsgegevens wordt gegarandeerd.

Het Nationaal Chipcard Platform waarin vijftig organisaties uit overheid en bedrijfsleven samenwerken heeft al een model voor een dergelijke gedragscode ontwikkeld.

Pagina 15: Chipkaart bedoeld voor uitgaven tot ca. 35 gulden

Het hart van de chipkaart, in de jaren zeventig ontwikkeld in Frankrijk, wordt gevormd door een silicium-chip die het complete circuit bevat van een miniatuur-personal computer. De chip bevindt zich in een module die is ingebed in een stuk plastic ter grootte van een creditcard. De meest simpele chipkaart kan honderd keer meer gegevens bevatten dan een kaart met magneetstrip, zoals de pinpas.

Een van de meest opvallende toepassingen van de chipkaart is het elektronisch betalen en Nederland loopt daarin voorop. De opmars van het digitaal betalen, nu nog vooral met de pinpas met magneetstrip, is indrukwekkend. In 1991 waren er in Nederland 3.422 betaalautomaten en 24 miljoen transacties, vorig jaar waren er 70.000 betaalautomaten en 255 miljoen transacties.

De verwachting is dat er dit jaar wereldwijd meer chipkaarten geproduceerd zullen worden dan kaarten met magneetstrip. Tachtig procent van de chipkaarten bevindt zich in Europa. Wereldwijd worden er jaarlijks 600 miljoen geproduceerd en de markt groeit met dertig tot veertig procent per jaar. Op dit moment lopen er ongeveer zeventig chipkaartprojecten van groot tot klein in Nederland. De proef met de chipknip, de kaart van de bankenorganisatie Interpay in Arnhem, is met 50.000 deelnemers de grootste op dit gebied ter wereld.

Maar één toepassing van de chipkaart biedt werkelijk voordeel voor de consument, zo menen sommige deskundigen: de betaalfunctie. Alle andere functies waarbij gegevens over de consument - persoonsgegevens, koopgedrag - worden verzameld, zijn vooral ten voordele van het bedrijf of instelling dat de kaart uitgeeft. Het is geen toeval dat de sterke druk om de chipkaart zo snel mogelijk in voeren niet komt van de banken, maar van bedrijven die consumentengoederen verhandelen, zoals warenhuizen, supermarkten en oliemaatschappijen.

De discussie die is losgebarsten over privacybescherming stelt de banken, voor wie betrouwbaarheid een sleutelwoord is, ongewild in een kwaad daglicht. “De kaart voegt voor de banken niet veel toe als het er om gaat gegevens te verzamelen over de klant. Met name de detailhandel heeft hier belang bij”, zegt prof. mr. J.M.A. Berkvens, adjunct-directeur bij de Rabobank en hoogleraar informatica en recht. Berkvens voert namens de banken het overleg met de Registratiekamer.

Maar, zo betoogt Berkvens, tegelijk is duidelijk dat de chipkaart “voor alle betrokken partijen voordeel oplevert”. De consument kan de chipkaart door het intoetsen van een pincode laden met geld waarmee hij met een simpele handeling - hij haalt zijn kaart langs een elektronisch oog - een groot aantal produkten en diensten kan kopen. De detailhandel drukt met de chipkaart de kosten van het betalingsverkeer. In tegenstelling tot de pinpas hoeft niet bij iedere transactie een verbinding te worden gelegd met de computer van de bank. De bank kan rente trekken op de 'float', de totale hoeveelheid geld die op alle uitgegeven kaarten is 'geladen'.

De verspreiding van chipkaarten zal grote gevolgen hebben voor de opkomst van het elektronisch betalen en de gemeenschappelijke Europese munt - banken willen cashbetalingen terugdringen en fraude aanpakken. De bankenorganisatie Europay International, die onder meer de Eurocheque en de Eurocard/MasterCard uitgeeft, lanceerde begin deze maand een chipkaart die meerdere valuta's omvat, de Clip genaamd. De Europese banken die bij Europay zijn aangesloten zullen de komende vijf jaar 131 miljoen bankpasjes aanpassen aan de normen die Visa, Mastercard en Europay hebben vastgesteld.

