De cache van een dagje winkelen

Auteur: Richard de Boer

Wat is de overeenkomst tussen een kind in Legoland, de OV-chipkaart, een rashond, een Alzheimerpatiënt op een zorgboerderij, een koffer op Schiphol en de verswaren van C1000? Ze zijn allemaal gelabeld met een Radio Frequency IDentification-chip. Dit automatisch identificatiemiddel zendt radiogolven uit die het mogelijk maken om op afstand ongemerkt informatie over een product, dier of persoon te verzamelen.

RFID is niet nieuw, het is al onderdeel geworden van ons dagelijks leven. Maar het aantal toepassingen van het identificatiechipje zal de komende tijd explosief groeien. Sommigen zien dat als een utopie, anderen vrezen voor een nachtmerrie. Neem de OV-chipkaart. Het grote voordeel van deze RFID-kaart is dat je geen gedoe meer hebt met zonegrenzen en verschillende kaartjes voor trein en bus. Je betaalt wat je reist. Maar wat de meeste mensen niet weten, is dat je persoonsgegevens op de OV-chip overal en op afstand te lezen zijn. In principe kan je hele handel en wandel worden gevolgd. Het College Bescherming Persoonsgegevens protesteert al jaren tevergeefs. Tegen de toepassing van RFID in de gevangenis in Lelystad kwamen minder bezwaren. Gedetineerden dragen een armband met een RFID-tag erin. Hun gangen zijn op een monitor te volgen en dat scheelt bewakingskosten. De RFID-tag voor kinderen in Legoland en voor de Alzheimerpatiënt in de zorgboerderij voorkomt dat ze kwijtraken.

De grootte van een zandkorrel
Een RFID-tag bestaat uit een chip met informatie en een antenne. Een RFID-reader zendt radiosignalen uit naar de chip en de chip zendt zijn informatie terug. Die informatie wordt opgeslagen en verwerkt in een database. Een RFID-reader kan meerdere RFID-signalen tegelijkertijd opvangen en verwerken. De radiogolven gaan dwars door kleding, verpakkingsmateriaal en de huid, als de chip bij een mens of dier is ingebracht. Er zijn actieve en passieve RFID-chips. Veruit het grootste gedeelte van de RFID-chips is passief en is alleen op korte afstand (40 cm tot 7 meter) te lezen. Je vindt ze bijvoorbeeld in de smart cards; klantenpassen, identiteitskaarten en personeelspassen. De tags zijn soms niet groter dan een zandkorrel. Actieve chips kunnen behalve gelezen ook beschreven worden. Actieve chips zijn groter en hebben een energiebron nodig; een accu of een koppeling met een mobiele telefoon. Voor de actieve chips zijn leesafstanden van tientallen tot meer dan een kilometer haalbaar, afhankelijk van de RFID-reader.

Alomtegenwoordig internet der dingen
Volgens kenners staan we aan de vooravond van een Internet der Dingen, ambient intelligence en ubiquitous computing. Oftewel: de computer zoals we ‘m kennen – met beeldscherm en hardware – zal uit het zicht verdwijnen. In plaats daarvan komt er een computertechnologie die overal in verweven is. In producten, in deuren, in structuren. RFID speelt daarbij een sleutelrol. In de toekomst zijn alle getagde producten en dingen digitaal met elkaar verbonden. Net zoals op internet informatie met elkaar gelinkt wordt, maar dan in de fysieke wereld. De omgeving wordt als het ware de interface, RFID de lijm die alles samenhang geeft. Maar zover is het nog niet. Er is nog geen wereldwijde standaardisering en ook een achterliggende infrastructuur ontbreekt. Voor een echt internet der dingen is volledige uitwisselbaarheid van RFID-systemen nodig. Daar wordt overigens wel aan gewerkt; de Electronic Product Code is wereldwijd de meest geaccepteerde RFID-standaard. Ook de kosten van een RFID-chip zijn nog te hoog om RFID op grote schaal toe te passen. “Rond 2004 dachten veel bedrijven dat RFID de barcode op elk product kon vervangen,“ vertelt Bart Schermer, privacyjurist en coördinator van het RFID Platform Nederland. “Dat bleek technisch lastig en bovendien te duur. RFID is niet voor elk doel de efficiëntste technologie. Elke toepassing is maatwerk.”

