Volgens een brief van minister Klink aan de Tweede Kamer gaat het om een in "laboratoriumomgeving geconstateerde kwetsbaarheid in het rekenmechanisme van de chip op de UZI-pas". Daardoor is het mogelijk om de informatie op de chip te lezen.

"Het betreft de toepassing van het Chinese Remainder Theorem (CRT) om het uitvoeren van bepaalde berekeningen te versnellen. In een laboratoriumsituatie zijn experts in staat gebleken om de private sleutel van een chip te achterhalen", aldus Klink. Hij benadrukt dat zorgverleners hun pincode te allen tijde gescheiden van de pas moeten bewaren.

Vervangen

Als gevolg van de kraak wordt de chip in de zogeheten UZI-pas (Unieke Zorgverlener Identificatienummer) vervangen door een modernere chip. Klink verwacht dat de chip in het derde kwartaal van 2009 vervangen kan worden. Vanaf dat moment zal elke nieuwe UZI-pas zijn voorzien van de nieuwe chip.

Daarmee neemt Klink het zekere voor het onzekere, want hij benadrukt dat de kwetsbaarheid "een zeer gering operationeel risico" vormt. Het is namelijk niet de enige veiligheidsmaatregel, schrijft hij. Alleen geautoriseerde zorgaanbieders hebben toegang tot het systeem. Bovendien wordt permanent vastgelegd wie wanneer welke gegevens inziet, de zogenaamde loggegevens.

Digitale tachograaf

De kwestbare chip zit niet alleen in de UZI-pas. De chip zit ook in de nieuwe pas van medewerkers van het ministerie van Defensie en in de digitale tachograaf, die de rij- en rusttijden van vrachtwagenchauffeurs bijhoudt. Het ministerie van Verkeer en Waterstaat is van plan de chip te gaan gebruiken in de nieuwe boordcomputer van taxi's, die de ritgegevens opslaat.

Volgens Defensie is de kwetsbaarheid op dit moment niet relevant omdat de private sleutel nog niet wordt gebruikt. "Defensie heeft maatregelen getroffen om de kwetsbaarheid in het rekenmechanisme weg te nemen voordat de private sleutel in gebruik wordt genomen." Het ministerie van Verkeer en Waterstaat, verantwoordelijk voor de invoering van de nieuwe boordcomputer van taxi's, "volgt de ontwikkeling op de voet, samen met de leverancier". Of de ontdekte kwetsbaarheid een probleem zijn voor de passen van de digitale tachograaf, wordt besproken door collega-ministeries van Verkeer en de Europese Commissie.

Stilgelegd tot de zomer

Vorige week maakte Klink bekend dat het EPD wordt stilgelegd tot de zomer. De vele bezwaarschriften van mensen tegen deelname aan het EPD vereisen een zorgvuldige verwerking, aldus de minister. Er is meer tijd nodig voor de verwerking van onvolledige of slecht leesbare bezwaren van burgers die niet willen meedoen. Tot half maart van dit jaar hebben 438.000 mensen bezwaar gemaakt tegen het EPD, meer dan de oorspronkelijke verwachting.