dinsdag, 03 februari 2009 21:23

Wijziging Paspoortwet

WETSONTWERP WIJZIGING PASPOORTWET

 

thumb_vingerafdrukDe paspoortwetten zijn altijd een zeer gevoelig politiek onderwerp geweest. Zo moesten in 1987 (?) de minister van Defensie, Van Eekelen, en de staatssecretaris van Binnenlandse Zaken, Van der Linden, aftreden vanwege de invoering van een nieuw paspoort, dat onvoldoende fraudebestendig bleek. De mate van fraudegevoeligheid is steeds een heikel punt geweest bij het invoeren van nieuwe paspoorten.


Momenteel ligt bij de Tweede Kamer (TK) het wetsontwerp Wijziging Paspoortwet. Het nieuwe paspoort moet naast algemene gegevens (naam , geboortedatum/plaats, etc) voorzien zijn van een gezichtsopname, 2 vingerafdrukken en de handtekening van de paspoorthouder. Het huidige paspoort bevat al de gezichtsscan. Het opnemen van de vingerafdrukken is een uitvloeisel van een EU-verordening van december 2004, waarbij de lidstaten van de Europese Unie verplicht worden een gezichtsopname en vingerafdrukken in een chip in de reisdocumenten op te nemen. Dit moet uiterlijk op 28 juni 2009 plaatsvinden.

Het primaire doel van de in het paspoort vermelde gegevens is het voorkomen en bestrijden van fraude van reisdocumenten (het identiteitskaart valt hier ook onder). Maar daarnaast kunnen die data ook worden verstrekt aan bevoegde autoriteiten voor:

  • identificatie van slachtoffers van rampen en ongevallen;
  • opsporing en vervolging van strafbare feiten;
  • verrichten van onderzoek naar handelingen die een bedreiging vormen voor de staat en de veiligheid van met ons land bevriende mogendheden (een zeer rekbaar begrip - indertijd was het Hitleriaanse Duitsland voor 1940 ook een "bevriende" natie)

Welke organen bevoegd zijn om gegevens van reisdocumenten op te vragen wordt alsnog per algemene maatregel van bestuur vastgesteld. Wel geeft de Memorie van Toelichting op het wetsontwerp een opsomming van instellingen die bevoegd zijn voor het opvragen van data, zoals opsporingsambtenaren, het openbaar ministerie, AIVD/MIVD. Het verstrekken van gegevens betreffende de vingerafdrukken geschiedt uitsluitend aan de officier van justitie.

Het gaat dan om:

  • het vaststellen van de identiteit van een verdachte of veroordeelde - als bij hem vingerafdrukken zijn genomen - en er twijfel bestaat over zijn identiteit;
  • bij een onderzoek in geval van een misdrijf waarvoor voorlopige hechtenis is toegestaan .

De bepalingen over het verstrekken van de hierboven vermelde categorieën zijn niet voorgeschreven in de EU-verordening, maar een eigen invulling van het kabinet. Volgens de staatssecretaris van Binnenlandse Zaken, mevrouw Bijleveld, is dit grotendeels ook al mogelijk in de huidige paspoortwet.

Een andere verandering in de wetgeving is dat de gegevens van het reisdocument (paspoort en identiteitskaart) niet meer op decentraal niveau (dus per gemeente) worden opgeslagen, maar centraal. Er komt een landelijke reisdocumentatieadministratie, waarin naast de in het paspoort opgeslagen data ook 2 andere vingerafdrukken van de paspoorthouder (en nog een paar andere gegevens) worden opgenomen. Ook deze bepaling in het wetsontwerp is een eigen voorstel van het kabinet.

Het kabinet kiest voor één centrale opslag in plaats van de huidige decentrale opslag per gemeente omdat dit veel efficiënter is. De bezwaren tegen het huidige systeem zijn dat er 600 decentrale administraties van paspoorten zijn die niet onderling met elkaar worden verbonden, waardoor verificatie (is het paspoort ergens ook aangevraagd, kloppen de door de aanvrager vermeldde gegevens e.d.?) zeer omslachtig is. Identiteitsfraude zou daardoor gemakkelijker zijn. Elke aanvraag (per dag 15.000 aanvragen) moet naar alle andere decentrale administraties worden toegestuurd ter controle of daar de aanvrager ook niet een reisdocument heeft aangevraagd, waarbij al zijn gegevens aan die decentrale administraties moeten worden vermeld.