Pinnen met je mobieltje
RFID is aan een opmars bezig. In 2006 werden wereldwijd meer dan één miljard RFID-tags verkocht en in 2016 zullen het er meer dan 500 miljard zijn. De grote doorbraak kwam in 2005 toen de supermarktketens als Wal-Mart en Metro AG hun leveranciers verplicht stelden om dozen en paletten met RFID-tags naar EPC-standaard te voorzien. Dat maakte de logistiek een stuk eenvoudiger en goedkoper. Nederland is momenteel bezig met een inhaalslag. Volgens Marco Waas van TU Delft heeft Nederland – toch een distributieland – in de ontwikkeling van RFID de boot gemist. En dat terwijl een van de grootste RFID-chipfabrikanten Nederlands is; NXP Semiconducters, opgericht door Philips.
Bart Schermer ziet het meeste heil in een tag met sensortechnologie. “De supermarktketen C1000 zet bijvoorbeeld sensor-RFID’s in om versproducten (groenten, vlees, zuivel, brood, aardappelen en diepvries) zo snel en dus zo vers mogelijk in de winkel te krijgen. De sensor geeft informatie over temperatuurschommelingen. Die informatie kan gebruikt worden om de kwaliteit van de producten te verbeteren.” C1000 houdt dit jaar ook een proef met mobiel betalen via RFID. Honderd klanten kunnen met hun mobiele telefoon (voorzien van een RFID-tag) afrekenen. De chip houdt het aantal spaarzegeltjes bij en statiegeld wordt direct op je bankrekening bijgeschreven. Deze vorm van RFID, met een actieve chip die alleen op korte afstand leesbaar is, heet Near Field Communication (NFC).
Ook ziekenhuizen experimenteren met RFID. Maar daar blijkt de technologie vooralsnog te duur en te experimenteel om in te zetten, zo bleek begin 2007 uit een experiment in de operatiekamers van het Amsterdams Medisch Centrum. Actieve RFID-tags met sensortechnologie moesten informatie geven over de logistiek in de operatiekamer, materiaal snel traceren en de temperatuur van bloedzakken in de gaten houden.

Cookies in de supermarkt
Cor Molenaar, voorzitter van het RFID Platform Nederland, voorziet een glansrijke toekomst voor RFID in het customer relationship management (CRM). Molenaar vindt dat Internet en nieuwe technologieën consumenten kritischer en flexibeler hebben gemaakt. Traditionele reclamemethodes zijn daardoor niet langer effectief als marketinginstrument. Als RFID straks steeds meer wordt gebruikt voor persoonsidentificatie ziet hij grote kansen voor klantgebonden marketing (narrowcasting). Het koopgedrag en de koopmotieven van het individu worden gevolgd, geanalyseerd en begeleid met persoonsgebonden aanbiedingen en kortingen. Cookies in de supermarkt dus.
Ook in huiselijke omgeving zal RFID gemeengoed worden. Philips experimenteert sinds 1999 in een speciaal researchprogramma met ambient intelligence; ‘intelligente’ producten die met RFID-technologie in staat zijn om situaties te interpreteren. De producten van de toekomst moeten zich kunnen aanpassen aan de gewoontes en de wensen van bewoners. En zelfs in staat zijn hun emoties te herkennen. Een prozaïsch voorbeeld van ambient intelligence in het huishouden is het digitaal seintje als de vuilniszakken bijna op zijn.

Privacy
Het gebruik van RFID in consumentenproducten baart burgerrechten- en consumentenorganisaties grote zorgen. Verborgen plaatsing van chips en RFID-readers maakt het mogelijk om mensen te traceren en om een profiel over iemand op te stellen. Door koppelingen met andere RFID-databases kan een profiel opeens veel informatie over iemand bevatten.
Een paar gevallen van onverantwoorde RFID-toepassingen hebben aan deze bezorgdheid bijgedragen. In maart 2003 werd bekend dat kledingfabrikant Benetton de logistiek wilde stroomlijnen door chips in kledingstukken te verwerken met informatie over kleur, maat en de winkel waarvoor het kledingstuk bestemd was. Dit leidde tot een grote publiekscampagne van de Amerikaanse consumentenorganisatie Consumers Against Supermarket Privacy Invasion And Numbering (CASPIAN), boegbeeld van de anti-RFID-lobby. Benetton zag af van chips in haar kleding. Sindsdien is het debat over RFID en privacy in de Verenigde Staten gepolariseerd. Om publieke commotie te omzeilen meed de Amerikaanse overheid in de voorlichting over het nieuwe elektronische paspoort elke associatie met de term RFID. Dat was een staaltje new speak dat marketingtechnisch slecht uitpakte en de vermoedens van tegenstanders over een ‘stille revolutie‘ bevestigde. Behalve de privacy kleefden er ook veiligheidsbezwaren aan het RFID-paspoort. Persoonlijke gegevens zouden door criminelen gestolen kunnen worden zonder dat je er iets van merkt. Het elektronische paspoort is er inmiddels, mét RFID-tag. Ook Nederland is sinds augustus 2006 overgegaan op een paspoort/identiteitskaart met RFID-chip.

