Chippen of stikken
Anoniem betalen wordt in Nederland en in de rest van Europa steeds moeilijker. Het laatste speeltje van de banken in de strijd om informatie is de chipknip. Als ik 'De Bank' moet geloven is chippen een praktische en snelle manier om kleinere bedragen electronisch te betalen.
Laatst kreeg ik een brief van 'De Bank' waarin ik vriendelijk toch dringend werd verzocht om mijn nieuwe bankpas op te komen halen. In de begeleidende folder werd de chipknip afgeschilderd als de universele knip die alles mogelijk maakt en de rest van de inhoud van je portemonnee vrijwel overbodig maakt. Zoals je in de krant hebt kunnen lezen maakt de chipknip ook andere zaken overbodig.
Geldtransporteurs zijn de afgelopen jaren opgezadeld met een sterke omzetdaling door de opkomst van elektronisch betalen (pinnen) en de creditcard. Hierdoor was Brink's Nedlloyd vorig jaar al gedwongen tot een reorganisatie, waarbij enkele tientallen banen verdwenen, vooral bij de ondersteunende diensten. Nu, met de invoering van de chipknip, dreigt het helemaal een slachting te worden binnen die wereld, aldus een woordvoerder van Nedloyd. Maar was dit nu maar het enige nadeel van de chipknip. EĆ©n van de zaken die mij het meest in het oog sprong was hoe de banken omgaan met de rechten en plichten van banken en consument. Die rechten en plichten staan in de zogenaamde produktvoorwaarden. In de voorwaarden beperken de banken hun aansprakelijkheid voor risico's als diefstal, verlies en technische gebreken. En ze hebben deze beperkingen heel goed omschreven, zeer goed zelfs. Zo goed dat ze volgens E. Hondius, hoogleraar privaatrecht in Utrecht en lid van de Geschillencommissie Bankzaken, vatbaar zijn voor zijn vernietiging door de rechter, omdat zij de consument onevenredig benadelen.
In de 'rechten en plichten' staat onder andere het volgende: de bank blijft eigenaar van de Chipknip, de consument krijgt de knip in bruikleen. De bank bepaalt de geldigheidsduur van de Chipknip. Twaalf maanden na afloop vervalt het saldo op de knip automatisch aan de bank. Defecten aan de microprocessor zijn voor risico van de consument. Voor tekortkomingen is de bank alleen aansprakelijk bij schuld. Voor het bewijs daarvan is de administratie van de bank doorslaggevend.
De wet schrijft voor dat de voorwaarden aan de consument moeten worden overhandigd voordat hij zijn handtekening zet voor de chipknip, maar in de praktijk gebeurt dat nooit.
Een heel ander aspect dat zeker niet onbelicht mag blijven is de privacy van de consument. Of nog beter, het gebrek daaraan. De banken hebben namelijk inzicht in alle betaaltransacties waarvoor de chipknip gebruikt wordt. Als de bankklant contant geld opneemt, weet de bank niet meer wat er mee gebeurt. Met de chipknip weet de bank dat wel. Dit is voor haar eenvoudig te koppelen aan andere betaalpatronen (zoals bankoverschrijvingen, opname van contant geld) waardoor de bank waardevolle informatie over het bestedingspatroon van de klant krijgt: 'Toon mij uw bankafschriften en ik zeg u wie u bent.' Al die gegevens slaan de Nederlandse banken op in een grote databank die wordt beheerd door de gezamenlijke organisatie van het betalingsverkeer Interpay. Maar gelukkig heb je daar als consument nog enige controle over. Sinds september 1996 hebben de banken ingestemd met de mogelijkheid voor consumenten om de opgeslagen persoonsgegevens in te zien en zo nodig te laten corrigeren. Maar of je daar veel baat bij zal hebben is natuurlijk nog maar de vraag. Los hiervan speelt bij mij nog de vraag wie nu eigenlijk de eigenaar is van al die gegevens op de chipknip. Is dit de individuele burger of is dat de eigenaar van de chipknip (dus de bank)?
Een ander interessant aspect van de chipknip is de beveiliging ervan. Volgens het onderzoekslaboratorium van de Amerikaanse regionale telefoonmaatschappij Bellcore is de chipknip minder veilig dan gedacht. De onderzoekers ondekten dat het mogelijk is om de code van een chipkaart af te leiden.
Ten gevolge hiervan is het dus mogelijk dat de fraudeur onbeperkt kan winkelen. Volgens Van Velzen van ABN-AMRO echter hebben zij de DS5002 chip gekraakt en wordt deze techniek niet gebruikt in de Chipknip. "De chip van de chipknip heeft een hele andere 'plattegrond'. Er is geen enkele reden om te twijfelen aan de veiligheid van de chip", volgens Van Velzen. Verder wordt in een uitgave van het vakblad Beveiliging de betrouwbaarheid van de chipkaart met pincode als 'zeer hoog' omschreven en het frauderisico als 'laag'. Ross Anderson heeft echter onlangs tijdens een conferentie over electronisch betalen in Oakland Californiƫ uitgelegd hoe eenvoudig het is om een DES-sleutel op een chipkaart te ontcijferen. Volgens prof. dr. Sape Mullender die op de Universiteit Twente onderzoek doet naar de beveiliging van netwerken, hangt de Nederlandse banken een ramp boven het hoofd. Vooral de keuze om voor alle chipkaarten en betaalautomaten slechts een handvol codes te reserveren, acht hij zeer riskant. "De banken hadden ook kunnen kiezen voor een systeem waarbij iedereen een persoonlijke code heeft (..). Als nu een of meer sleutels uitlekken, kunnen de banken hun chipper of chipknip wel gedag zeggen".
Ondanks al deze argumenten blijkt uit een onderzoek van Interpay dat het aantal transacties met de elektronische portemonnee, de chipknip, sinds de introductie eind vorig jaar wekelijks met 10 tot 15 procent toegenomen is. En uit een onderzoek van het NIPO blijkt dat zeventig procent van de consumenten denkt de chipknip te gaan gebruiken.
Dit artikel is verschenen in Kleintje Muurkrant nr 309, mei 1997
