Het Amerikaanse ministerie wilde bij de invoering van een nieuw paspoort met RFID chip geen enkele beveiliging voor de gegevens in de chip gebruiken. Beveiliging zou toch alleen maar de compatibiliteit van de chip verkleinen. Zonder beveiliging zouden de gegevens (personalia en een digitale pasfoto) altijd, overal en door iedereen gelezen kunnen worden. Overheid en bedrijfsleven zouden op die manier een systeem voor totale monitoring kunnen bouwen.

Ook handig voor terroristen. Het meest aansprekende idee vond ik de 'RFID-enabled bomb'. Een bom die alleen afgaat wanneer er een Amerikaans paspoort langskomt. Leuk, wanneer een Amerikaanse toerist een land met een identificatieplicht bezoekt.

De schrik zit er goed in. De staat Californië heeft nu zelfs een wet aangenomen die het gebruik van RFID in rijbewijzen en studentenkaarten verbiedt. Daarmee wil de staat haar burgers tegen de privacy-gevolgen van RFID beschermen. Aanleiding daarvoor was een plan van een lagere school in Californië om alle scholieren een RFID-badge te laten dragen. Daarmee kon de school hun aanwezigheid efficiënter controleren.

De controverse over de paspoorten heeft in de VS het debat over RFID in winkels en supermarkten flink aangewakkerd. De RFID in winkels is van een ander type en bevat alleen een uniek nummer, de Electronic Product Code (EPC). Het nummer is voor ieder item in de supermarkt anders: twee flessen cola hebben dus altijd een verschillend nummer.

In Duitsland is een actieve campagne tegen RFID gestart nadat de groothandel Metro de chips introduceerde in haar winkels. Bovendien blijken de kaartjes voor het wereldkampioenschap voetbal in 2006 in Duitsland ook RFID te bevatten. Wie een kaartje koopt moet al z'n data inleveren: naam, adres, paspoortnummer, telefoonnummer, e-mail adres, rekeningnummer, etc. Al deze data worden gekoppeld (in een database van de

organisatie) aan het unieke nummer van de RFID in het kaartje. Zo kunnen politie en organisatie alle bezoekers constant volgen. Bovendien is het niet duidelijk wat er met alle gegevens gaat gebeuren na afloop van het kampioenschap.

Het debat over RFID is in Nederland nog niet zo intens. Maar de zorgen over RFID zijn overal hetzelfde. Door nummers te koppelen aan identiteiten (bijvoorbeeld via de klantenkaart) ontstaat de mogelijkheid iemand te volgen en overal te identificeren. Ook is het mogelijk aan de hand van de vele nummers die iedereen in de toekomst bij zich draagt een profiel op te stellen. Een nummer van het merk Gucci zegt immers iets anders over een consument dan een nummer van Zeeman.

In Nederland heeft nu ook de ChristenUnie zich in het debat gemengd met een notitie over RFID en privacy. De fractie stelt voor om tracking van mensen via RFID te verbieden en wil dat RFID in de winkel bij de kassa worden uitgezet of verwijderd. Dat laatste wordt misschien wel een van de belangrijkste punten in de hele discussie. RFIDs zijn namelijk heel klein en zonder aanwijzingen kan een consument ze niet zelf verwijderen. De kwestie lijkt dus op de discussie rondom spam: opt-out of opt-in. Gaat de chip standaard uit bij de kassa of moet de klant daarvoor veel moeite doen?

De direct-marketing branche zal zich op een gegeven moment ook in deze discussie storten. Want als de chips in werking blijven, opent dat allerlei marketing mogelijkheden op het gebied van profiling. Op de uitkomst van die discussie ben ik niet gerust. Volgens de Nederlandse industrie vallen RFIDs al geheel onder de privacy-wetgeving en zijn nieuwe regels niet nodig. Maar ja, met spam moest het eerst ook helemaal uit de hand lopen voordat bestaande regels werden aangescherpt.