Home / Publicaties / OV Chipkaart onder vuur: technische beveiliging en...

OV Chipkaart onder vuur: technische beveiliging en privacybeleid deugen niet

14/03/2008

De ov-chipkaart kampt al enige tijd met felle kritiek. Onlangs werd (een deel van) de beveiliging gekraakt. Daarnaast verscheen een vernietigend rapport over de privacy aspecten van de kaart. Volgens dit rapport wordt er niet voldaan aan de wettelijke normen met betrekking tot de bescherming van persoonsgegevens. Bescherming van de persoonsgegevens moet een doorlopend aandachtspunt blijven door de constante technische ontwikkelingen.

Beveiliging chip van de ov-chipkaart gekraakt (?)
Vorige week maakten drie IT-specialisten bekend dat ze de geheime cryptografiealgoritmen hadden "gekraakt" van de chip die onder meer wordt toegepast in de ov-chipkaart. Het betreft de zogenaamde "Mifare Classic" technologie voor autorisatietoepassingen. In een op het internet gepubliceerde paper legden zij uit op welke wijze de geheime beveiligingscode met relatief beperkte middelen kan worden ontcijferd.

Hierdoor zou het mogelijk zijn om bijvoorbeeld de ov-chipkaart van een ander te kopiëren. Omdat de chip draadloos communiceert (het betreft RFID technologie) zou dat met een laptop in de trein moeten kunnen, zonder de kaart fysiek aan te raken. De producent van de bewuste chips heeft inmiddels benadrukt dat niet de volledige beveiliging zou zijn omzeild, maar slechts één van de meerdere "lagen" van de beveiliging onder vuur zou liggen.

Ook juridisch gevoelig:
Hoewel de beveiliging van de ov-chipkaart in eerste instantie tot discussie leidt onder technici en in de politiek, raakt het wel degelijk ook een gevoelige juridische snaar. Eerder dit jaar publiceerde het College Bescherming Persoonsgegevens een rapport over de privacy aspecten van de ov-chipkaart van het Amsterdams Gemeentelijk Vervoerbedrijf (GVB) in het metronet. De kritiek van het CBP was niet van de lucht: de werking van de chipkaart is, aldus het CBP in haar persbericht van 15 januari jl. in strijd met de Wet bescherming persoonsgegevens (Wbp).

De meeste conclusies van het CBP hadden betrekking op de hoeveelheid gegevens die het GVB van plan was te verwerken en met het voorgenomen gebruik van die gegevens. Kort gezegd vindt het CBP dat er in de huidige opzet onnodig veel persoonsgegevens worden verwerkt, en dat deze ook te lang worden bewaard. De Wbp stelt echter ook eisen aan beveiliging van systemen waarmee persoonsgegevens worden verwerkt. Artikel 13 van de Wbp verplicht eenieder die persoonsgegevens onder zijn hoede heeft om "passende technische en organisatorische maatregelen" te treffen om verlies en onrechtmatige verwerking van de door hem verwerkte gegevens te voorkomen.

Ook over de wettelijke beveiligingsnorm heeft het CBP zich in haar rapport streng uitgelaten: "GVB heeft gelet op de gedetailleerde dataverzamelingen en de daarmee samenhangende privacyrisico's noch in technische, noch in organisatorische zin adequate beveiligingsmaatregelen getroffen."

De wettelijke norm voor gegevensverwerking schuift met de techniek steeds verder op
De vraag of een verantwoordelijke voldoet aan zijn wettelijke beveiligingsplicht moet onder meer worden bepaald aan de hand van het soort gegevens die worden verwerkt en de stand van de techniek. Aan de verwerking van bijvoorbeeld medische gegevens worden veel strengere eisen gesteld dan aan meer algemene persoonsgegevens zoals naam en adres.

De "stand van de techniek" wordt mede bepaald door de mogelijkheid om wachtwoorden en encryptie-mechanismen te ontcijferen. Op dit terrein is, zoals het bovenstaande voorbeeld laat zien, een voortdurende wapenwedloop gaande. Dat betekent dat niet alleen de exploitant van de ov-chipkaart, maar ook vele andere bedrijven en instellingen (en hun advocaten!) in de gaten moeten blijven houden wat er in de markt speelt. Komt er nieuw "digitaal inbrekersgereedschap" op de markt, kan de rechtmatigheid van de gegevensverwerking op de tocht komen te staan.