Dat werd duidelijk tijdens een hoorzitting in de Tweede Kamer gisteren waar vervoersbedrijven, belangenorganisaties, wetenschappers en de toezichthouder privacy een getuigenis over de OV-chipkaart gaven.

Uitlezen kaart probleem

Zo voelden de politici de Nederlandse Spoorwegen en de voorzitter van het College Bescherming Persoonsgegevens, Jacob Kohnstamm, aan de tand over de onthulling van Webwereld dat conducteurs in staat zijn reisgegevens van andere vervoersbedrijven te bekijken als ze een kaart in handen hebben.

Jacob Kohnstamm, voorzitter van het College Bescherming Persoonsgegevens (CBP), was duidelijk over de vraag of de applicatie een probleem kan vormen: "Ja dat is een probleem." Daarbij pareerde hij de kritiek van het ChristenUnie-kamerlid Ernst Cramer dat zijn organisatie slap zou optreden. "Als wij zien dat de wet wordt overtreden zullen wij handhavend optreden", dreigt hij dan ook.

Aanpassen applicatie

Volgens Boukje Bügel-Gabreëls, directeur NS Reizigers, worden OV-chipkaarten alleen uitgelezen als de reizigers dat willen. Een uitspraak die haaks staat op de ervaringen van de Webwereld-redactie en een lezer die tijdens de hoorzitting nog stelt dat een "conductrice keek bij mij ongevraagd naar mijn andere ritten. Ze zei 'vergeten incheck' op mijn kaart te zien, ik had nergens om gevraagd!"

Volgens Bügel is de applicatie eenvoudig aan te passen. Ze zegt de Kamercommissie toe hier serieus naar te kijken. Ook biedt ze de Kamerleden aan een demonstratie met een conducteurs-PDA te houden, maar daar hebben de parlementariërs geen behoefte aan.

Aan de wet houden

Voor het CBP is het dossier inmiddels een jarenlang slepende kwestie, waarbij het lastig was de vervoersbedrijven in het gareel te krijgen. "We hebben ontzettend veel energie gestoken in het aan het verstand brengen dat ook zij zich aan de wet moeten houden", zegt Kohnstamm dan ook.

Voor hem is het belangrijk duidelijk te krijgen dat er geen deal met de vervoersbedrijven is gesloten, maar dat de organisaties zich nu echt aan de wet houden. Een uitspraak die op gespannen voet staat met de voorlichter van het CBP, die 6 november 2008 meldde Webwereld meldde dat zijn organisatie "eruit was en een overeenkomst met de NS" heeft.

7 jaar centrale opslag

Ook beweert Kohnstamm bijna overstemming te hebben met Trans Link Systems over de centrale databases, die alle reisbewegingen van Nederlanders in de gaten houden en zeven jaar bewaren. In antwoord op vragen van het SP-kamerlid Emile Roemer zegt hij bezig te zijn met de "laatste losse eindjes".

Later zou hoogleraar computerbeveiliging Bart Jacobs van de Radboud Universiteit Nijmegen duidelijk stellen dat hij zich kan voorstellen dat er vanzelf iemand opstaat, die de privacyproblemen niet langer pikt. "Ik kan me voorstellen dat mensen hier rechtszaken over beginnen", stelt hij.

Demonstratie hack

Jacobs demonstreerde samen met wetenschapper Roel Verdult dat zijn organisatie op dit moment in staat is om versleuteling van de Mifare Classic-chip in minder dan een seconde te kraken. Zodra een kaart boven een lezer wordt gehouden, kraakt een laptop de cryptografie nagenoeg direct.

De politici waren vooral kritisch over de demonstratie. CDA-kamerlid Mastwijk was blij dat hij nu een demonstratie in de praktijk had gezien, maar wees erop dat de chip wel erg dicht bij de lezer moet worden gehouden voor misbruik. Angst voor massaal aanpassen van saldi van anonieme kaarten, Denial-of-Service-aanvallen heeft hij dan ook niet.

Geen beveiliging

De hoogleraar ziet het wel als probleem. "Het doel van de beveiliging is erop gericht de gegevens op de kaart te beschermen", begon hij zijn betoog. "Die beveiliging is er dus niet." Na de demonstratie concludeerde hij dat de OV-chipkaart een "open portemonnee" is.

Voor hem vertoont het beveiligingsprobleem grote gelijkenis met het stelen van digitale muziek, waarbij alle maatregelen ook geen soelaas bieden en dat "met zo'n open kaart fraudebestrijding een hopeloze zaak" is. Voor hem is de toekomst dan ook somber: "U moet beseffen dat grote ICT-projecten de laatste jaren gemaakt of gebroken worden door beveiligingsproblemen."

Vaart achter uitrol

Maar een en ander staat een snelle landelijke uitrol van de geplaagde kaart niet in de weg. De vervoersbedrijven haasten zich dan ook met de introductie. De Amsterdamse metro gaat in april volledig over en aan het eind van het jaar kan volgens de planning driekwart van Nederland met de chipkaart in het OV, al zal dan in eerste instantie nog naast de strippenkaart zijn.