De ov-klikchip

Een nieuwe chiptechniek rukt op in ons dagelijks leven. Maar de overheid vindt het nog te vroeg voor de bijbehorende regels.

Gezond verstand en bestaande wetten zijn niet altijd voldoende om er voor te zorgen dat nieuwe technologie en mensen gelukkig samenleven, waarschuwde de Economist onlangs. Het Britse weekblad zei dat naar aanleiding van ‘nano-robots’, zoals onbemande verkenningsvliegtuigjes die zo klein zijn dat ze vrijwel ongemerkt in gebouwen kunnen spioneren. Er is echter een kandidaat voor deze waarschuwing die letterlijk veel dichter bij de hand ligt: RFID, radio frequency identification. Dat zijn piepkleine chips die op en in van alles kunnen worden aangebracht – en naar believen afgelezen.

Er komt een ‘internet der dingen’ aan waarin alles wordt geregistreerd, van de banaan in de supermarkt, toegang tot de disco of het kopieerapparaat, het pilletje dat de dokter voorschrijft en zo ongeveer alle denkbaars daartussen in. „Wat dat betekent voor onze autonomie tart ons voorstellingsvermogen. Wat dit alles betekent voor ons rechtssysteem eveneens”, waarschuwde de Nederlandse Vereniging voor Informatica en Recht (NVvIR) in de publicatie Privacy en andere juridische aspecten van RFID (2005). De huidige fractievoorzitter van de ChristenUnie Slob sprak van ‘een stille revolutie’.

Des te opvallender is de tegenzin van de Nederlandse overheid in te gaan op de vraag hoe de nieuwe technologie gereguleerd moet worden. Het parool van staatssecretaris Heemskerk (Economische zaken, PvdA) is dat „de technologie zoveel mogelijk ruimte moet krijgen zich te ontwikkelen”. „Een specifiek regelgevend kader voor de privacy” noemt de bewindsman onnodig met een beroep op het College bescherming persoonsgegevens (CBP). „Niemand heeft behoefte aan paniekwetgeving”, aldus een woordvoerder van de privacywaakhond.

Maar nu is er toch paniek in de RFID-tent. Aanleiding is de ov-chipkaart. Deze moet de bestaande treinkaartjes, abonnementen en de nationale strippenkaart vervangen. Het ding bleek te kunnen worden gekraakt, zodat ‘hackers’ op andermans kosten vrij kunnen reizen. Opeens was Den Haag te klein. De positie van staatssecretaris Huizinga (Verkeer, CU) is in het geding als zij niet iets aan de veiligheid van de ov-kaart doet.

In de opwinding dreigt verloren te gaan dat er voor de reiziger veel méér op het spel staat dan de fysieke integriteit van het systeem. RFID wordt vaak een ‘elektronische streepjescode’ genoemd. De gedachte is dus al gauw: die kennen we toch allang? Het Rathenau Instituut, dat onderzoek doet naar de gevolgen van nieuwe technologieën, waarschuwt echter: RFID is méér dan een barcode. RFID chips kunnen veel méér informatie bevatten, sneller, in grote groepen – en onzichtbaar – worden uitgelezen, gaan langer mee en ze vragen erom onderling te worden gekoppeld.

‘Klikchip’, zoals het Brabants Dagblad kopte, is een betere benaming. De topman van het Openbaar Ministerie, Harm Brouwer, ziet in de ov-chipkaart veelbelovende mogelijkheden om de reisbewegingen, niet alleen van verdachte personen maar ook van nietsvermoedende getuigen die zijn meegereisd, na te trekken. Zeker in combinatie met andere chipbetalingen – en straks natuurlijk het rekeningrijden.

Het CBP heeft de NS met de bestaande privacywet in de hand al in gebreke gesteld omdat zij te veel reisgegevens op naam en te lang wil vastleggen. Ook mogen reizigers niet door prijsdruk worden gedwongen om met gepersonaliseerde kaarten te reizen. Het spoorbedrijf zegt het probleem niet te zien en komt met de dooddoener: „natuurlijk is het straks aan ons te bewijzen dat we de privacy van onze reizigers respecteren”. Dan is het ov-chipkaartsysteem wél een voldongen feit.

In de NVvIR-bundel betitelde Jeroen Terstegge, de privacy officer van Philips, de (Europese) pogingen om RFID onder de huidige generatie privacyregels te brengen als ‘krampachtig’ en tot mislukken gedoemd. Het hele begrip ‘persoonsgegevens’ waarop deze regels berusten wordt achterhaald door de nieuwe elektronische stuifsneeuw waarvoor moeilijk een eindverantwoordelijke systeembeheerder valt aan te wijzen. De oplossing moet volgens deze deskundige veeleer worden gezocht in het ontwerp van de RFID-systemen. Dus niet achteraf maar preventief.

De NS hebben voor een (voordeel)abonnement natuurlijk naam en adres nodig. Maar is nog geen noodzaak mensen in detail op naam te volgen. Er zijn toegangpoortjes die controleren wie je bent (identificatie) maar ook toegangspoortjes die zich beperken tot de vraag óf je er langs mag (authentificatie). In een groot rapport beval de Britse Royal Academy of Engineering vorig jaar dat laatste met klem aan voor het ov. Onze eigen Albert Heijn heeft ooit, na enige aandrang, een anonieme bonuskaart ingevoerd. Zoiets moet in het openbaar vervoer toch ook kunnen.

Frank Kuitenbrouwer is medewerker van NRC Handelsblad.

Wilt u reageren? Dat kan op nrc.nl/kuitenbrouwer (Bijdragen worden openbaar na beoordeling door de redactie.)