RFID gehacked
Er is forse kritiek op de RFID-industrie omdat ze de kwetsbaarheden in de veiligheid en privacy van RFID bagatelliseert. Want veilig is RFID nog niet. Het onderzoeksteam van Melanie Rieback aan de Vrije Universiteit in Amsterdam kreeg in 2006 internationale publiciteit door aan te tonen dat RFID-systemen geïnfecteerd kunnen worden door malware en virussen. Een chip met malware kan een heel distributiesysteem platleggen. Ook het klonen en kraken van een RFID-chip bleek mogelijk.

Klakkeloos
In vergelijking met omringende landen zijn opvallend weinig Nederlanders zich bewust van RFID, ook al heeft iedereen er in zijn dagelijks leven mee te maken. In een Europees onderzoek uit 2005 gaf slechts twaalf procent van de Nederlandse respondenten aan de technologie te kennen. Een peiling onder early adopters van de OV-chipkaart wees uit dat bijna niemand zich realiseert dat zijn reisgedrag in principe gevolgd kan worden door politie, justitie en veiligheidsdiensten. „Er was maar een handjevol mensen dat de keuzemogelijkheid voor een anonieme OV-chipkaart zonder persoonsgegevens wilde afdwingen“, merkt Schermer van het RFID Platform op. „De overige zestien miljoen gaan de chipkaart op 1 januari 2009 klakkeloos accepteren. De burger wenst toch vooral meer gemak, meer efficiëntie en klantenkorting.“ Schermer beweert dat privacy over twintig jaar niet meer bestaat. „Dat heeft niet zozeer met RFID te maken, maar met de houding tegenover voortschrijdende technologie. Met de ontwikkelingen schuift de acceptatie steeds gemakkelijker op.“ Het Auto-ID Center kwam in een marketingonderzoek naar de publieke opinie over RFID tot eenzelfde conclusie. De consument is moeilijk te mobiliseren tegen RFID. Hij lijkt zich apathisch over te geven aan de onontkoombaarheid van de nieuwe technologie. Maar anderzijds hebben negatieve gevoelens nog de overhand. Voor de consument zijn er nog geen duidelijke voordelen te zien, waardoor negatieve berichtgeving vrij spel heeft. Het helpt ook niet dat het bedrijfsleven de voordelen soms opdringen.

Baja Beach Club
In Nederlandse wordt het debat over RFID vooral door specialisten gevoerd; het RFID Platform Nederland, het Rathenau Instituut, het College bescherming persoonsgegevens (CBP), computerwetenschappers en beleidsmakers. Van de politieke partijen heeft tot nu toe alleen de ChristenUnie zich serieus in het onderwerp verdiept. Directe aanleiding was het nieuws over geïmplanteerde betaalchips bij vaste klanten van de Baja Beach Club in Rotterdam; een schending van de integriteit van het lichaam volgens de CU. In tegenstelling tot landen als de Verenigde Staten, wordt het debat hier redelijk genuanceerd gevoerd. Een kleine groep van RFID-tegenstanders, zoals het comité Meldpunt Misbruik Identificatieplicht, vreest voor een naderende Orwelliaanse controlestaat. Dit schrikbeeld werd door voorstanders al snel als retorische tactiek overgenomen om alle kritiek op RFID te diskwalificeren als irrationele paranoia van ongeïnformeerde kleinburgers.

Function creep
Irma van der Ploeg (filosoof en lector Infonomie) vindt het zinnig om kanttekeningen te plaatsen bij RFID. Eén van de grootste risico‘s van RFID ligt volgens haar op het niveau van de achterliggende databases. Nieuwe vormen van dataverzameling brengen steeds meer informatie die oorspronkelijk gescheiden was bij elkaar. Informatie uit de verschillende levenssferen (thuis, werk en op reis) van een individu kunnen daardoor in een database gekoppeld worden. Databases worden vaak onder het mom van de efficiency aan elkaar gekoppeld. “Creating synergy, noemen ze dat”, zegt Van der Ploeg. Maar in werkelijkheid is het function creep; men verzamelt persoonlijke gegevens voor één bepaald doel, maar sluipenderwijs verandert het doel of de context waarin de gegevens geregistreerd worden. En daarvoor heeft het datasubject niet getekend. Van der Ploeg legt uit dat in een EU-richtlijn is vastgelegd dat persoonsgegevens alleen verzameld mogen worden voor het oorspronkelijke doel. “Deze regel wordt stelselmatig geschonden onder efficiencyvoorwendselen. De parlementaire controle zou veel sterker moeten zijn.”

