Cursor 16, 5 december 1996

Ieder kopje koffie geregistreerd

door Siem Simonis

Vorige week besteedde Cursor aandacht aan de ingebruikname van de chipknip aan de TUE. Naast deze betaalpas van de banken bestaat er ook nog de chipper van de Postbank. Het afgelopen jaar zijn beide partijen elkaar geregeld in de haren gevlogen. Welke pas komt als eerste op de markt en welke heeft de meeste mogelijkheden? Ook over de veiligheid van dit nieuwe elektronische betaalsysteem is veel te doen geweest. Begin november sprak Tom de Regt, beveiligings-deskundige, bij SG-Aktueel over de beveiliging van de chipper en over de gevolgen voor de privacy.
Half mei kopte de Volkskrant nog ‘Chipkaart van Postbank en PTT is niet veilig’. De Consumentenbond had bezwaren over de oplaadapparaten van de chipper. Het zou te makkelijk zijn om af te kunnen kijken welke pincode de klant intoetst. De gegevens op de kaarten zelf zijn echter sterk beveiligd, legde De Regt uit. ‘Er zijn verschillende instanties die daar toezicht op houden. De Centrale Bank doet dat, maar ook het Chipkaart Platform, waarin onder andere de overheid en de Vereniging van Banken zitting hebben.’
De Centrale Bank houdt toezicht op het betalingsverkeer. Om de betrouwbaarheid van de chip-transacties beter te controleren, moeten de banken alle individuele transacties registreren. De bank is dus op de hoogte van ieder kopje koffie dat de kaartgebruiker consumeert. Volgens De Regt levert dit geen problemen op voor de privacybescherming. ‘Ten behoeve van de privacy is er een set van gedragsregels opgesteld. Zo mag de informatie alleen maar voor een van tevoren vastgelegd doel gebruikt worden en niet vaker dan nodig. Ook de verzameling van gegevens mag alleen gebeuren met toestemming van de klant.’ De kaartgegevens die via een winkelier naar de banken gezonden worden, zijn overigens niet door de verkoper te lezen.
De kaart kan straks gebruikt worden voor veel meer toepassingen dan als elektronische beurs. De mogelijkheden zijn legio: als strippenkaart, als bibliotheekpas, voor een spaarsysteem van een winkel. De Regt: ‘Ook grote bedrijven willen straks chippers gaan uitgeven. Dan heb je een chipkaart met het logo van V&D of Shell op je kaart.’ Dit kan voordelen opleveren voor zowel de middenstand als voor de consument. In ruil voor informatie over het kopersgedrag krijgen de klanten dan bijvoorbeeld korting of spaarmogelijkheden.
Als op de chipkaart verschillende gegevens over de eigenaar verzameld staan, zijn er natuurlijk ook verschillende beveiligingsniveaus nodig. De Regt: ‘Die verschillende niveaus zijn er ook. Wat dat betreft is de chipper te vergelijken met een floppy disk. Er is een bepaalde hoofdfile, vergelijkbaar met de root directory van de floppy. Daaronder liggen de subdirectories, waarvan per file de beveiligingsniveaus instelbaar zijn.’ Die beveiligingsniveaus kunnen uiteenlopen van altijd leesbare gegevens tot nooit leesbaar. Altijd leesbaar zal bijvoorbeeld het geldsaldo zijn. Die informatie is openbaar.
De Regt zei hierover: ‘Bij die informatie moet je makkelijk kunnen komen. Zo zijn er al sleutelhan-gers op de markt met een uitleesschermpje, zodat je altijd kunt weten hoeveel geld je bij je hebt. Andere gegevens zijn privacy-gevoeliger, zoals wanneer de kaart bijvoorbeeld gebruikt gaat worden om bij het gemeentehuis persoonsgegevens uit te lezen.’ De Regt vertelt dat de consument er weinig van zal merken welke versleute-ling voor welke gegevens gebruikt wordt. ‘De kaarthouder zal alleen merken dat hij voor sommige data zijn pincode in moet typen en voor andere niet.’