Brief aan de Tweede Kamer over de chip in reisdocumenten
Brief met antwoorden op vragen van Kamerlid Duyvendak (GroenLinks) omtrent twee punten uit de beantwoording door de staattssecretaris van de vragen van de heer Duyvendak tijdens het vragenuur op 8 april 2008.
Bij de regeling van de werkzaamheden op 10 april 2008 heeft het Tweede Kamerlid Duyvendak (GroenLinks) nadere opheldering gevraagd omtrent twee punten uit mijn beantwoording van zijn vragen tijdens het vragenuur op 8 april 2008. De heer Duyvendak vraagt opheldering over:
- Hoe het zit met het onderzoek dat de Radboud Universiteit Nijmegen (RUN) heeft gedaan in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties;
- Over hetgeen de minister voor Bestuurlijke Vernieuwing en Koninkrijksrelaties in augustus 2006 aan de Tweede Kamer heeft gemeld.
Bij de beantwoording van de mondelinge vragen heb ik gezegd dat in opdracht van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties beveiligings-onderzoeken worden gedaan naar de reisdocumenten en dat de RUN een van de partijen is die zogeheten penetratietesten doen. De RUN is in 2006 een van de instanties geweest die in opdracht van het ministerie van BZK testen heeft uitgevoerd voor de in augustus 2006 ingevoerde elektronische reisdocumenten. Doel van het onderzoek dat door RUN in 2006 is uitgevoerd was na te gaan of er mogelijkheden bestonden om de functionaliteit van de chip in de reisdocumenten zo te gebruiken c.q. te misbruiken dat daardoor beveiligingsrisico’s ontstonden.
Ik heb niet gezegd dat het onderzoek dat RUN nu gaat publiceren (“Fingerprinting Passports”) in opdracht van het ministerie van BZK is verricht. Dat is namelijk niet het geval.
Wat betreft de brief[1] van de minister voor Bestuurlijke Vernieuwing en Koninkrijksrelaties van 31 augustus 2006 het volgende. In die brief wordt op pagina 3 gesteld dat het een eigenschap is van de contactloze (RFID)chip dat deze informatie afgeeft als gepoogd wordt contact te leggen met de chip.
Verderop in de brief (pagina 4) is ook aangegeven dat de producent van de Nederlandse reisdocumenten heeft aangegeven dat de functionaliteiten van de contactloze chip in de Nederlandse reisdocumenten overeenkomt met die van de documenten van de andere EU-landen die door deze producent worden gemaakt. Het feit dat die functionaliteiten hetzelfde zijn, maakt dat de chips in de reisdocumenten van deze landen op dezelfde manier reageren. De betreffende passage (op pagina 4) is in de brief van 31 augustus 2006 opgenomen, omdat bij testen was gebleken dat de voorgeschreven technische specificaties het gedrag van de chip niet eenduidig voorschrijven. Hierdoor kan verschillend functioneel gedrag ontstaan. Voor de Nederlandse reisdocumenten is geconstateerd dat de chip op commando’s op dezelfde wijze reageert als de chip in de overige reisdocumenten die door deze producent worden gemaakt.
Ik heb bij de beantwoording van de mondelinge vragen op 8 april 2008 ook gezegd dat de beveiliging van de reisdocumenten mijn voortdurende aandacht heeft. Voor de invoering van de elektronische reisdocumenten in augustus 2006 zijn een reeks onderzoeken (door verschillende externe partijen) op dit punt gedaan. Omdat waakzaamheid noodzakelijk is, is enkele weken geleden aan de instanties die in 2006 de testen hebben uitgevoerd, gevraagd om offerte uit te brengen voor het opnieuw testen van de reisdocumenten. Dit om na te gaan of er nieuwe ontwikkelingen zijn die tot nieuwe kwetsbaarheden zouden kunnen leiden. Ook aan de RUN is gevraagd offerte uit te brengen. De planning is erop gericht deze onderzoeken zo spoedig mogelijk uit te voeren. Ik zal u over de uitkomsten van deze testen informeren.
DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES,
drs. A.Th. B. Bijleveld-Schouten
[1] TK 2005-2006, 25 764 nr 30