Vereniging Reizigers Openbaar Vervoer (ROVER)


Haagse Berichten Haagse Berichten
Door: Fred Andrioli, Haagse redactie

Kamer maakt zich grote zorgen over de veiligheid van de OV-Chipkaart
o Na de wegwerpkaart zouden binnen enkele maanden ook de persoonlijke en anonieme kaarten gekraakt kunnen worden.
o Staatssecretaris Huizinga gaat zich er actief mee bemoeien en komt met een "aanvalsplan".

Naar aanleiding van het kraken van de wegwerpkaart door een zopas afgestudeerde student aan de Radboud universiteit, heeft de Vaste Tweede Kamercommissie voor Verkeer en Waterstaat op 16 januari een hoorzitting gehouden en is er op de volgende dag een plenair debat geweest met de staatssecretaris.

Tijdens de hoorzitting ging het om 3 vragen aan de aanwezigen:
o hoe heeft het kunnen gebeuren (het kraken),
o wat zijn de consequenties en
o hoe kijkt u aan tegen de oplossing?

J. Kok van TransLink Systems (TLS) zei dat er nu nog geen schade is voor de reiziger. Bij de wegwerpkaart is bewust (uit kostenoverwegingen) gekozen voor een lagere beveiligingswaarde. Wel gaf hij toe dat het binnen niet al te lange tijd kan gebeuren dat de code van de chipkaart bekend raakt. Eind februari weten we wat gedaan moet worden als dat het geval is.

P. Peters van de RET pleitte ervoor het "laboratoriumbedrijf" in Rotterdam te continueren. Er eizen nu veel mensen vrijwillig met de chipkaart. Die moeten niet gedupeerd worden. Zolang de staatssecretaris niet beslist dat de strippenkaart mag worden afgeschaft blijven er twee systemen. Dit is wel nadelig voor wat het bestrijden van het zwartrijden betreft.

Mevr. Bügel van de NS zei dat nog geruime tijd met papieren kaartjes met de trein gereisd kan worden. Het papieren kaartje zal pas worden afgeschaft wanneer blijkt dat de meeste reizigers de chipkaart hebben geaccepteerd. Dat zou best wel jaren kunnen duren. Gedurende die tijd zal een deel van de poortjes open blijven. Overigens blijft er gecontroleerd worden in de trein. Wat de privacy betreft, zal NS alleen globale reizigersgegevens gebruiken. Niet voor marketingdoeleinden, maar alleen voor service, bijvoorbeeld informatie bij ontregelingen.

Vervolgens kwamen de heren Teepe, Verdult, Gonggrijp en mevr. Rieback aan het woord. Als wetenschappers wezen zij erop dat een "open" ontwikkeling van dit soort systemen beter is dan die binnen één (commercieel) bedrijf. Er kijken dan immers veel meer wetenschappers mee en dan worden fouten zoveel mogelijk voorkomen. Verder werd gewezen op een nieuwe generatie chips (Desfire) die al bij vervoerbedrijven in het buitenland wordt gebruikt. Omdat zij niet weten hoe het systeem van Translink in elkaar zit, kunnen zij niet zeggen "op welke plekken pleisters moeten worden geplakt". Er moet worden gemigreerd naar een beter systeem.Voorspeld werd dat het binnenkort mogelijk zal zijn dat iemand met een apparaatje het geld op een chipkaart van een persoon naast hem kan halen. Een nieuwe vorm van zakkenrollen.

P. de Bot van NXP (Philips) zei dat in zijn bedrijf honderden mensen bezig zijn met de contactloze chips, zoals die in de OV-chipkaart worden toegepast. In Nederland zitten in de bankpassen nog geen contactloze chips (wel al in Azië). Chips kunnen diverse niveau's van beveiliging hebben. De keuze zal mede gebaseerd zijn op de kosten en is de verantwoordelijkheid van de opdrachtgever. Niet overal is een "Fort Knox-beveiliging" nodig. In de wegwerpkaart zit een eenvoudige chip. De chip in de abonnementkaart heeft een hoger beveiligingsniveau. Een "Desfire-systeem" zou nog twee keer zo duur zijn als de abonnementkaart. Overigens zei hij nog dat zijns inziens in 2002 geen verkeerd besluit is genomen, gelet op de toenmalige stand van de technologie.

J. Kohnstamm van het College Bescherming Persoonsgegevens (CBP) heeft een onderzoeksrapport naar de kamer gestuurd. Gebleken is dat sommige persoonsgegevens te lang werden bewaard en dat de informatie naar de reiziger beter moet. Er moet expliciet toestemming van de klant worden verkregen om persoonsgegevens te kunnen gebruiken. Met NS is hij al jaren in gesprek, maar dat gesprek verloopt moeizaam. Ook "globale gegevens" vereisen de "opt-in-constructie". Hij zei op een vraag dat de wetgeving voldoende duidelijk is om te kunnen handhaven.

G. Kroon van het GVB Amsterdam zei dat zijn bedrijf zich aan de wettelijke bepalingen zal houden. Mevr. Bügel zei dat ook NS veel waarde hecht aan privacy, maar we moeten niet doorslaan. Er is een grijs gebied tussen marketing en informatie. Veel mensen stellen het op prijs informatie te ontvangen.

Verhagen van de Consumentenbond constateerde dat de regie in handen is gegeven aan private partijen. Het vertrouwen van het publiek is op de proef gesteld. Er is nog niet voldaan aan alle eisen van de consumentenorganisaties. Hij zei dat de klant de chipkaart niet door de strot geduwd moet worden. Hij pleitte voor een pauze in het proces en voor een onafhankelijk onderzoek.

