Dure Rijkspas niet in trek

Interdepartementale samenwerking
Een jaar geleden ontving toenmalig minister van Binnenlandse Zaken Guusje ter Horst de eerste Rijkspas. Bij die gelegenheid meldde ze aan de Tweede Kamer dat de multifunctionele toegangspas in april 2010 bij alle departementen in gebruik zou zijn. Begin dit jaar ging de programmamanager Rijkspas bij BZK ervan uit dat de kerndepartementen, op Defensie na, de pas ‘na de zomer’ in gebruik zouden hebben. Het streven is nu dat het eind van dit jaar zover is.
De Rijkspas is een multifunctionele chipkaart die een ambtenaar niet alleen toegang biedt tot het eigen departement, maar ook een bezoek aan andere ministeries mogelijk maakt. Dankzij een extra contactchip kun je met de pas bovendien veilig inloggen op pc’s en netwerken. De Rijkspas maakt interdepartementale samenwerking makkelijker en maakt tijd- en plaatsonafhankelijk werken mogelijk.

Ketentest
Bij het Franse bedrijf Sagem liggen een half miljoen super beveiligde Rijkspassen klaar. Maar voor de ministeries de pas mogen bestellen, wordt het beheer van de brongegevens en de datacommunicatie uitgebreid getoetst door de AIVD en de Rijksauditdienst. Omdat veel departementen hun personeelsgegevens niet op orde hebben, komen ze niet door niet door die ketentest. Veel haast met het op orde brengen van hun brongegevens lijken de departementen niet te hebben. Tot nu toe hebben alleen het kleine ministerie van Algemene Zaken en het ministerie van Buitenlandse Zaken deze ketentests doorstaan. AZ heeft de Rijkpas begin dit jaar ingevoerd, maar gebruikt ’m alleen als toegangspas. Buitenlandse Zaken is begonnen met de uitrol op de Haagse locaties, maar de ambassades, consulaten en andere buitenposten zijn nog niet zover.

 

Gekraakt
De Rijkspas kampt al sinds de start van het project in februari 2007 met vertragingen. In maart 2008 bleek dat de contactloze chip die op de pas zou komen, de Mifare Classis, met eenvoudige software te kraken is. Op de pas die nu door Sagem wordt geleverd zit de Desfie-chip. Die is met de huidige technologie niet te kraken, stelt Kees van der Kaa, bij uitvoeringsorganisatie ICTU verantwoordelijk voor de ontwikkeling en implementatie van de Rijkspas. De prognoses van onderzoekers luiden dat een chip maximaal 4 tot 5 jaar meegaat. De Rijkspas heeft er dus al een kwart van z’n levensduur opzitten als de kaart eind dit jaar bij alle ministeries is ingevoerd.

 

Business case
Hoeveel het ontwikkelen en implementeren van de Rijkspas kost, wil het programmamanagement niet aangeven. De aanschaf van de 500.000 tot 600.000 passen gaat de ministeries in totaal 20 tot 25 miljoen euro kosten. Het  op orde brengen van het databeheer, aanpassen van de ICT-infractructuur en het aanschaffen van toegangspoortjes en kaartlezers, kost volgens ingewijden een veelvoud van dat bedrag. Besparingen levert de invoering van de Rijkspas niet op. ‘Er is geen business case’, aldus ICTU-programmamanager Van der Kaa. ‘Bij de Rijkspas gaat het niet over geld besparen, maar over makkelijk samenwerken op een veilige manier.'

 

Weinig urgentie
Chris Verhoef, hoogleraar informatica bij de Vrije Universiteit, zet grote vraagtekens bij het dure Rijkspasproject. Bij beveiliging van gebouwen gaat het volgens hem niet om chips en encryptietechnieken. ‘De lekken zitten meestal in het beheer van de data, de ingewikkelde software die je daarvoor nodig hebt of in menselijk gedrag.’ En interdepartementale toegang lijkt geen hoge urgentie te hebben. ‘Ik heb nooit gehoord dat er bij departementen enorme rijen staan te wachten om het gebouw in te kunnen.’ Het ontbreken van een sluitende business case is een veeg teken’, stelt de hoogleraar. ‘Dat is bij IT-intensieve projecten een kritische succesfactor. Als je de baten van zo’n project niet kunt uitdrukken in geld, heb je zo weer een project dat miljoenen kost, maar niks oplevert.’

 

Yvonne van de Meent