Maar ook zal de kaart zorgen voor een revolutie in het openbaar vervoer en de introductie van road-pricing, gedigitaliseerde tolheffing bij snelwegen, makkelijk maken. Ook de groei van mobiele (kaart)telefonie zal er een verdere impuls door krijgen. De detailhandel ziet het als een ideale manier om het koopgedrag van de klant in kaart te brengen. En ziekenhuizen kunnen het complete medische dossier van de patiënt op een kaart zetten. Bovendien zal er interesse zijn van de diverse hogere en lagere overheden, gezien hun streven naar minder bureaucratie. En het openbaar ministerie kijkt met belangstelling naar de rijkdom aan gegevens over individuele personen.

De elektronische portemonnee is vooral bedoeld voor kleinere uitgaven tot 35 gulden. Tussen de 35 en 5.000 gulden kan de klant betalen met de pinpas en bedragen vanaf honderd gulden met de creditcard. Maar ook de creditcard verliest zijn magneetstrip. De twee grote wereldwijde spelers - Visa, Eurcard/MasterCard - willen de komende jaren hun magneetstripkaarten vervangen door chipkaarten. Maar ook is het nu mogelijk de creditkaartfunctie te combineren met de debetkaarten van de banken. Zo zal Visa in Nederland zijn creditkaart combineren met de chipknip van Interpay. Voor de consument is het voordeel dat hij een kaart op zak heeft met daarop twee betaalmogelijkheden.

Met de creditkaart met chip valt moeilijker te frauderen dan met de conventionele magneetstrip. De creditkaart met chip, waarvan Visa tijdens de Olympische Spelen in Atlanta een prototype test, geeft de kaartbedrijven de mogelijkheid de gebruiksmogelijkheden van de kaart te brengen onder de huidige limieten. Daarmee kunnen credit/debetkaarten meer toegesneden worden op individuele klanten en daardoor extra winst genereren.

En de volgende ontwikkeling kondigt zich ook al aan: betaaltransacties via het wereldwijde computernetwerk Internet. Met de elektronische waarde van de chipkaart achter de hand gaat de consument surfen op het internet. Vorige week gaven de Nederlandse banken het startsein voor een proef met I-Pay, een systeem voor betalingen via Internet. Maar de vraag is of I-Pay het zal halen, omdat bij het afrekenen geen gebruik wordt gemaakt van een chipkaart, maar van een giraal betalingssysteem. Visa en MasterCard hebben samen met software-leveranciers Netscape en Microsoft al standaarden vastgesteld voor veilige elektronische transacties via het web. Zij werken aan plannen waarbij chipkaarten en creditkaarten kunnen worden gekoppeld aan de pc via een 'slimme muis' of een andere module.

De ontwikkelingen gaan razendsnel. Na de zomer willen de banken in Nederland de chipknip landelijk invoeren. De grote tegenstrever van de chipknip is de 'chipper' van Postbank en PTT Telecom. Daarmee kan de klant niet alleen betalen en sparen maar ook bellen. Esso, Edah, Hema en C&A hebben inmiddels bekendgemaakt dat zij een concurrent van Air Miles gaan starten die zal worden opgeslagen op de chipper. Kleinere winkeliers kunnen voor hun eigen spaarprogramma hun keuze maken uit een chipknip van de Rabo onder de naam LOKO, of een spaarprogramma dat MKB-Nederland in samenwerking met Chipper bv ontwikkelt.

De Registratiekamer vindt dat in diverse chipkaartprojecten onvoldoende rekening wordt gehouden met de privacy van de consument. Voorzitter Hustinx: “Privacy is niet iets truttigs. De samenleving draait in toenemende mate om informatie. Informatie is macht. Daarvoor moeten we spelregels hebben. Als je niet weet wat bedrijven van je weten, schept dat onzekerheid.” Hustinx wijst op de VS, waar de handel in allerlei bestanden met persoonsgegevens ver is doorgeschoten. Dat heeft geleid tot een sterk wantrouwen van burgers jegens bedrijven. “In de VS moeten bedrijven nu investeren in privacy-beleid.”

