Dat identiteitsbeheer via radio frequency identification (rfid) in de praktijk onvermoede gevolgen kan hebben, bewijst een serie Europese casestudies door het Rathenau-instituut naar het volgen van personen via rfid.
Tijdens de casestudies constateerden de onderzoekers zowel privacy- als beveiligingsproblemen. Ook kwamen technische problemen aan het licht. Het Rathenau-instituut – een onafhankelijke organisatie die onderzoek doet naar het effect van wetenschap en technologie op de samenleving en andersom – deed deze casestudies in het kader van een breder onderzoek in opdracht van het Europese parlement.
Handel in rfid-tags
Dat de invoering van rfid in de praktijk onverwachte gevolgen kan hebben bleek bij de invoering van rfid bij het NWO in Den Haag. Het was de bedoeling dat de rfid-gegevens alleen gebruikt zouden worden voor toegangscontrole, maar dat pakte anders uit. Zo bleek de informatie die de rfid-lezers verzamelden in één geval ook gebruikt om illegaal de aankomsttijden van een bepaalde werknemer te achterhalen. Volgens de systeem-operator maakte hij in opdracht van de chef een tabel met aankomsttijden, waaruit bleek dat de werknemer niet elke ochtend extra vroeg op werk kwam, zoals hij wel beweerd had. Ook de beveiliging van rfid bleek bij deze organisatie niet waterdicht. Zo onstond er een levendige handel in rfid-tags met extra privileges. Daarnaast bepleitten een aantal werknemers met succes ruimere toegangsrechten bij hun systeem-operator.
Brandalarm
Technische problemen waren er onder andere in het openbaar vervoer. Zo gaven rfid-lezers in bussen tijdens een pilot in 2005 in Rotterdam foutcodes of rekenden kosten aan tot het einde van de rit, ook al stapte de passagier eerder uit. En toen Alcatel in Rijswijk begin 2005 rfid invoerde voor onder meer tijdsregistratie van haar werknemers, moest een heel scala aan kinderziektes worden overwonnen. Zo viel de scanner bij de parkeergarage om onverklaarbare redenen regelmatig uit. Daarnaast werden de tags van personen op de ene verdieping af en toe door rfid-lezers op andere verdiepingen geregistreerd. Ook ging af en toe het brandalarm af omdat de rfid-lezer bij de nooduitgang per abuis aansloeg als een werknemer een naburige deur opendeed. Niets menselijks was de werknemers verder vreemd. Tijdens een evacuatieoefening bleken vier werknemers hun rfid-tags in het pand achtergelaten te hebben. Bij een echte brand zou dat er toe hebben geleid dat brandweermannen voor niets hun leven op het spel hadden gezet.