M. van der Vlis van ROVER zei dat zijn organisatie in het algemeen voor de chipkaart geweest is, maar de zorgpunten van de consumentenorganisaties zijn niet afgenomen. De problemen komen nu ten volle aan het licht.
De chipkaart moet echter niet ten grave worden gedragen. Er is zijns inziens geen systeem dat absoluut niet te kraken valt. Ook hij is voorstander van een time-out. Met het opschuiven van de datum van het afschaffen van de strippenkaart, blijven weliswaar twee systemen naast elkaar bestaan, maar het geeft de mogelijkheid de zaken nog eens behoorlijk te bekijken. In dit verband zei hij dat niet is nagedacht over een duaal systeem. Zoiets bestaat in enkele steden in de wereld en dat zou ook niet duur hoeven te zijn. In het overlegcircuit is onvoldoende met het belang van klant rekening is gehouden.
Er is een "aanvalsplan" nodig om de chipkaart te redden, aldus Van der Vlis.

Kamerleden vragen de staatssecretaris om snel met oplossingen te komen

De volgende dag werd een plenair debat gehouden met de staatssecretaris.
Duyvendak (GL) zei dat zijn fractie altijd voor de chipkaart is geweest, maar destijds met pijn in het hart tegen het GO-besluit heeft gestemd. Er is nu een "tikkende tijdbom"; binnen enkele maanden kan de abonnementkaart ook worden gekraakt. De staatssecretaris moet niet wachten op het TNO-onderzoek maar nú de leiding nemen.

Roemer (SP) steunde ook de chipkaart, maar het is nu een hoofdpijndossier geworden. De staatssecretaris kijkt toe en grijpt niet in als het nodig is. Hij haalde verschillende voorbeelden aan uit het recente verleden.

Roefs (PvdA) hield de staatssecretaris niet verantwoordelijk voor het probleem, maar wèl voor de oplossing ervan. De staatssecretaris moet nu handelen en niet wachten op het rapport eind februari. Overigens herinnerde zij eraan dat problemen die in het verleden bleken te bestaan wel zijn opgelost.

Van der Ham (D'66) zei dat de introductie van nieuwe systemen vaak met problemen gepaard gaat. Toch is er nu wel reden voor dit debat. Waarom is gekozen uit drie aanbiedingen met dezelfde chip en waarom is het systeem geheim?

Cramer (CU) herinnerde er, in een discussie met collega-kamerleden, aan dat de verantwoordelijkheid ligt bij de vervoerbedrijven. Wel moet er nu een plan van aanpak komen, zodra het rapport bekend is. Van der Staaij (SGP) zei dat het vertrouwen bij het publiek een deuk heeft opgelopen en dat het openbaar vervoer helaas negatief in het nieuws is gekomen. Er moet zo snel mogelijk een oplossing komen.

Mastwijk (CDA) zei nog steeds in een goede toekomst van de chipkaart te geloven. Er moet echter niet lichtvaardig over de problemen worden heengestapt. Eind februari weten we wat we moeten doen: "pleisters plakken" of overgaan op een volgende generatie. Het licht kan pas op groen voor het opheffen van de strippenkaart als alles in orde is. Hij legde de verantwoordelijkheid bij de vervoerbedrijven (dat was immers ook zo door de Kamer besloten), maar de staatssecretaris is verantwoordelijk voor het bepalen van het tijdstip van overgang.

De Krom (VVD) vroeg wat de staatssecretaris nu gaat doen. Het hele project staat op omvallen. Wie gaat extra kosten betalen ? Het hele project heeft de belastingbetaler al 130 mln gekost. Het Rijk (dus de belastingbetaler), de vervoerbedrijven of de reiziger? De tijd dringt. Er moet nu snel duidelijkheid komen.

Madlener (PVV) zei dat de regering de verantwoordelijkheid niet kan afschuiven op de vervoerbedrijven. Er is immers veel belastinggeld mee gemoeid en de privacy van de burgers is in het geding. Daarom is het Rijk tenminste medeverantwoordelijk.

Huizinga belooft er zich nu actief mee te gaan bemoeien

Staatssecretaris beloofde niet alleen onderzoek te doen, maar met een ""aanvalsplan" te komen om de chipkaart te redden. Zij stelt een regiegroep in met de decentrale overheden en de vervoerbedrijven, onder haar leiding Het is voor haar nu inderdaad tijd om acties te ondernemen.
Toch wees zij erop dat de verantwoordelijkheid voor de chipkaart ligt bij de vervoerbedrijven en de decentrale overheden. Dit is immers wat de Kamer heeft besloten.
Wèl is het aan haar, c.q. de regering, om te besluiten wanneer de strippenkaart mag worden afgeschaft. Met dit machtsmiddel kan zij de strippenkaart handhaven zolang niet de gantie bestaat dat de chipkaart veilig is. De landelijke invoering in januari 2009 zal dus niet gehaald worden. Extra kosten worden niet door het Rijk gedragen en mogen niet afgewenteld worden op de reiziger.

Met deze toezeggingen ging de Kamer uiteindelijk akkoord. Ook Duyvendak en Roemer, die het sterkst op de staatssecretaris hadden aangedrongen snel in actie te komen, wilden haar nog de kans geven de problemen op te lossen. Het is nog net niet te laat, aldus Duyvendak. Te verwachten is dat er eind februari opnieuw een debat zal volgen.

Den Haag, 18 januari 2008