Omtrent de toezegging van het contract in verband met de nieuwe Belgische identiteitskaart aan Zetes/Ubizen (‘Het leven op een kaart’, Knack nr. 10): de huidige identiteitskaart wordt gemaakt door IDOC NV/SA, een bedrijf waarin de overheid 51 procent bezit en privémaatschappijen (zoals Agfa-Gevaert) de resterende 49 procent. In de raad van bestuur zitten dus vertegenwoordigers van de ministeries. Omdat IDOC de Belgische identiteitskaart maakt, mag het niet aan commerciële activiteiten doen, noch reclame maken. Als ‘compensatie’ kreeg IDOC een goede prijs voor de productie van identiteitskaarten. Zij maken daarop 20 procent winst. Deze winst wordt deels uitgekeerd aan de aandeelhouders, deels in een pot gestopt, die momenteel meer dan 100 miljoen Belgische frank bevat. IDOC was zich duidelijk bewust van het feit dat de ’technologie’ van de huidige kaart achterhaald was. Op aanraden van huidig directeur Walter Van Beeck werd gestreefd naar diversificatie, en werd er voor meer dan 100 miljoen frank geïnvesteerd in procedures en machines om chipkaarten te ‘embedden’ (de chip in plastiek steken).

De laatste twee jaar heeft IDOC ook een nieuwe technologie ontwikkeld als tegenhanger van ‘laser engraving’. Laser engraving is een dure technologie. Op een standaard kaart, dus met vaste (eventueel gekleurde) achtergrond, gaat men de gepersonaliseerde informatie van de drager – zoals naam, geboortedatum en foto – aanbrengen. Nadeel is dat dit proces traag is en dus duur, en dat de gepersonaliseerde informatie enkel zwart-wit is. Qua veiligheid is de kaart niet zo goed, want men kan de informatie aanpassen: bijvoorbeeld op de foto een baard aanbrengen of de tekst veranderen. Voorts kunnen geen verborgen veiligheidselementen toegevoegd worden, zoals watermerk (electronic fingerprint), ghost image, enzovoort. IDOC ontwikkelde een alternatieve technologie, waarbij álle gegevens binnen in de kaart aangebracht worden. Aanpassen is onmogelijk. Men kan nog andere beveiligingstechnieken toepassen, zoals het aanbrengen van een digitale ‘fingerprint’ en ghost-images (alleen zichtbaar onder UV licht). Dit proces is behalve beter beveiligd, ook nog mooier (in kleur), goedkoper en sneller. IDOC legde contacten met chip-suppliers zoals Gemplus (die de SIS-kaart maakt), Oberthur, en andere.

In het bestek werd onder andere geëist: laser engraving, RSA met certificaten op voorhand opgeslagen in de kaart, ISO9000-certificatie, personalisering van de kaart in België. Bij deze vereisten kan men zich vragen stellen. Waarom moet het laser engraving zijn? En waarom die certificaten? Een certificaat is een soort stempel (digitaal) om de echtheid van een publieke sleutel te garanderen, en is enkel nodig indien de kaart effectief voor elektronische transacties gebruikt wordt. Hoeveel van de 10 miljoen identiteitskaarten zullen effectief zo gebruikt worden? 10 procent is veel, denk ik. Nochtans moest elke kaart ermee uitgerust zijn. Waarom kan men geen certificaat opvragen indien men het echt nodig heeft? De kosten zouden dus enorm kunnen worden gedrukt.

Bij het opstellen van de offerte werd de beveiligingsdienst van politie niet betrokken, zodat geen vereisten gesteld werden qua veiligheid. Belgacom, dat een (sterk verliesgevende) certificatiedienst heeft, wilde koste wat het kost deze zaak winnen. Als partners werd in de eerste plaats Gemplus gekozen. Als tweede partner werd (na enkele omzeilingen) voor IDOC gekozen, vooral door de contacten van IDOC met het ministerie van Binnenlandse Zaken. Een document werd ondertekend, waarin alle partijen zich exclusief aan elkaar verbonden voor deze offerte.

