7 mei 2010

Na een grondige voorbereiding is deze week de dagvaarding van Stichting Privacy First gepresenteerd. Een aantal burgers is al aangehaakt. Ze hebben reden tot klagen. De wetgeving om een centrale database te maken, is in de Tweede Kamer 'niet voldragen' genoemd. Er zijn geen harde regels rond de beveiliging en dat is onacceptabel voor een al werkend systeem dat dergelijke privacy-gegevens bevat. De gemeenten zelf hebben al databases in gebruik, waar de informatie is opgeslagen. Het is onduidelijk of die gegevens straks gebruikt worden, vernietigd worden of als schaduwbestand blijven bestaan. Er wordt nog gewerkt aan het centrale systeem, waarin straks alles moet worden opgenomen. In maart 2007 was het College Bescherming Persoonsgegevens (CBP) in een advies vernietigend over de centrale opslag van vingerafdrukken van alle burgers. Al ziet het CBP niets in het bewaren van vingerafdrukken, het adviseert desondanks om in dat geval te werken met decentrale opslag. Dat betekent dat gemeenten die informatie bewaren en dat vanuit een centraal systeem naar die informatie wordt verwezen. Zo'n verwijsindex is volgens de rijksoverheid te ingewikkeld, zo wordt in de toelichting op de Paspoortwet opgemerkt. Vreemd, want het ministerie van VWS kan zo'n index blijkbaar wel bouwen voor het (al net zo omstreden) EPD.

Niemand weet wat voor database gebouwd wordt. Het CBP verwijt BZK in het genoemde advies dat voordelen en nadelen onvoldoende zijn afgewogen. Het is wel duidelijk dat de Tweede Kamer niet goed weet wat het heeft goedgekeurd. Het is niet bekend wie er van die vingerafdrukinformatie gebruik mag maken en met welk doel. Voor het ontwerp van een databasesysteem is dat een fundamenteel detail. Als er slechts een organisatie gebruik van mag maken kan een interne authenticatie-architectuur voldoende zijn; in alle andere gevallen moeten de verantwoordelijkheden toch gedetailleerd worden geregeld. Een centrale database is pas nuttig als het online toegankelijk is, via een netwerk waar gebruikende diensten op kunnen aansluiten. Er zijn geen plannen voor een overheidsomvattend eigen netwerk, waar niemand anders toegang tot kan krijgen. Als met de bestaande infrastructuur wordt gewerkt (dus: via internet) dreigt een beveiligingsnachtmerrie. Het CPB wijst daar al op: 'De infrastructurele voorzieningen die internationaal nodig zijn om gegevens verantwoord uit te wisselen, zijn zeer ingrijpend en brengen beveiligingsrisico’s met zich. Er wordt onvoldoende stilgestaan bij de vraag wat de gevolgen zijn wanneer er wordt ‘ingebroken’ in het systeem''. Dat is zeer kwalijk. Bij elke vorm van beveiliging zijn er onvoorzienbaar veel mogelijkheden tot onterechte toegang. Hoe groter, hoe complexer. Hoe complexer, hoe meer inbreukrisico's. Dat is al jarenlang bekend. Privacy First stelt in de dagvaarding tegen de staat niet voor niets: 'Evenmin wordt een oplossing gegeven voor de enorme risico's van misbruik en onjuist gebruik, en kan de regering aangeven waarom de voordelen van het door haar gewenste systeem opwegen tegen deze risico's'. Veel problematischer in mijn optiek is dat er geen grondslag bestaat voor het systeem. Europa wil wel dat er een vingerafdruk en gelaatsscan in het paspoort komen, maar heeft het absoluut niet over centrale opslag. En wil dat ook niet ! De Europese regels zijn bestemd voor het vaststellen van de echtheid van het paspoort en de identiteit van de drager. Enkele reden voor de opslag van vier vingerafdrukken; er worden er slechts twee geeist voor het paspoort. De andere twee dienen dus andere doeleinden, een opsporingsregister wellicht ? De wet komt hiermee rechtstreeks in botsing met de bestaande Wet bescherming persoonsgegevens: gegeves verzameld banuit een specifiek doel (in dit geval: identificatie in het kader van paspoortwetgeving), mag niet voor andere doeleinden worden gebruikt. In Duitsland is deze doelverbreding onmogelijk gemaakt. De kans dat de uitvoering van de opslag verboden wordt verklaard is erg groot, zeker als het uiteindelijk voor de Europese rechters komt. Onmiddellijk stoppen dus na de verkiezingen. Eigenlijk er al voor…..