Privacywet voldoet niet meer
Van der Ploeg maakt zich zorgen om het gebrek aan toezicht op commercieel gebruik van persoonsgegevens een probleem. “Het commercieel verzamelen van persoonsgegevens valt buiten de Wet Bescherming Persoonsgegevens. Een mens, het datasubject, heeft geen idee welke gegevens van hem bekend zijn, gerubriceerd worden en jaren lang bewaard worden. Hij heeft een enorme kennisachterstand op de systeemeigenaar, de beheerders van de databases. Ook de internationaal onderschreven fair information practices en gegevensbeschermingsregimes zijn ontoereikend omdat ze doorgaans gebaseerd zijn op een individuele rechtenbenadering.”
De overheid houdt vol dat het wettelijke kader voor privacybescherming, zoals de Wet Bescherming Persoonsgegevens, volledig van toepassing is op RFID-technologie. Maar ook Bart Schermer zet hier vraagtekens bij. “De WBP gaat over de verwerking van gegevens die terug te leiden zijn tot een persoon. Maar wat zijn precies persoonsgegevens? Als je Senseo-apparaat bij elk kopje koffie onmerkbaar en ongewenst contact maakt met de server van Albert Heijn, kun je dan spreken van persoonsgegevens? In de praktijk zal de WBP heel moeilijk te handhaven zijn. Het hele begrip privacy wordt onhanteerbaar.”
Ook Jeroen Terstegge, juridisch adviseur van Philips, denkt dat RFID-technologie het einde inluidt voor bestaande privacywetgeving. Privacywetgeving zet volgens hem een onnodige rem op ontwikkelingen rond RFID en ambient intelligence: “De WBP zou meer moeten toezien op de kwaliteit van de gegevensverwerking dan op de legitimiteit ervan.” Terstegge pleit voor wettelijke regels om nadeel en schade voor consumenten te voorkomen en voor privacy by design. Organisaties die met RFID gaan werken, zouden volgens Terstegge de bescherming van persoonsgegeven als uitgangspunt moeten nemen bij de ontwikkeling van hun informatiesysteem. Zo heeft Philips ervoor gezorgd dat chips op Philipsproducten na aankoop door consumenten gedeactiveerd kunnen worden. “Dat is een goede instelling”, vindt Schermer. “Het gaat uiteindelijk niet om het reguleren van de technologie, maar van de toepassingen. In Nederland hebben we een gedragscode proberen op te stellen voor RFID en privacy, maar uiteindelijk constateerden we dat zo‘n code de uitgangspunten van de WBP niet ontstijgt. Wat in de éne context geldt, werkt in een andere context niet. Prima dus als bedrijven zelf normen stellen.”

Zelfregulering
De EU en de Nederlandse overheid beschouwen RFID als een veelbelovende technologie die bij de juiste inzet grote innovaties mogelijk maakt in uiteenlopende sectoren. RFID moet volgens de overheid zoveel mogelijk de ruimte krijgen zich te ontwikkelen. Eurocommissaris voor informatiemaatschappij, Viviane Reding, vertrouwt op het zelfregulerend vermogen van de industrie. Om de verdere groei van de kostenbesparende RFID-technologie niet te belemmeren, komt ook de EU voorlopig dan ook niet met RFID-regels. Er is wel een RFID Stakeholder Group ingesteld met vertegenwoordigers van de industrie, wetenschap en consumentenorganisaties. Zij zullen de Europese Commissie adviseren over veiligheids- en privacyaspecten van radio-identificatie. Hun advies kan aanleiding zijn tot wetgeving.
Een gevaar van zelfregulering in het bedrijfsleven, is dat het privacybeleid snel van koers kan wisselen, bijvoorbeeld door een wisseling in het management, een veranderende concurrentiepositie of financiële druk.
Onafhankelijk toezicht op die zelfregulerende industrie zal een taak zijn voor maatschappelijke organisaties. In Nederland is de Consumentenbond de voornaamste watchdog voor consumentenrechten bij RFID-toepassingen, maar de Consumentenbond vertrouwt deze taak vooral toe aan EPCglobal. Dat is opmerkelijk aangezien de richtlijnen van EPCglobal voor consumentenproducten behoorlijk vrijblijvend zijn. De losse regels van EPCglobal maskeren het gebrek aan consensus van de industrie over privacywaarborgen.

