zaterdag, 12 mei 2012 01:39

Beheer Tele-Transport van persoonsgegevens voor paspoort en ID-kaart is onveilig en in commerciële handen

Identificatie gebeurt steeds minder door mensen, maar door computers. Het tele-transport van alle persoonsgegevens voor paspoorten en ID-kaarten, inclusief de unieke lichaamseigen kenmerken die daarvoor moeten worden afgestaan, is onveilig en in commerciële handen. Wellicht binnenkort in buitenlands beheer van een slimme Mexicaan of rijke Rus.

Inleiding

Sinds 26 augustus 2006 worden de pasfoto's voor paspoorten en ID-kaarten omgezet in een scan van het gelaat. Dat gebeurt via de zogeheten matrixvoorschriften, die we kennen van bijvoorbeeld recht in de camera kijken en niet glimlachen. Deze scan registreert niet alleen de afbeelding van het gezicht, maar legt tevens zodanig punten van de gezichtsopbouw vast dat deze klaar zijn voor de toepassing van automatische gezichtsherkenning.

Sinds 21 september 2009 moeten burgers volgens de Paspoortwet voor het verkrijgen van een paspoort of ID-kaart ook hun vingerafdrukken afgeven.

Deze biometrische gegevens worden samen met alle andere gegevens verwerkt in de chip van de documenten en opgeslagen in de gecentraliseerde databases van de overheid. Ook worden ze mogelijk gekopieerd naar schaduwbestanden van veiligheids-en inlichtingendiensten en de onderzoeksafdeling van fabrikant Morpho - onderdeel van defensie/security multinational Safran.

Door het gebruik van biometrie in combinatie met RFID technologie wordt de fysieke identificatie van de documenthouder door een beambte in toenemende mate vervangen door de automatische en zelfstandige controle van de documenten door systemen waar straks geen mens meer aan te pas komt. Via het Burger Service Nummer (BSN) dat in tweevoud op de documenten staat, zijn in de uitvoering van deze systemen alle gegevens van een burger waar de overheid over beschikt, te raadplegen of te controleren, zelfs zonder dat de betreffende persoon daar weet van heeft.

Veiligheidsrisico's tele transport persoonsgegevens

In dit proces wordt burgers de regie over hun leven volkomen uit handen genomen. Mensen worden via de wet gedwongen om hun unieke persoonsgegevens, namelijk lichaamskenmerken, toe te vertrouwen aan onveilige systemen, zonder dat zij iets kunnen doen om te verhinderen dat zij ten prooi vallen aan misbruik.

Bij misbruik moet men vooral denken aan kwaadwillenden die voor identiteitsfraude, identiteitsdiefstal of chantage-doeleinden documenten stelen of gegevens hacken uit de digitale systemen. De Nationale Ombudsman heeft zich hier al meerdere malen over uitgesproken, en onmiskenbare signalen over afgegeven dat identiteitsfraude een verwoestende uitwerking heeft op het leven van de slachtoffers. Zelfs zonder dat zij het perspectief hebben dat er ooit een einde aan de ellende komt of dat mensen erop kunnen vertrouwen dat hun naam ooit gezuiverd zal worden en noch dat zij schadeloos worden gesteld.

Het misbruik wordt in de hand gewerkt door twee intrinsieke onveiligheden van het systeem. Ten eerste geldt: hoe belangrijker de documenten worden, hoe groter het risico dat onbevoegden zich meester van de gegevens zullen proberen te maken.

Daarnaast moge het duidelijk zijn dat de drempel voor personen om zich voor een ander uit te geven lager wordt naarmate de kans kleiner wordt dat zij daadwerkelijk gecontroleerd worden. En naarmate de automatisering van de identificatie toeneemt, wordt de kans steeds groter dat dit voldoende is om bij identificatiecontrole niet tegen de lamp te lopen als de 'papieren' maar in orde lijken. En die 'papieren' zijn prima te vervalsen. En als het stelen van persoonsgegevens en vervalsen van documenten ook nog eens anoniem en op afstand kan gebeuren wordt misbruik voor criminele doeleinden ook daardoor makkelijker en minder riskant.

Het is dan ook onbegrijpelijk dat overheden voor een zo cruciaal iets als de verificatie van documenten en identificatie van personen gebruik maakt van apert onveilige systemen.

Dat blijkt echter wel degelijk het geval te zijn. Waar nog bijkomt dat de overheid veiligheidsrisico's willens en wetens in stand houdt.

