AET Europe eist in een kort geding dat het ministerie van Binnenlandse Zaken en Koninkrijksrelaties stopt met de invoering van de nieuwe toegangspas voor ambtenaren. Na een aanbesteding heeft het Franse bedrijf Idemia geselecteerd om deze Rijkspas te leveren. Het ict-beveiligingsbedrijf uit Arnhem stelt echter dat deze Franse pas met verouderde technologie niet aan de tendereisen voldoet.
Op 8 mei startte AET een bodemprocedure tegen BZK. Om het ministerie er van te weerhouden onomkeerbare stappen te zetten, spant het ict-bedrijf nu ook een kort geding aan. Dat is gisteren gevoerd. AET zegt in gesprek te zijn geweest met BZK maar dat dit werd afgebroken door het ministerie.
‘Als het ministerie de voorbereidingen toch doorzet, dan overtreedt ze niet alleen de aanbestedingsregels, maar dreigt ook de stabiliteit van 150.000 Rijkspassen in gevaar te komen. Die bevatten unieke Nederlandse technologie die wordt vervangen door een verouderde Franse oplossing. Daardoor kunnen ambtenaren niet meer inloggen op hun computer en worden miljoenen aan investeringen in het goed laten functioneren van deze overheidspassen tenietgedaan. Het lijkt het nieuwe ict-debacle van de overheid te worden’, schrijft AET in een verklaring.
De nieuwe Rijkspas voor ambtenaren van alle ministeries, met uitzondering van het ministerie van Defensie, wordt straks niet alleen gebruikt als toegangspas, maar ook voor elektronische identificatie en het zetten van een elektronische handtekening. Volgens AET was het vanaf het begin de bedoeling dat de Rijkspas dezelfde chip- en uitleessoftware zou krijgen als de sterk beveiligde Defensiepas, waarin de beveiligingssoftware van AET is verwerkt. Hiermee is niet alleen de beveiliging gegarandeerd, maar de nieuwe Rijkspas werkt ook samen met de bestaande ict-infrastructuren van alle ministeries, inclusief die van Defensie. Dit hebben BZK en Defensie onderling met elkaar afgesproken, aldus het Arnhemse bedrijf.
Backwards compatibility
In 2018 won in eerste instantie de Nederlandse producent van plastickaarten Multipost de aanbesteding voor de nieuwe Rijkspas. Dat bleek een fout; het ministerie corrigeerde dit riep de Franse pasleverancier Idemia (voorheen Morpho) uit tot winnaar van de aanbesteding. AET ging ervan uit dat het de beveiligingssoftware zou leveren; zowel Idemia als Multi-Post hadden bij AET een offerte aangevraagd voor de benodigde beveiligingssoftware. Logisch, meent het bedrijf, want zowel Idemia als Multi-Post konden alleen aan de aanbestedingseis van backwards compatibility met de huidige Rijkspas en de afspraak tussen BZK en Defensie over de samenwerking met de Defensiepas voldoen, door gebruik te maken van de software van AET.
In februari van dit jaar kwam AET erachter dat Idemia zich met een andere chip en software had ingeschreven. Volgens AET voldoen deze echter niet aan de gestelde voorwaarden in de aanbesteding. Zo bestaat er onduidelijkheid over de vereiste certificering en werkt de software niet samen met de huidige Rijkspas (backwards compatibility), de Defensiepas en bestaande ict-structuren binnen de overheid. Door meerdere ministeries zijn hierover inmiddels aan AET zorgen geuit omdat hiermee vele mensjaren aan inspanning om de Rijkspas in complexe systemen te integreren in een klap te niet worden gedaan, schrijft de it-beveiliger.
Overtreden regels
AET zegt hoogst verbaasd te zijn dat het ministerie ineens de aanbestedingseisen laat varen. Het lijkt er in zijn ogen op dat BZK nu verouderde, onduidelijk gecertificeerde, Franse beveiligingssoftware wil gaan gebruiken. Hiermee worden niet alleen de regels van de aanbesteding overtreden, maar het is ook tegen het beleid van de Nederlandse overheid om te kiezen voor Nederlandse leveranciers als de nationale veiligheid in het geding is, vindt het bedrijf.
Ook wijst AET er op dat BZK en Idemia een eigen interpretatie geven aan het begrip backwards compatibility. ‘Idemia heeft simpelweg haar eigen inlogsysteem naast het bestaande inlogsysteem geplaatst, waarbij het Idemia-systeem alleen communiceert met de nieuwe Rijkspassen en niet met alle reeds uitgeven Rijkpassen die nog tot vijf jaar in gebruik zijn. Van backwards compatibility is dus geen sprake. Afgezien van het feit dat deze oplossing niet voldoet aan de tendereis, komt het voeren van twee inlogsystemen de stabiliteit van de hele infrastructuur van de overheid niet ten goede.’
Aanvechten
BZK zegt in een reactie inhoudelijk niet op het conflict met AET in te kunnen gaan zolang de zaak onder de rechter is. Naar verwachting volgt de uitspraak over twee of drie weken. Het is overigens niet de eerste keer dat het bedrijf een aanbesteding aanvecht van BZK. In een vergelijkbaar project (de eNIK: digitale identiteitskaart) had het ministerie de opdracht onderhands gegund aan oud-staatsbedrijf SDU. AET spande met succes een kort geding aan en het ministerie moest de opdracht alsnog aanbesteden. Daarop beëindigde het ministerie het project, aldus AET.
Het bedrijf is in 1998 opgericht en heeft inmiddels de beveiligingstechnologie geleverd voor talloze digitale identiteitskaarten in binnen- en buitenland. Zo maken de Defensiepas, de pas van De Nederlandsche Bank en meerdere andere Europese (centrale) banken, de pas voor het notariaat en de UZI-pas (voor het veilig uitwisselen van medische gegevens), gebruik van de software van AET.