Het zal dus ook veel meer tijd kosten wat de uitreik van het paspoort betreft. Ook de eisen aan de beveiliging is een probleem, aldus het kabinet. De centrale reisdocumentatieadministratie (ik kort het maar af met CRDA) is 24 uur per dag, 7 dagen per week on line beschikbaar, wat niet het geval is bij de gemeentes.

Tot zover een korte samenvatting van de belangrijkste punten uit het wetsontwerp. Centrale discussiepunten zijn: het opslaan van vingerafdrukken, één centrale administratie in plaats van de huidige decentrale opslag, aan wie mogen de gegevens van het paspoort worden verstrekt (met name de biometrische gegevens), mogelijkheid van uitbreiden van instanties die gegevens uit de centrale administratie kunnen opvragen (function creep)

Keuze biometrische gegevens in het paspoort
Volgens het kabinet is de vingerscan het meest geschikte biometrische kenmerk voor de bestrijding van "look-alike"fraude. Beter dus dan de gezichtsscan. Deze conclusie is gebaseerd op een aantal onderzoeken. De biometrische kenmerken zijn uniek (bij iedereen verschillend) en onveranderlijk. Verandering hiervan is bijna niet mogelijk, zo stelt het kabinet in de toelichting op het wetsvoorstel. Dat is op zichzelf juist, doch de vraag blijft of daarvoor het opnemen van vingerafdrukken absoluut noodzakelijk is. Het is bekend dat het mogelijk is om fraude te plegen met vingerafdrukken. Zo werd bij de discussie tussen de staatssecretaris en de Tweede Kamerleden opgemerkt dat 6 % van de vingerafdrukken in de huidige administratie niet juist is. De techniek om vingerafdrukken te herkennen is niet 100 % betrouwbaar.

Fraude bij de gezichtscan lijkt mij niet mogelijk. Helaas is een discussie of je nu wel of niet vingerafdrukken moet opnemen achterhaald. Omdat dit , zoals hierboven al aangegeven, berust op een EU-verordening. Ook het weigeren door de paspoorthouder om vingerafdrukken op te nemen in het paspoort op grond van principiële redenen kan daarom niet toegestaan worden.

Één centrale reisdocumentenadministratie
Dit is dus een eigen keuze van de Nederlandse overheid. De EU laat het aan elke lidstaat zelf over hoe ze de paspoortgegevens wil opslaan. Hiervoor werd al aangegeven om welke redenen de overheid kiest voor één centrale opslag in plaats van de huidige decentrale opslag. Een decentrale constructie werkt minder efficiënt en is minder betrouwbaar. Volgens het kabinet is één centrale opslag veiliger.

Over de veiligheid valt echter wel een en ander op te merken. Bij de centrale opslag worden extra beveiligingsvormen ingevoerd..

  1. Er komt een besloten netwerk.
  2. Een gebruiker van de administratie moet zich met een digitaal certificaat authentiseren, anders wordt de toegang geweigerd (gebeurt nu al bij de decentrale administraties).
  3. De gegevens worden versleuteld opgeslagen in de administratie, zodat een ongeautoriseerde persoon geen inzage kan krijgen.
  4. Gegevens worden digitaal ondertekend, zodat ze niet ongemerkt gewijzigd kunnen worden.
  5. Er komt een berichtenlog, zodat aan die log gezien kan worden welke verificatievragen door welke instantie/ambtenaar zijn gesteld en welk antwoord is gegeven.

 

Dit geeft zeker een grote mate van beveiliging, maar ook de staatssecretaris kon niet garanderen dat de beveiliging 100% is. Elke beveiliging kan worden gekraakt. De technische middelen daartoe ontwikkelen zich even snel als de beveiligingsvormen!

De mogelijkheid van identiteitsfraude sluit zij bij de centrale opslag dus ook niet uit. Alleen komt hier nu een gigantische verzameling van cruciale gegevens (vingerafdrukken, gezichtscan!). Per jaar worden er 3 miljoen reisdocumenten aangevraagd! Inbraak, hacken van het systeem, interne fraude bij de centrale opslag hebben zonder meer een veel grotere impact dan bij een decentrale opslag met een veel geringere hoeveelheid van data (zelfs al zou dat in Amsterdam plaatsvinden).

Zoals Van Koppen ook aangeeft : "hoe meer vingerafdrukken, hoe meer fouten kunnen worden gemaakt".

