Onderzoekers Martijn Oostdijk en Dirk-Jan van Dijk van het Telematica Instituut hebben software gemaakt waarmee de rfid-chip, die sinds 2006 in elk nieuw paspoort zit, door iedere pc kan worden uitgelezen. Behalve het pc-programma is wel een aan de computer gekoppelde kaartlezer nodig.

Daarnaast bouwden de onderzoekers websoftware voor een zogeheten 'identity provider': een vertrouwde partij die een digitale identiteit aanmaakt en aan individuen verstrekt. Deze kan dienstverlening via een API aanbieden aan externe sites. Webwinkels die de paspoortchip als extra controlemiddel zouden willen gebruiken, kunnen op die infrastructuur inhaken.

Extra bewijs

Volgens de onderzoekers is de paspoortchip ook te gebruiken voor het bepalen of iemand ouder is dan 18 jaar. "De identity provider filtert dan alleen die informatie uit het paspoort die nodig is voor de aankoop, en stuurt die door naar de webwinkel. De koper blijft baas over z'n eigen gegevens en kan het proces op elk moment afbreken. Het proces is bedoeld als extra bewijs."

De software en de API-documentatie zijn te vinden op de speciale projectsite. Het onderzoek werd mede betaald door de Stichting NLNet.

Meer toepassingen

Oostdijk denkt dat het systeem ook een rol zou kunnen spelen bij andere zaken dan online aankopen. "Bijvoorbeeld bij veilig internetten door kinderen, of het inzien van je patiëntendossier."

Volgens Michel Leenaars, directeur strategie van Stichting NLNet, is het paspoort als enige identificatiemiddel niet geschikt. "Maar de combinatie met één van de andere manieren gaat onder andere simpele vormen van identiteitsdiefstal tegen."

Bijna de helft van alle Nederlanders heeft al een paspoort of identiteitskaart met een RFID-chip. In 2011 geldt dat voor vrijwel iedereen.

Vragen bij controle

Uit een onderzoek van een onderzoeker van de Universiteit van Amsterdam afgelopen zomer bleek dat het mogelijk is om de chip in het paspoort te vervangen door een exemplaar met vervalste informatie, waarbij bijvoorbeeld de foto werd vervangen. Het paspoort is in principe wel voldoende beveiligd, maar zou volgens de onderzoeker bij het uitlezen op gemeentehuizen onvoldoende worden gecontroleerd. De controle bij de douane werd niet getest.

Het ministerie van Binnenlandse Zaken antwoordde op Kamervragen dat de checks bij de grenscontrole in orde zijn. Daar wordt gebruik gemaakt van 'Active Authentication' als de elektronische handtekening over de gegevens in de chip wordt gecontroleerd, waardoor een kloon van de chip moet worden gedetecteerd. In 2009 worden meer instanties uitgerust met Active Authentication.