Dat privacy een onderwerp is dat bij de consument leeft, blijkt uit het feit dat steeds meer mensen verschoond willen blijven van geadresseerde post of van verkooptelefoontjes van telemarketingbureaus. Die putten vaak uit adressenbestanden met gegevens van consumenten. Wie geen junkmail of verkooptelefoontjes wil krijgen kan dat kenbaar maken via het antwoordnummer 666. Volgens DMSA, de lobbyclub van directmarketingbedrijven, is in het eerste halfjaar van 1996 het aantal adressen in het bestand van antwoordnummer 666 met 24 procent gestegen tot 76.842 personen.

De vrees dat bedrijven onzorgvuldig omgaan met gegevens is niet ongegrond, zo bleek vorig jaar. De Registratiekamer tikte toen de Air Miles-organisatie van Albert Heijn, V&D, ABN Amro en Shell op de vingers, omdat de spaarders in het aanmeldformulier onvoldoende gelegenheid werd gegeven bezwaar te maken tegen het gebruik van persoons- en aankoopgegevens voor direct marketing. Vanaf begin 1997 wordt het Air Miles-spaarsysteem, dat nu nog worden geregistreerd via een aparte magneetstripkaart, gecombineerd met de chipknip, de betaalkaart van de bankenorganisatie Interpay.

Maar het meest controversieel is de introductie van chipkaarten met toepassing in de publieke sector. Zo zijn de zorgverzekeraars als DSW en GWZ bezig met de ontwikkeling van chipkaarten voor de gezondheidssector. Medische kaarten kunnen een uitkomst zijn voor ambulancediensten en voor andere medische diensten die werken aan de frontlijn van de gezondheidszorg. Maar tegelijk roepen deze medische kaarten veel vragen op. Wie is bijvoorbeeld eigenaar van de informatie op de kaart en in hoeverre hebben overheden en verzekeraars toegang tot de informatie op de kaart.

Ook in deze kwestie heeft de Registratiekamer zich geroerd. Eerst moet op basis van medische criteria door de overheid een standaard voor een medische kaart worden ontwikkeld. Daarna kan de chipkaart ook worden gebruikt om medische gegevens vast te leggen die in bepaalde gevallen van groot belang zijn voor de behandeling van de patiënt (SOS-gegevens). Maar de chipkaart moet niet worden gebruikt om het volledige medische dossier van betrokkene op te slaan, zo luidt het advies van de Registratiekamer aan minister Borst van Volksgezondheid.

Hustinx: “We moeten evenwicht bewaren met deze enorme technische ontwikkelingen. Het is gevaarlijk om een onveilig produkt op de markt te brengen waar je niet op kunt vertrouwen. Dat is een bedenkelijke zaak.” De voorzitter van de Registratiekamer vindt dat bedrijven die chipkaarten uitgegeven glashelder moeten zijn over het doel waarvoor ze gegevens van de klant verzamelen. “De transparantie die bedrijven verschaffen moet niet gedeeltelijk zijn maar totaal. Je moet geen persoonsgegevens gebruiken als je zonder kunt. Betalen kan bijvoorbeeld anoniem. En als je echt niet zonder die gegevens kan, moet je de gebruikers vertellen dat het voor een specifiek doel is bedoeld.”

Met de opkomst van de chipkaart is de vraag hoe de toegang tot gevoelige informatie moet worden beveiligd zeer actueel geworden. Hustinx schaart zich bij diegenen die vinden dat databestanden met gevoelige informatie moeten worden 'versleuteld' middels een toegangscode. Die toegangscode zou gedeponeerd moeten worden bij een onafhankelijke instelling, goedgekeurd en gereguleerd door de overheid. Zelfs het openbaar ministerie zou dan toestemming moeten vragen aan de rechter om een bepaald bestand in te kunnen zien.

Berkvens van Rabobank Nederland kan zich gedeeltelijk vinden in de opvattingen van Hustinx, maar vindt de oprichting van een nieuwe instelling te ver gaan. De banken hebben een contractueel bankgeheim met de klant, dat hen dwingt zorgvuldig om te gaan met gevoelige informatie. “Wij willen ook duidelijke regels over het verzamelen van gegevens, transparantie, kaartintegratie en doelbinding”, aldus Berkvens. “De banken zijn bezig een standpunt te formuleren waarin al deze punten worden getackled. We zullen dat op korte termijn naar buiten brengen.”