RFID: alles draadloos verbonden

RFID is een belangrijke techniek voor de toekomst.

De EU en wetenschappers wikken over hoe om te gaan met de privacybezwaren.

Pasjes die bewaard worden in de RFID Safe kunnen niet gelezen worden door RFID lezers. RFID is de opvolger van de streepjescode, en RFID kan op afstand worden uitgelezen door een scanner. Foto Mediamatic Mediamatic

RFID, de draadloze opvolger van de streepjescode, is belangrijk voor de economie, maar kan volgens de Europese Commissie ook grote gevolgen hebben voor de privacy van de burger. Daarom presenteerde eurocommissaris Viviane Reding (Informatiesamenleving en Media) gisteren een aanbeveling die er voor moet zorgen dat de burger ook in de toekomst de controle houdt over zijn persoonsgegevens. Maar echte controle krijgt de burger pas als hij zelf de techniek in handen krijgt die zijn privacy bedreigt, vinden Nederlandse onderzoekers.

De toekomst brengt volgens Reding een nieuw internet, het internet der dingen. Duizenden gebruiksvoorwerpen waarmee de consument zich omringt, wisselen informatie uit met als doel het leven prettiger te maken. De informatie wordt opgeslagen op goedkope, kleine RFID-chips die overal op te plakken zijn en overal in verwerkt kunnen worden. De ov-chipkaart heeft zo’n chip, maar ook het nieuwe Europese paspoort. Mobiele telefoons, toegangspoortjes, e-readers en computers lezen die informatie op afstand uit om bijvoorbeeld een tramkaartje af te rekenen of om extra informatie op te halen over een object, bijvoorbeeld in een museum. De bezoeker houdt zijn telefoon in de buurt van een schilderij en ziet op zijn scherm wie het heeft geschilderd, of hoe het is gerestaureerd.

RFID-tags die in producten verwerkt zijn, moeten volgens de aanbeveling van de Europese Commissie uitgeschakeld worden als de klant ze koopt, tenzij de klant vraagt dat niet te doen. Voor RFID-toepassingen zoals de OV-chipkaart geldt wat Brussel betreft dat bedrijven stickers plakken op pasjes en apparaten waar RFID-chips of -lezers in verwerkt zijn, zodat consumenten weten wanneer hun gegevens op afstand worden uitgelezen. Staatssecretaris Frank Heemskerk (Economische Zaken, PvdA) schreef begin dit jaar in een brief aan de Tweede Kamer voor zo’n etiketteringsysteem te zijn, mits dat op EU-niveau geregeld zou worden. Hij stuurde de brief naar aanleiding van een rapport over RFID en privacy van het Electronic Commerce Platform Nederland (ECP-EPN).

Maar consumenten hebben niks aan RFID-stickers als ze niet weten wat RFID precies is en hoe het hun privacy kan schenden, waarschuwt onderzoeker Christian van ‘t Hof van het Rathenau Instituut. „Met zo’n sticker gaan we naar een situatie toe waarin alles juridisch helemaal dichtgetimmerd is, als er maar een sticker op zit en als maar in de kleine lettertjes staat dat er RFID wordt gebruikt. In de praktijk heeft een consument daar weinig aan.”

Daarom moeten bedrijven de consument informeren over welke gegevens ze op welke momenten opslaan, schrijft ook eurocommissaris Reding in haar aanbeveling. De Consumentenbond begint volgende maand een campagne om consumenten te informeren over RFID. De bond krijgt daar nu nog nauwelijks vragen over. „Mensen weten helemaal niet dat er een RFID-chip in hun paspoort zit”, zegt een woordvoerder. „Juist daarom is het belangrijk daar nu een discussie over te starten.”

Wil de burger echt de touwtjes in handen krijgen, zoals het College Bescherming Persoonsgegevens al in 2006 eiste, dan zal hij over techniek moeten beschikken waarmee hij zelf zijn privacy kan beschermen. Dat concludeert ook het ECP-EPN. „Het doel moet centraal staan”, zegt Bart Schermer van ECP-EPN, „niet het middel. Informatie over RFID is slechts een eerste stap in privacybescherming.” Schermer verwacht veel van technologieën die consumenten kunnen gebruiken om hun privacy in eigen hand te nemen, de Privacy Enhancing Technologies (PET’s).

In nieuwe mobiele telefoons met ingebouwde RFID-lezers kunnen zulke technieken worden ingebouwd. „Als je gaat nadenken over de gevolgen van de vele toepassingen van RFID, kan dat behoorlijk Kafkaëske vormen aannemen. Maar als je consumenten juist met die technologie laat spelen, kunnen ze die gebruiken in hun eigen voordeel”, zegt Van ‘t Hof van Rathenau. Daarom bedacht hij het concept van de Privacy Coach.

TNO-onderzoeker Jaap-Henk Hoepman ontwikkelde een proefexemplaar van het programma dat je op telefoons met ingebouwde RFID-lezer kunt installeren. „Met de Privacy Coach kun je RFID-chips lezen en via internet vergelijken met een centrale database. In de database is informatie opgeslagen over hoe de RFID-aanbieder met privacy omgaat. Als je bijvoorbeeld je OV-chipkaart scant laat je telefoon zien welke persoonlijke gegevens de vervoersmaatschappijen opslaan.”

De Europese Commissie verwacht dat in 2015 een miljard telefoons zijn uitgerust met RFID-techniek. Die zouden ook allemaal uitgerust kunnen worden met de Privacy Coach.

Maar PET’s kunnen ook apparaten zijn die speciaal worden ontwikkeld om privacy te beschermen. Een voorbeeld daarvan dat deze zomer op de markt komt is de RFID Guardian. Het apparaatje ter grote van een doos tissues werkt net zo als een programma op je computer dat je beschermt tegen inbraak vanaf internet, legt Rieback uit. „Je draagt het bij je in je tas, in de buurt van je portemonnee. De Guardian detecteert de signalen die je pasjes uitzenden en verstoort die actief. Wanneer het poortje op Schiphol contact probeert te maken met je paspoort om je naam te lezen vangt de Guardian dat signaal op en kijkt in de regels die je hebt ingesteld of dat mag. Als het mag haalt hij de naam op van je paspoort en stuurt die naar het toegangspoortje.”

De technieken om privacy te beschermen staan nog in de kinderschoenen. De Privacy Guard van TNO is nog niet klaar voor de markt. De Guardian is binnenkort te koop maar kost duizend euro. En als het stickersysteem wordt ingevoerd, zal het op vrijwillige basis zijn.

Voorlopig moet de consument het dus doen met minder geavanceerd gereedschap. Zoals de RFID-kluis die gratis is op te halen bij kunstencentrum Mediamatic in Amsterdam. Pasjes die in het aluminium doosje worden opgeborgen kunnen niet gelezen worden door RFID-lezers.

    • Robert Buzink