Er ontstonden problemen bij de eigenlijke offerte. Ten eerste was de prijs per chip van Gemplus 50 procent hoger dan wat IDOC op de markt kon vinden. De keuze van Gemplus was voor Belgacom onaanvechtbaar. Zoals later zou blijken, was dit ingegeven door eigenbelang: daardoor kon Belgacom gunstige prijzen bedingen voor de SIM-kaart van Proximus. Gemplus zou zijn winst wel maken op de nieuwe identiteitskaart. De prijs per certificaat – het deel gedaan door Belgacom – lag ook heel hoog. Belgacom gebruikt de technologie van het Ierse bedrijf Baltimore, dat bekend is om zijn hoge prijzen. (Pittig detail: Belgacom heeft al geruime tijd het onderhoudsgeld op de licentie niet betaald.) Technologisch is het heel makkelijk een certificaat te maken, het zit zelfs in Windows ingebakken (gratis). De kosten komen voort uit de garantie: het is een soort verzekering dat als er toch een fout zou gebeuren, de certificatie-autoriteit voor de schade zou opdraaien. Bij de offerte is daar nooit sprake van geweest. Nochtans werd 1 euro per certificaat gevraagd (later teruggebracht naar 0,5 euro – een kaart bevat twee certificaten). Ik heb berekeningen gemaakt voor het opzetten van een certificatiedienst en kom op 20 procent van de prijs gevraagd door Belgacom.

Bij indienen van de offertes bleek dat Belgacom, zonder medeweten van de andere consortiumpartners, ook nog andere partners had meegenomen, zoals Bull en Accenture (260 miljoen frank voor quality control!).

De prijs per kaart kwam veel te hoog uit (meer dan 13 euro). Nochtans was dit het enige consortium dat alle diensten kon aanbieden. Andere aanbieders boden alleen certificatie (Ubizen) of de kaart (Zetes/CEC, Enschede). Er werd gezocht naar een ‘onderhandelde procedure’, die mogelijk werd op basis van een zogezegde fout in de tekst. Er werd gestreefd naar een eenheidsprijs van 10 euro. Elke partner zou zijn prijs naar beneden doen. Toch bleef de prijs van Gemplus per chip nog veel te hoog in vergelijking met wat men op de vrije markt kan vinden.

Wat bleek bij de definitieve offerte? Belga- com zat in twee consortia, namelijk in een tweede consortium met Ubizen. Wat ook bleek, was dat Belgacom, zonder consultatie van de consortiumpartners, de IDOC-prijs per kaart had verhoogd met 15 procent vergeleken bij de eerste offerte. IDOC was het enige bedrijf dat zijn prijs had verhoogd en zonder veel boe of ba werd het eerste consortium afgevoerd.

Er was echter meer. Rik Daems was tussenbeide gekomen. Sinds hij ambities heeft als burgemeester van Leuven en omdat Ubizen in Leuven ligt, moest Ubizen de zaak halen. Belgacom heeft enkel de naam en speelt een kleine rol als projectmanager – het geld gaat naar Ubizen. De keuze van Zetes/CEC is ook eigenaardig. Zetes, met CEC (card encoding company), heeft geen ISO9000. CEC is virtueel failliet en wordt door de banken niet meer erkend als serieuze partner (ze verloren hun certificatie). Wel is het zo dat de persoon die de offerte mee hielp maken voor Zetes, ook op de beoordelingscommissie bij het ministerie zat.

Eens te meer werd gekozen voor een zwakke oplossing in politiek belang. IDOC werd opgeofferd. De leden van de raad van bestuur hebben niets gedaan opdat IDOC het contract zou halen. IDOC zal dus het zoveelste semi-overheidsbedrijf zijn dat binnen twee jaar zijn deuren zal moeten sluiten. De 100 miljoen frank op de rekening kan gebruikt worden om het sociaal passief te betalen. En de IDOC-technologie, waarvoor zekere interesse in het buitenland bestond (Israël, Finland), zal nergens toe dienen, maar zal wel ergens in het buitenland opduiken en anderen zullen er geld mee maken. Waarvoor dienden de miljoeneninvesteringen die de raad van bestuur van IDOC goedkeurde? De chips en kaarten worden nu gemaakt in Frankrijk, ook in tegenspraak met de vereisten van het bestek. Daarom ook de Franse namen op de voorbeelden in Knack.

Naam en adres bekend bij de redactie.

Reageren op dit artikel kan u door een e-mail te sturen naar lezersbrieven@knack.be. Uw reactie wordt dan mogelijk meegenomen in het volgende nummer.

Partner Content