Om dat aan te tonen wordt in dit bestek slechts één - maar een zeer belangrijk voorbeeld- onder de loep genomen: namelijk het elektronische transport van de persoonsgegevens. In dit geval gaat het alleen nog maar over de onveiligheid die veroorzaakt wordt door het elektronische transport van de persoonsgegevens vanaf het 'aanvraagstation' naar de Franse fabrikant van de documenten en retour naar de gemeentes.

Elektronisch transport: een veiligheidsdrama

Het RAAS, is de aanduiding van het systeem waarmee de biometrische gegevens van de burger worden afgenomen en geregistreerd en te samen met het formulier waar de ambtenaar van Burgerzaken de overige persoonsgegevens invult, verstuurd naar de fabrikant in Haarlem,Morpho.

Nadat, met het volledige pakket persoonsgegevens, in dit landelijke productiepunt paspoorten en ID-kaarten worden vervaardigd, wordt het pakket met het toegekende uitgifte nummer van het document weer teruggezonden naar de gemeentes om te worden opgeslagen in de gemeentelijke databases.

Tot voor kort beperkte de overheid zich qua informatie over hoe dit in zijn werk gaat tot de mededeling dat het 'zo veilig mogelijk gebeurd' en dat iets 'nooit voor 100% te beveiligen valt'.

Deze uitleg van de toenmalige staatssecretaris Bijleveld, valt terug te lezen in het stenografisch verslag van de bespreking van het wetsvoorstel in de Eerste Kamer.

De landsadvocate maakte zich er, in alle rechtszaken van bezwaarden tegen de Paspoortwet, tot voor kort vanaf met de mededeling dat 'het allemaal niet verstuurd wordt via een open internetverbinding' zoals naar haar zeggen veel mensen meenden. Toen de rechters van de Raad van State, bij de behandeling van drie hoger beroepszaken op 2 april 2012, eindelijk eens doorvroegen over hoe dat dan wèl in zijn werk ging, bleef zij het antwoord schuldig.

Toen dezelfde vraag werd doorgespeeld aan de, als deskundige, beëdigde ambtenaar van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties, liet deze weten hierover geen kennis te hebben, 'maar dat hij het wel even telefonisch op de gang wilde gaan navragen bij zijn collega'.

Na een poosje kwam hij weer terug de rechtszaal in met de volgende uitleg: de gegevens zouden niet via een aparte (fysiek van andere internetverbindingen gescheiden) internetverbinding worden verzonden, maar via een beveiligde internetverbinding die men zich moet voorstellen als een digitale snelweg waar datapakketten, net als op de fysieke snelweg auto's, heen en weer reizen.

En nee, het was niet zo dat er een speciale snelweg werd gebruikt voor de biometrische gegevens. En nee, de verbinding wordt niet uitsluitend gebruikt door de gemeentes en rijksoverheid, maar wordt door de gemeentes gebruikt voor elektronische berichtenuitwisseling met alle andere partijen waar zij contact mee onderhouden. Iedereen, die daarvoor geautoriseerd wordt, kan voor contact met de overheid van deze snelweg gebruik maken.

Maar, dat hindert niet zo betoogde hij, omdat derden daarmee nog geen rechtstreeks toegang tot de reisdocumentengegevens krijgen, maar enkel voor een bepaald gebruik toegang tot het netwerksysteem krijgen. Bovendien, zo voegde hij er 'geruststellend 'aan toe, worden de vingerafdrukdata in extra beveiligde transportmiddelen -vergelijkbaar met de Brink busjes voor geldtransport - vervoerd.

Ter zitting werd direct al geconstateerd dat de 'van Brink' beveiliging niet erg geruststellend overkomt als men bedenkt dat er regelmatig busjes worden klemgereden en leeggehaald en dat recentelijk ook het hoofdkwartier van het bedrijf was overvallen.

Ook werd eraan herinnerd dat het systeem van autorisatie voor gebruik van de internetverbinding, zoals de DigiNotar affaire heeft bewezen, geen waterdichte garantie vormt voor misbruik, als er bijvoorbeeld gesjoemeld wordt met certificaten.

Deze, nog vers in het geheugen liggende affaire waarmee onder andere de onbetrouwbaarheid van de DigiD werd aangetoond, hoefde alleen maar genoemd te worden om duidelijk te maken, dat het hele verzendsysteem onveilig is en ongeschikt voor het transport van persoonsgegevens. Dat er extra risico's in het geding zijn waar het gaat om het verzenden biometrische gegevens, als vingerafdrukken en gezichtsscans, is evident. Deze zijn immers onvervangbaar waardoor bij misbruik van die gegevens onherstelbare schade kan ontstaan.

Vrijbit zocht een en ander nog verder uit.