Onzekerheid en wantrouwen
Irma van der Ploeg waarschuwt dat de nieuwe kwetsbaarheden door RFID nog niet of nauwelijks in kaart zijn gebracht. “Het is op voorhand niet te zeggen wat de sociale, ethische en normatieve implicaties zijn van het leven in een omgeving die is vergeven van alomtegenwoordige computers – onzichtbaar en verweven met het alledaagse. Het is natuurlijk wel interessant wat er gebeurt met het traditionele dualisme tussen subject en object wanneer de fysieke omgevingen en objecten op grote schaal voorzien worden van sensoren en communicatiecapaciteiten. Maar je kunt niet zomaar subjectkwaliteiten toekennen aan smart objects in het internet der dingen.”
Het Europese onderzoeksproject Safeguards in a World of Ambient Intelligence (SWAMI) bracht enkele kwetsbaarheden en bedreigingen van RFID in kaart. Enkele conclusies:
1) De toenemende complexiteit van computersystemen vereist steeds hogere kennisniveau‘s en veiligheidsmechanismes.
2) Een gebrek aan transparantie in een wereld van onzichtbare connectiviteit zorgt voor gevoelens van onzekerheid en wantrouwen onder burgers.
3) Er ontstaat een groeiende digitale kloof tussen geprivilegieerde burgers die meegaan met nieuwe technologische ontwikkelingen en burgers die dat niet kunnen of niet willen.
Deze drie punten zijn minstens zo nijpend als privacy en veiligheid. Maar in het Nederlandse debat zijn ze tot nu toe onderbelicht. In Nederland heten mensen niet burgers maar consumenten. Consumenten die – zoals de reclameslogan van de OV-chipkaart beweert – een leven willen dat steeds gemakkelijker wordt. Het debat wordt gevoerd in termen van kansen grijpen of de boot missen. Het is de hoogste tijd dat deze economische argumenten tegenwicht krijgen van sociale en culturele argumenten over de impact van ambient intelligence.

Peer-to-peer-power
Welke keuzes heeft de consument in de RFID-doordrenkte toekomst? In publieke discussie over RFID en privacy wordt de keuzevrijheid vaak gereduceerd tot de optie om de chip te deactiveren na aankoop van een product. Dit ‘knopje aan/uit‘ biedt slechts de illusie van controle over een technologie die ver buiten het bereik van de gemiddelde Nederlander ligt. Maar innovatieconsultant Rob van Kranenburg ziet kansen voor RFID in de opkomende bottom-up participatiecultuur, zoals zichtbaar is in de open source- en peer-to-peer-netwerken van Web 2.0. Digitale netwerken hebben de burger in een professionele amateur veranderd die niet langer andermans technologie hackt, maar zelf netwerken, software en hardware bouwt. Het gaat deze kritische mediagebruikers niet zozeer om het handhaven van hun privacy, betoogt ook mediaresearcher Klaas Kuitenbrouwer, maar om (mede)zeggenschap over alle componenten van de technologie. De readers, chips én de databases. In het huidige scenario van EPCglobal is geen plaats voor consumenten als medespelers, het spreekt alleen over marktpartijen.

Immuunsysteem tegen RFID-infiltratie
Is er een ontsnappen aan? Of laat je straks tijdens een wandeling op straat lang houdbare digitale sporen achter? Sporen waar je geen controle over hebt en die verregaande gevolgen kunnen hebben.
Er moet een mogelijkheid blijven om RFID-loos door het leven te gaan, is de eensgezinde conclusie van het Nederlandse RFID-debat. Maar hoe kun je RFID vermijden? Door de ontwikkeling van “immuunsystemen tegen niet-waarneembare infiltratie door artificiële actoren”, schrijft filosoof Cecile Crutzen. “Onze omgeving wordt besmet en vergiftigd door onwenselijke data en activiteiten. Ons leven kan zich alleen stabiliseren als we ons kunnen afsluiten en selectief deelnemen.” Er moet een mogelijkheid komen voor ‘selectieve connectiviteit’, vinden ook mediacritici Rheingold en Kluitenberg. “Het recht om je volledig uit het publieke leven terug te trekken in het privédomein.” Het onderzoeksteam van Melanie Rieback werkt aan een praktischere oplossing: een draagbare RFID-stoorzender voor consumenten. Met deze RFID-guardian kunnen mensen zelf bepalen welke tags door een reader gelezen mogen worden. En welke niet…

Share