In afgelopen tijd is trouwens gebleken hoe slordig soms wordt omgegaan met "beveiligde"gegevens. In Groot-Brittannië zijn achtereenvolgend driemaal gegevens in de openbaarheid gekomen die (zeer) vertrouwelijk zijn, zoals onlangs een usb-stick met gegevens van miljoenen Britten op een parkeerplaats werd gevonden!! Ook in Duitsland zijn zo vertrouwelijke gegevens in de openbaarheid gekomen.

Een usb-stick uit de centrale administratie omvat heel wat meer gegevens dan die van een decentrale opslag. Bij sommige Kamerleden bleven bij de behandeling van het wetsontwerp in de TK dan ook twijfels over de beveiliging van de centrale reisdocumentenadministratie. bestaan.

PRIVACYBESCHERMING
Ook dit onderwerp riepen diverse vragen op. Het kabinet erkent dat met dit wetsontwerp een inbreuk wordt gemaakt op de persoonlijke levenssfeer. Doch het vindt dat deze inbreuk gerechtvaardigd en proportioneel is met het doel van de wetgeving. Het is niet in strijd met artikel 10 van de grondwet en artikel 8 van Europees Verdrag voor de rechten van de mens, zo stelt het kabinet.
Het gaat hier vooral om wie gegevens mag opvragen bij de CRDA.

Gezien deze gegevens niet alleen gebruikt worden voor verificatie van de reisdocumenten (voorkomen en bestrijden van identiteitsfraude) maar ook gebruikt kunnen worden voor andere doeleinden (zie pag.1) is het nog maar de vraag of het kabinet niet al te gemakkelijk over dit onderwerp heen stapt.

Terecht kan dan ook de vraag gesteld worden of in de praktijk de centrale opslag gebruikt gaat worden als een opsporingsregister. Hoewel verstrekking van gegevens betreffende vingerafdrukken alleen kan via de officier van justitie voor de in het wetsvoorstel vermeldde doelen (zie pag 1) is het de vraag of dit niet t.z.t. uitgebreid wordt,bijvoorbeeld met DNA. De staatssecretaris ontkent dit, maar overtuigend is dat niet.

Het College bescherming persoonsgegevens stelde kritische vragen over de centrale opslag. De kritiek werd in maart 2007 uitgebracht t.a.v. het concept-wetsvoorstel. Het CPB stelt dat het instellen van CRDA onomkeerbaar is en de kans groot is dat andere instanties dan nu in de wet aangeduid ook om toegang tot de centrale opslag zullen vragen. Het gevaar dat de opgeslagen gegevens gebruikt zullen worden voor andere dan de oorspronkelijke doeleinden is niet denkbeeldig ( dit wordt mooi aangeduid als "function creep").

Zo vermeldt de Memorie van Toelichting op het wetsontwerp dat de apparatuur voor het opnemen van de biometrische gegevens in het paspoort ook gebruikt zou kunnen worden voor het rijbewijs!

Onthullend is ook dat een kamerfractie vroeg of het verstrekken van deze gegevens in dit wetsvoorstel niet mogelijk maakt om dit ook toe te passen bij de opsporing van verdachten van alle  misdrijven en overtredingen .

Deze "vraag"die in werkelijkheid een retorische vraag is, werd door de staatssecretaris afgewezen, maar wat nu afgewezen wordt, kan t.z.t. wel aanvaard worden. Dit zou dus betekenen dat de biometrische gegevens ook gebruikt worden voor alle misdrijven en zelfs overtredingen!! Zo ver is het dus nog niet, maar wat niet is, kan nog komen.

Het is wel zo dat het opvragen van gegevens zoals nu vermeld staat in het wetsontwerp ook grotendeels overeenkomen met de huidige paspoortwet. "In die zin kan er dan ook geen sprake zijn van inbreuk op de privacy ", zo stelt de staatssecretaris tevreden vast. Daarmee maakt zij zich er wel gemakkelijk van af. Dit geldt namelijk niet voor het opvragen van de biometrische gegevens. Dat is een "nieuwigheidje"van het kabinet!

Douwe Jansz

PS: De plenaire behandeling van het wetsontwerp is volgens de agenda van de TK gepland in de week van 2 december. Maar in de praktijk wordt dit meestal later, gezien spoeddebatten e.d. . In het voorjaar komt het dus in de EK.
Een mooie gelegenheid voor Vrijbit om dan naar de EK - schriftelijk dan wel mondeling - te reageren. Gezien de vergaande konsekwenties is het belangrijk genoeg om te reageren.