donatieknop english
vrijdag, 29 oktober 2010 12:02

"Biometrisch paspoort ongefundeerd"

WRR-publicatie nr. 46 van mr Vincent Böhre d.d. oktober 2010 zegt wetenschappelijk wat Privacy First altijd al gezegd heeft, namelijk dat de nieuwe paspoortwet broddelwerk is. De publicatie heet "Happy Landings? Het biometrische paspoort als zwarte doos". Download het WRR-document HIER en lees HIER wat de ambtenaren er zelf over zeggen. Privacy First krijgt onafgebroken soortgelijke reacties uit de samenleving.
Inmiddels zijn er Kamervragen over gesteld.

Gepubliceerd in Rechtszaken
dinsdag, 12 oktober 2010 16:04

Brief Minister inzake kwetsbaarheid chip EMD

Brief Min. VWS over kwetsbaarheid chippas (UZI-pas)

 

 

Brief Ministerie van Volksgezondheid, Welzijn en Sport aan de Voorzitter van de Tweede Kamer der Staten-Generaal

 

Ons kenmerk MEVA/ICT-2922193

Datum 31 maart 2009
Betreft Smartcard

Geachte voorzitter,

In de brief van 19 februari 2009 (MEVA/ICT-2914041) naar aanleiding van de wetsbehandeling elektronisch patientendossier is gemeld dat er maatregelen worden getroffen om een onlangs in een laboratoriumomgeving geconstateerde kwetsbaarheid in het rekenmechanisme van de chip op de UZI-pas te onder­vangen.

De smartcards die te maken hebben met deze kwetsbaarheid worden breed (inter­nationaal) toegepast, zowel in de publieke als de private sector. In Nederland be­treft het in de publieke sector de UZI-pas en de Defensiepas. Ook het ministerie van Verkeer en Waterstaat maakt gebruik hiervan gebruik in de Digitale Tacho­graaf en heeft ze voorzien voor de Boordcomputer Taxi.

Kwetsbaarheid

De geconstateerde kwetsbaarheid betreft

de toepassing van het Chinese Remainder Theorem (CRT) om het uitvoeren van bepaalde berekeningen te ver­snellen. In een laboratoriumsituatie zijn experts in staat gebleken om de private sleutel van een chip te achterhalen. Om een private sleutel te achterhalen is het telkens weer nodig om te beschikken over de smartcard en bijbehorende pincode, grote deskundigheid en gespecialiseerde apparatuur. Hiermee kan een private sleutel van een chip worden verkregen. Deze is overigens dan alleen te gebruiken zolang de originele smartcard niet ingetrokken is door de rechtmatige eigenaar.

Gevolgen voor UZI-pas

Na contact met leveranciers is door VWS vastgesteld dat de kwetsbaarheid een zeer gering operationeel risico vormt voor het gebruik van de UZI-passen voor de toegang tot het EPD. Dit mede gezien het feit dat de UZI-pas niet de enige beveiligingsmaatregel vormt. Een zorgaanbieder moet bijvoorbeeld vóór aan­sluiting op het landelijk schakelpunt voldoen aan de eisen voor een Goed Beheerd Zorgsysteem (GBZ). Het gaat dan om waarborgen omtrent een juiste en zorg­vuldige registratie, verwerking en verstrekking van gegevens. Voor toegang tot het EPD kan de UZI-pas alleen worden gebruikt binnen een GBZ waarbinnen de betreffende pas geautoriseerd is. Bovendien wordt in het landelijk schakelpunt en in de GBZ permanent vastgelegd wie wanneer welke gegevens inziet, de zoge­naamde loggegevens.

Wel is het belangrijk de kwetsbaarheid op korte termijn weg te nemen. Voor de UZI-pas is deze overgang naar een modernere chip (zonder de geconstateerde kwetsbaarheid) voorzien voor medio derde kwartaal 2009. Vanaf dat moment zal elke nieuwe UZI-pas zijn voorzien van de nieuwe chip.

In de communicatie naar de huidige gebruikers van de UZI-pas zal extra worden benadrukt dat de pas en pincode gescheiden moeten worden gehouden en zorg­vuldig moeten worden beheerd. Bij verlies of diefstal van de pas dient de pas direct ingetrokken te worden. Dit kan 24 uur per dag via de website van het UZI­register.

De geldigheid van UZI-passen is drie jaar. Vanaf het moment dat de nieuwe chip beschikbaar is, zullen de al verstrekte passen niet na drie jaar, maar na twee jaar worden vervangen. Indien een gebruiker dit wenst, kan eerder omwisseling plaatsvinden.

Gevolgen voor Defensiepas

Voor Defensie is de kwetsbaarheid op dit moment niet relevant, omdat de private sleutel nog niet wordt gebruikt. Defensie heeft maatregelen getroffen om de kwetsbaarheid in het rekenmechanisme weg te nemen voordat de private sleutel in gebruik wordt genomen.

Gevolgen voor Boordcomputer taxi-pas

Vanwege de geconstateerde kwetsbaarheid in de smartcards heeft de leverancier van de beoogde smartcards van de boorcomputer mij laten weten dat hij deze niet kan leveren per 1 november. Hierdoor zal de invoering van de boordcomputer met drie tot vijf maanden verschuiven. Verkeer en Waterstaat volgt de ontwikkeling op de voet, samen met de leverancier. Dit heeft geen gevolgen voor de geplande publicatie van de regelgeving in juli 2009.

Gevolgen voor Digitale Tachograaf-pas

In welke mate de ontdekte kwetsbaarheid een probleem is voor de passen van de digitale tachograaf, is op dit moment onderwerp van overleg met collega­ministeries van Verkeer en de Europese Commissie. Zodra daarover meer bekend is, wordt u nader geInformeerd.

Hoogachtend,

de Minister van Volksgezondheid, Welzijn en Sport,

dr. A. Klink

de Staatssecretaris van Defensie

drs. J.G. de Vries

de Staatssecretaris van Verkeer en Waterstaat,

J.C. Huizinga-Heringa

Gepubliceerd in Medische privacy
Pagina 34 van 34

Onze Partners

logo Voys Privacyfirst
logo greenhost
logo platfrm
logo AKBA
logo boekx
logo brandeis
 
banner ned 1024px1
logo demomedia
 
 
 
 
 
Pro Bono Connect logo 100
IIR banner

Volg ons via Twitter

twitter icon

Volg onze RSS-feed

rss icon

Volg ons op LinkedIn

linked in icon

Volg ons op Facebook

facebook icon