18 oktober 2008
'Dit onderzoek laat zien hoe een uniek samenspel van grote en kleine bedrijven in Nederland een nieuwe toepassing voor de mobiele telefoon van de grond heeft gekregen. Binnenkort zullen we meer en meer mensen zien die hun mobiele telefoon ergens tegenaan houden om te betalen, toegang te krijgen of informatie op te vragen. Dit is het moment om ons te realiseren wat deze ogenschijnlijk eenvoudige handelingen betekenen voor de virtuele identiteit die we bij ons dragen in de publieke ruimte. NFC belooft een grote stap voorwaarts in gebruiksgemak, maar wie let nog op de voetsporen die we ermee achterlaten ?' Dat is de kern van het rapport dat deze week verscheen aangaande het betalen met de mobiele telefoon. De gevaarlijkste conclusie van het onderzoek is dat telecommunicatiebedrijven te veel macht dreigen te krijgen bij betaalmethoden middels NFC in mobiele telefoons. De sim-kaart lijkt namelijk de beste plek voor opslag van pin-codes en gevoelige data. Dat stelt het Rathenau Instituut, een denktank rond technologie, in een nieuw rapport over 'Near Field Communication' (NFC). Het instituut wijst nadrukkelijk op de problematiek van het beheer van de gegevensstroom en de privacy rond betaalsystemen middels NFC-chips in mobiele telefoons. In Nederland zijn momenteel twee aanbieders van betalen via NFC: RaboMobiel van de Rabobank en Payter, dat vanuit Rotterdam werkt aan een landelijke uitrol. Betalen via de NFC-technologie werkt met behulp van speciale RFID-chips in telefoons en een achterliggende elektronische betaalstructuur met PIN-codes. Dat laatste deel wordt aangeboden via mobiele software die communiceert met een zogeheten Secure Element op de telefoon.
Vooral rond dat Secure Element (SE) gaat een probleem de kop opsteken, zo stelt het rapport. 'Het Secure Element (SE) is de plek in het toestel waar data wordt opgeslagen over de gebruiker, zoals identificatie codes, encryptie en tegoeden. Deze data mogen alleen door de aanbieder worden ingezien of gewijzigd worden en moeten daarom beschermd worden voor de gebruiker en derden. De locatie van het SE stuit op tegengestelde bedrijfsbelangen, want wie het SE beheert, beheert in wezen de toegang tot de gebruiker. Het SE kan op de SIM kaart worden gezet van de telecom provider. Die optie wordt sterk gesteund door hun belangenbehartiger, de GSMA. Deze optie zal echter een drempel kunnen opwerpen voor andere NFC dienstverleners, aangezien de telecom hen waarschijnlijk hoge tarieven zullen rekenen voor het gebruik van hun SIM. Voor de gebruiker is deze optie ook niet optimaal: als die wil overstappen naar een andere telecom provider, moet het SE op de een of ander manier worden overgezet op de SIM van de nieuwe provider', zo schrijven de samenstellers van het rapport. Het probleem wordt vergroot doordat NFS een typisch ketenproduct is: er werken veel partijen in samen: telefoonfabrikanten, chipproducenten, telecombedrijven en banken. Rathenau pleit voor één partij die kan dienen als coordinatie- en aanspraakpunt, een Trusted Service Manager. Dit is een 'intermediair die het dataverkeer bijeenbrengt en aanspraakpunt is voor al die betrokken partijen. Als er steeds meer aanbieders en gebruikers komen en er is nog geen TSM, dan dreigt een logistiek drama in dataverkeer en zal de positieve stemming rondom NFC snel omslaan. Enkele bedrijven hebben zich al aangeboden, maar wie het wordt en welke taken precies bij de TSM komen te liggen en aan welke eisen die moet voldoen is onduidelijk', zo zeggen de samenstellers Christian van 't Hof en Wouter Schilpzand. Ze zien een TSM ook een rol uitvoeren voor de consument: een TSM zou ervoor kunnen zorgen dat het Secure Element op de SIM wordt overgezet als de gebruiker wisselt van telecombaanbieder. Rathenau maakt zich daarnaast zorgen om de privacy van NFC-gebruikers. 'Bij PIN-betalingen was het alleen de bank die inzicht kreeg in de transactie, maar bij NFC kunnen meerdere organisaties meekijken. Met die informatie kunnen vrij gedetailleerde klantenprofielen worden opgebouwd en aanbiedingen worden gedaan. Vraag is of elke gebruiker daarvan bewust is'. Overheden moeten veel duidelijker stelling nemen rond NFC. Het Ministerie van Economische Zaken en de Nederlandse Mededingingsautoriteit moeten 'scherp in de gaten houden wie de Trusted Service Manager wordt', omdat één partij alle anderen 'zou kunnen overheersen'. Ook de privacykwesties rond NFC moeten door de toezichthouders nu al worden opgepakt, vinden de onderzoekers. 'Zal met NFC de stroom data zo onoverzichtelijk en onbeheersbaar worden dat we ons moeten afvragen of de wetgeving zelf aanpassing behoeft ?' Overheden moeten niet te lang wachten met het nadenken over deze nieuwe technologie, zo eindigt het rapport. 'Dit is het moment om ons te realiseren wat deze handelingen betekenen voor de virtuele identiteit die we bij ons dragen in de publieke ruimte'.