De Amerikaanse staat Californië heeft onder druk van de publieke opinie het gebruik van RFID-tags sterk gelimiteerd. In februari werd een privacywet ingediend, maar die kwam zwaar onder vuur te liggen nadat een basisschool de technologie wilde inzetten om leerlingen te monitoren. Ondertussen is de 'Identity Information Protection Act of 2005' in geamendeerde vorm aangenomen; over een jaar zal het parlement de wetgeving evalueren. Voor met het systeem uitgeruste documenten die vóór 1 januari 2006 worden uitgegeven, is de wet overigens maar beperkt van toepassing; daarna moet de drager van een met RFID uitgerust pasje over alle gegevenstransacties worden ingelicht. Uitzonderingen worden gemaakt voor gedetineerden, tolheffing, patienten in openbare ziekenhuizen en toegangscontrole van beveiligde overheidsgebouwen.
De amendementen verbieden de opslag van persoonlijke data zoals NAW-gegevens, geboortedata, telefoonnummers en biometrische kenmerken. De RFID-chips mogen wel gebruikt worden om een uniek persoonsnummer in op te slaan, dat dan bovendien met 'strong encryption' moet worden beveiligd. Een opvallende beperking is verder dat de radiochipjes niet zonder meer mogen worden gebruikt om personen te identificeren: er moet ook een 'optische of andere niet-radiografische' methode gebruikt worden. Daarmee is de RFID-techniek voor een aantal toepassingen in feite voorlopig haar bestaansrecht kwijt; tegelijkertijd is zo wel gegarandeerd dat burgers niet ongemerkt in de gaten kunnen worden gehouden. Senator Joe Simitian, die de wet indiende, kan dan ook goed met de wijzigingen leven: 'Dit gaat om de beveiliging van privacy. De maatregelen zorgen ervoor dat gegevens niet zomaar beschikbaar zijn voor iedereen die over de juiste ontvanger beschikt.' Een vertegenwoordiger van de RFID-producenten zei dat de wet in zijn huidige vorm geen extra bescherming van de privacy biedt, omdat de gegevensverwerking dankzij encryptie afdoende veilig zou zijn.
ECP.nl, het door het ministerie van Economische Zaken en de werkgeversorganisatie VNO-NCW opgerichte platform voor de Nederlandse informatiemaatschappij, stelde vorige week nog in een rapport dat op RFID toegesneden wetten in Nederland niet nodig zijn. De huidige Wet Bescherming Persoonsgegevens zou voldoen, al zijn de wetteksten nog te abstract en moet een en ander 'verhelderd' worden. 'Een combinatie van regulering, technologische maatregelen en voorlichting [is] noodzakelijk om de privacyrisico’s van RFID tot een minimum te beperken', aldus ECP.nl.
