Dat bleek woensdagavond tijdens het spoedoverleg dat de Kamer voerde met Guusje ter Horst, minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Gesproken werd over de beleidsmatige, technische en juridische implicaties van het lek dat de Radboud Universiteit Nijmegen ontdekte in toegangspassen voor (overheids-)gebouwen.

NXP aanklagen

Diverse Kamerfracties, de SP voorop, wil dat de minister laat onderzoeken of de fabrikant van de chips, NXP, niet aansprakelijk is voor het leveren van een product dat niet voldoet. Volgens Ter Horst neemt NXP hiervoor echter geen verantwoordelijkheid, ook omdat de chip slechts onderdeel is van een hele beveiligingsketen.

Maar ze sloot niet uit dat de chipmaker een schadeclaim aan de broek krijgt. "Als de leveringsvoorwaarden daar enige ruimte toe laten, zullen we niet schromen daarvan gebruik te maken."

Openheid de beste oplossing

Voor SP-Kamerlid Arda Gerkens is het cruciaal dat een volgende kaart of oplossing gebruik maakt van open standaarden. Zij vergeleek het met een slot in een deur. "Dan zeg je ook niet ik vertel niet waar het slot zit, dus ben ik veilig. Nee slimmer is om mensen het slot te tonen en vast te stellen of je het kunt kraken."

Voor Jos Hessels, CDA, was dat koren op de molen. Ook hij is groot voorstander om zeker de werken met andere mensen te delen en experts daar op te laten schieten. Ook de VVD en de PVV voelden veel voor zo'n aanpak. Maar de Christenunie was daar niet zonder meer van overtuigd.

De PvdA fractie, bij monde van Attje Kuiken, gaf aan niet automatisch tegen 'security through obscurity' te zijn. Zij wilde eerst de mening van de minister horen. Toch wil ze "de boeven vragen een volgende oplossing te testen".

Irisscan en handafdrukken

Hessels pleitte ervoor eens te kijken naar biometrie, zoals de scan van een iris of een hand. "Zo'n handscan gebruiken we momenteel in de gevangenissen ook", verduidelijkt hij later tegenover Webwereld. Vooral de PVV en VVD pleitten eveneens voor een dergelijke oplossingsrichting.

Ter Horst oogstte lof voor de kordate handelswijze bij het aankaarten van het 'Radboud-lek'.

Zij werd 7 maart op de hoogte gebracht van het lek en de dag erop bezocht de AIVD de onderzoekers om meer inhoudelijke kennis op te doen. Toen de bevindingen gecontroleerd waren, zijn de overheden 10 maart op de hoogte gebracht.

Geen acuut probleem

Ter Horst benadrukte overigens dat zolang de onderzoekers hun bevindingen niet openbaren er "geen acuut probleem is". Zij heeft er vrede mee dat de onderzoekers binnenkort de hack wel uitleggen, omdat de overheid dan een paar maanden de tijd heeft gehad om zich op het probleem voor te bereiden. "Op mijn ministerie merk ik zelf de maatregelen ook al."

Voor de Rijkspas, die ambtenaren het derde of vierde kwartaal van dit jaar krijgen, wilde de minister een goede oplossing, meer niet. De minister van BZK staat dan ook voor alle mogelijke oplossingen open, zonder voorkeur voor een open of gesloten standaard: "Hier sta ik niet politiek en niet principieel in. We moeten die technologie kiezen die het beste is en de kans op problemen zo klein mogelijk houdt."