abcdefgh
De voorzitter van de Tweede Kamer
der Staten-Generaal
Binnenhof 4
2513 AA DEN HAAG
Contactpersoon Doorkiesnummer
- -
Datum Bijlage(n)
24 juni 2008 -
Ons kenmerk Uw kenmerk
VENW/DGP-2008/6554 08-VW-B-133
Onderwerp
Commissievragen OV-chipkaart
Geachte voorzitter,
Hierbij beantwoord ik, mede namens de minister van Financiën, in overleg met De
Nederlandsche Bank, de vragen van de Vaste Commissie voor Verkeer en Waterstaat
inzake de OV-chipkaart en de egi-status (elektronischgeldinstelling), d.d. 20 juni 2008.
1. Hoe verhoudt het schrijven van DNB d.d. 22 februari 2008 waarin vermeld staat dat
een elektronischgeldinstelling, die wettelijk is uitgezonderd van de vergunningplicht, geen
vergunning moet maar wel mag aanvragen zich tot de uitspraak van de staatssecretaris
van Verkeer en Waterstaat, dat Trans Link Systems zich in 2006 wel wilde laten
certificeren, maar dit niet mogelijk was omdat het niet noodzakelijk was?
1. Mijn uitspraak was in lijn met het door DNB ingenomen standpunt dat een
onderneming die elektronisch geld uitgeeft dat alleen voor het openbaar vervoer gebruikt
kan worden, vooralsnog niet als elektronischgeldinstelling (egi) werd aangemerkt. Als een
onderneming niet als egi wordt aangemerkt, kan zij geen vergunning aanvragen volgens
DNB. Het standpunt van DNB was ingenomen in afwachting van de uitkomst van de
evaluatie van de richtlijn voor elektronisch geld, omdat de richtlijn onzekerheid liet op dit
punt. De richtlijn voor elektronisch geld is echter tot op heden niet gewijzigd. Ook
overigens is er op Europees niveau niet meer duidelijkheid gekomen over de egi-status van
dergelijke bedrijven. Omdat op een gegeven moment zekerheid vereist was, heeft DNB op
basis van alle omstandigheden het standpunt ingenomen dat zij TLS als egi aanmerkt,
zoals ook verwoord in de brief van 22 februari 2008.
Ministerie van Verkeer en Waterstaat Telefoon 070 - 351 6171
Postbus 20901 2500 EX Den Haag Fax 070 - 351 7895
Bezoekadres : Plesmanweg 1-6, Den Haag Internet www.minvenw.nl
Bereikbaar met tramlijn 9 of bus 22 vanaf station CS of met tramlijn 9 vanaf station HS
VENW/DGP-2008/6554
2. Wat houdt de oversight rol van DNB, die genoemd wordt in de brief van DNB d.d. 22
februari 2008, precies in? Kunt u voorbeelden uit het verleden geven waaruit deze rol
duidelijk wordt?
2. Zoals DNB heeft aangegeven in de genoemde brief is het uitvoeren van oversight een
van de taken van een centrale bank. De wettelijke basis daarvan is de Bankwet. Ter
uitvoering van deze taak houdt DNB onder meer toezicht op betaalproducten. Deze
producten worden hierbij getoetst aan nationale of internationale oversightstandaarden
ter bevordering van de veiligheid en efficiëntie van betaalproducten. Voorbeelden van
betaalproducten die object zijn van oversight door DNB zijn de Nederlandse collectieve
betaalproducten PIN, Chipknip, Incasso, Acceptgiro en iDEAL.
Het uitgangspunt bij de uitvoering van deze toezichttaak is echter dat de uitkomsten van
dit oversight niet openbaar zullen worden gemaakt. Sinds 2006 worden de resultaten van
uitgevoerde toetsingen jaarlijks gepubliceerd in het Jaarverslag van DNB. Gegeven de
bestaande geheimhoudingsbepalingen dient de eigenaar van een betaalproduct voor deze
publicatie uitdrukkelijke toestemming te verlenen.
Tevens zijn in 2003 en 2006 oversightrapportages gepubliceerd inzake de veiligheid van
de PINpas en de Incasso.
3. In de EMSSO, de richtlijn van de Europese Centrale Bank, staat de passage, opgenomen
in een opsomming van criteria waaraan een "TOE" (target of evaluation) zou moeten
voldoen: "The security architecture of the TOE is based on standardised, publicly known
and extensively reviewed, state-of-art cryptographic algorithms and cryptographic key
management. The TOE does not use cryptographic algorithms that must remain secret for
security reasons(..)". Wat betekent dit voor de aanvraag van een EGI-status voor het
huidige OV-chipkaartsysteem?
3. De DNB heeft mij het volgende gemeld: in het in door de ECB in mei 2003
gepubliceerde rapport Electronic Money System Security Objectives (EMSSO) zijn
beveiligingseisen geformuleerd op basis van een Protection Profile (PP) conform de
Common Criteria van ISO (International Organisation for Standardisation). Het kan
worden beschouwd als een nadere uitwerking van de eerdere standaarden gericht op het
elektronischgeldproduct zelf, zoals het eerder door de ECB gepubliceerde Report on
Electronic Money.
Het EMSSO rapport is door de ECB niet aangemerkt als een internationaal geaccepteerde
standaard die bij de uitvoering van oversight kan worden gebruikt. Door de ECB is in 2005
nog een pilot uitgevoerd naar de praktische bruikbaarheid van het EMSSO-rapport voor
de toetsing van elektronisch geldproducten. Deze pilot heeft uitgewezen dat de
bruikbaarheid van EMSSO voor het uitvoeren van oversight gering is.
Door het nog ontbreken van internationaal geaccepteerde standaarden voor het oversight
op betaalproducten heeft DNB een eigen oversightkader ontwikkeld, de Aanbevelingen
voor Betaalproducten.
Bij de beoordeling van een elektronischgeldproduct is de gebruikte cryptografische
beveiliging slechts één van de onderdelen is waarop de toetsing van DNB is gericht. Bij de
---
VENW/DGP-2008/6554
oordeelsvorming over de veiligheid van een elektronischgeldproduct worden alle
elementen van belang in de beoordeling betrokken. Bij een vergunning kijkt DNB naar het
hele stelsel van risicobeheersmaatregelen. EMMSO is daarbij geen harde leidraad. Indien
het hele stelsel van maatregelen als adequaat kan worden beoordeeld door DNB dan is het
mogelijk dat er wel een vergunning wordt afgegeven, ondanks dat het crypto algoritme
geheim is.
Hoogachtend,
DE STAATSSECRETARIS VAN VERKEER EN WATERSTAAT
J.C. Huizinga-Heringa
---
Ministerie van Verkeer en Waterstaat