Brief “Chiptechnologie toegangspassen” van ministerie

Het Ministerie van Binnenlandse Zaken stuurde de Tweede Kamer een brief over de chiptechnologie in toegangspassen.

Uit deze brief, over de invoering van een nieuwe pas:

Het programma Rijkspas is er op gericht om op een veilige manier toegang tot rijksoverheidsorganisaties te realiseren. Hierbij is het van belang om verschillende componenten van de Rijkspas zoals infrastructuur, toegangskaart en chiptechnologie in samenhang te ontwikkelen. Dit vereist goede procesafspraken.

In gezamenlijkheid met het programma Defensiepas heeft het programma Rijkspas aan TNO en PricewaterhouseCoopers (in combinatie met Universiteit van Nijmegen) opdracht verleend om met aanbevelingen te komen ten aanzien van het gebruik van chip(s) op de Rijkspas. De uiteindelijke toegangspas zal zijn voorzien van het nieuwe Rijkslogo en uitgerust zijn met “echtheidskenmerken” ten behoeve van authenticatie en identificatie.

Ten aanzien van de aansprakelijkheid van de chipfabrikant:

De chipfabrikant levert chips aan derden (geen passen), die deze samen met andere halffabricaten verwerken tot een (toegangs)pas. Uiteindelijk is er dan één leverancier die de pas (aan een ministerie) levert (al dan niet via de leverancier van het totale toegangscontrolesysteem). Er is dus geen contract tussen de ministeries en de chipfabrikant op basis waarvan de ministeries de chipfabrikant contractueel zouden kunnen aanspreken (nog los van de vraag of een contract daar wel grondslag voor biedt – zie onder).

In dit geval is dat juridisch niet haalbaar omdat zelfs indien de toegangspas een gebrek vertoont in de zin van artikel 6:186 van het Burgerlijk Wetboek, er niet aan de voorwaarden is voldaan van Afdeling 3, Productenaansprakelijkheid, van het Burgerlijk Wetboek.

Als laatste merk ik op dat ook voor contractuele aansprakelijkheid van de leverancier(s) niet of nauwelijks enige grond bestaat. […] De toegangspas van de oorspronkelijke leverancier van RBS is later vervangen door een toegangspas met de Mifare Classic Chip. Uit de verslagen die betrekking hebben op deze vervanging blijkt niet dat het aspect “onkraakbaar” enige rol heeft gespeeld en dat ter zake (contractuele) garanties zouden zijn afgegeven door de leverancier(s). Gelet op de geringe kans van slagen van een aansprakelijkheidsactie en gegeven het feit dat er tot op heden geen materiële schade van betekenis is geleden, is er geen aanleiding de chipfabrikant of de leverancier(s) van de toegangspassen aansprakelijk te stellen.