GEMNET

In 1995 richtte de Vereniging Nederlandse Gemeenten (VNG) en de Bank Nederlandse Gemeenten (BNG) GEMNET op. Een digitale snelweg voor gebruik van intergemeentelijke digitaal informatie- en betaalverkeer en verkeer tussen de lokale gemeentes en de Rijksoverheiddiensten.

Deze aparte 'digitale snelweg' voor overheidscommunicatie was eigendom van VNG en VNB en werd beheerd door het semi-overheidsbedrijf KPN.

In 2006 verkocht de overheid haar laatste KPN aandelen en zo kwam het bedrijf geheel in particuliere handen. KPN werd dat jaar ook eigenaar van de 'digitale snelweg voor elektronisch overheidsdataverkeer tussen overheden ' Gemnet' door overname van de aandelen van Gemnet Holding, een houdstermaatschappij met als aandeelhouders VNG en BNG.

Sinds 1 januari 2011 functioneert Gemnet niet langer als intergemeentelijk en rijksoverheids telecommunicatienetwerk.

Alleen de naam bleef gehandhaafd als merknaam voor een productielijn van diensten die KPN probeert te verkopen aan overheidsinstanties. Van veiligheidscontrolesystemen, applicaties tot mobiel vergaderen met toegang tot overheidinformatie, gedeeld gebruik van labtops en iPads, voorlichting over IPv6, DigiD certificering, enzovoorts.

Via al deze aparte diensten is er een gigantische netwerk ontstaan waaraan iedere particuliere burger, iedere overheiddienst, iedere ondernemer en elke organisatie kan deelnemen voor het uitwisselen van informatie en elektronisch factureren.

Voor berichtenverkeer waarvan de Rijksoverheid het niet vertrouwd acht dat dit wordt uitgewisseld via deze digitale snelweg, die dagelijks door miljoenen verschillende gebruikers wordt benut, is wel een fysiek aparte internetverbinding beschikbaar. Maar voor het versturen van de meest gevoelige en onvervangbare lichaamskenmerken van de burger, acht men zo'n verbinding kennerlijk niet nodig.

Of de DigiNotar affaire in november 2011 geleid heeft tot het mogelijk 'lekken' van paspoort/ID-kaart gegevens is onbekend. Of de latere beveiligingsproblemen bij KPN in december 2011 en februari 2012 van invloed zijn geweest voor het aanvraag en uitgifteproces van de paspoorten en ID-kaarten, is evenmin bekend.

Wel weten we dat de doorgifte van de complete (GBA) basisadministraties van de hele Nederlandse bevolking, de elektronisch verstuurde Belastinggegevens, en alle paspoort en ID-kaart gegevens- inclusief de biometrische identiteitsgegevens van het overgrote deel van de inwoners- in handen ligt van een particulier bedrijf wat met de regelmaat van de klok te maken heeft met beveiligingsproblemen van haar netwerk. Een beursgenoteerd bedrijf bovendien, waarvan sinds 8 mei 2012 bekend werd dat de rijkste man van Mexico er een bod op heeft gedaan en de aandeelhouders van KPN het prima vinden om het bedrijf te verpatsen mits iemand bereid is zijn bod iets te verhogen.

Conclusie

De Nederlandse overheid brengt de individuele burger en de samenleving als geheel actief in gevaar, door het opeisen en onveilig verwerken van de biometrische gegevens van de gehele bevolking.

Dit geldt alleen al voor de manier waarop de gegevens worden verstuurd voor de aanmaak en uitgifte van de documenten. Dit naast alle risico's die al bekend waren omdat de techniek van biometrische identificatie op kansberekening is gebaseerd, en derhalve onvoldoende betrouwbaar is voor het beoogde doel. Naast mismatch percentages van 25%. Naast de altijd aanwezige mogelijkheid dat de gegevens via de databases in handen van onbevoegden komen, of via het uitlezen van de Radio Frequentie IDentificatie-chips in de documenten zelf. En naast de mogelijkheid dat er misbruik van de gegevens kan worden gemaakt door of via de veiligheids- en inlichtingendiensten, de fabrikant en technici die het systeem moeten onderhouden.

Dit rechtvaardigt alleszins dat burgers, nog los van de principiële bezwaren tegen de verwerking van biometrie door de overheid (buiten het strafcircuit) dit systeem onacceptabel achten wegens de veiligheidsrisico's. De burger heeft er immers recht op om niet door het gebruik van onveilige ICT systemen in gevaar te worden gebracht.

Auteur: J.M.T. (Miek) Wijnberg pedagogisch maatschappelijk werker en voorzitter van Burgerrechtenvereniging Vrijbit