Toon items op tag: Privacy

Deze week vond in de Eerste Kamer een belangrijk beleidsdebat met minister Donner en staatssecretaris Teeven plaats over 'de rol van de overheid bij digitale dataverwerking'. In de week voor het debat had Privacy First haar standpunten terzake aan de Eerste Kamer kenbaar gemaakt. Het doet ons deugd dat veel van deze standpunten deze week 'Kamerbreed' zijn overgenomen (door enkele partijen zelfs letterlijk) en dat ook de bewindslieden Donner en Teeven er niet ongevoelig voor bleken te zijn. Dit geldt zowel voor klassieke rechten en beginselen die nodig herbevestigd dienden te worden als voor enkele nieuwe uitgangspunten:

- het recht op uitdrukkelijke, voorafgaande en volledig geïnformeerde toestemming van de burger bij het gebruik van zijn persoonsgegevens, zowel door de overheid als door bedrijven;

- strikte doelbinding en noodzakelijkheid bij het gebruik van persoonsgegevens;

- het recht van de burger op inzage, correctie en eventuele verwijdering van zijn persoonsgegevens; 

- privacy, keuzevrijheid, transparantie en effectiviteit als leidende beginselen bij de opstelling van nieuwe wetgeving;

- het belang van evaluatie- en horizonbepalingen in (nieuwe) wetgeving;

- openbare kosten-batenanalyses;

- openbaarheid van departementale haalbaarheidsstudies, pilots en onderzoeksrapportages;

- invoering van privacy impact assessments (PIA's) en privacy by design;

- ondersteuning van het wetgevend proces d.m.v. expert-meetings en externe advisering.

Zeer teleurstellend was echter de uitspraak van minister Donner dat het vernietigen van opgeslagen vingerafdrukken bij gemeenten nog maanden zou gaan vergen. Hetzelfde geldt voor het feit dat er nog steeds geen 'vingerafdrukvrije' identiteitskaart bestaat; ook dit had allang kunnen worden geïmplementeerd. Privacy First had er onlangs bij de minister op aangedrongen om dit proces met de grootst mogelijke spoed uit te voeren (hetzij door wijziging van relevante regelgeving, hetzij door technische aanpassingen).

Het concept-stenogram van het Kamerdebat staat HIER online. Onze eigen audio-opnamen van het debat zijn HIER te downloaden. Een groot aantal interessante passages uit het debat (zowel van Kamerleden als bewindslieden) vindt u HIER.

Ten behoeve van het beleidsdebat in de Eerste Kamer op 17 mei as. over digitale dataverwerking heeft Stichting Privacy First vandaag per email aan de Kamerleden onderstaande aandachtspunten ingebracht. Privacy First hoopt dat deze aandachtspunten leidend zullen zijn in het debat tussen de Kamerleden en de bewindspersonen.

Het motto van Privacy First is “eigen keuzes in een vrije omgeving”. Voor de burger vertaalt dit zich in:

-  het recht op uitdrukkelijke, voorafgaande en volledig geïnformeerde toestemming van de burger bij het gebruik van zijn persoonsgegevens, zowel door de overheid als door bedrijven;

-  elk gebruik van persoonsgegevens dient strikt noodzakelijk en doelgebonden te zijn;

-  de burger heeft te allen tijde het recht op inzage, correctie en eventuele verwijdering van zijn persoonsgegevens;

-  relevante wetgeving dient voor de burger kenbaar en toegankelijk te zijn;

-  geen nieuwe wetgeving zonder voorafgaand democratisch (maatschappelijk) debat.

Voor de overheid en het parlement vertaalt dit zich als volgt:

-  privacy, keuzevrijheid, transparantie en efficiëntie als leidende beginselen bij de opstelling van nieuwe wetgeving;

-  een voorkeur voor formele wetten i.p.v.  Algemene Maatregelen van Bestuur en ministeriële regelingen;

-  geen zogeheten ‘nationale koppen’ (aanvullingen) op Europese implementatiewetgeving;

-  verplichte evaluatie- en horizonbepalingen;

-  een integrale benadering door elke nieuwe wet in samenhang met andere, reeds bestaande wetten en verdragen te beschouwen;

-  een integrale benadering door elke nieuwe technische applicatie in samenhang met andere, reeds bestaande technische applicaties te beschouwen;

-  openbare kosten-batenanalyses;

-  openbaarheid van relevante ambtelijke haalbaarheidsstudies, pilots en onderzoeksrapportages;

-  het verplicht stellen van privacy impact assessments (PIA), privacy by design en privacy enhancing technologies (PET);

-  ondersteuning van het wetgevend proces d.m.v. expert-meetings en externe advisering.

Voor nadere informatie of vragen met betrekking tot bovenstaande punten is Privacy First te allen tijde bereikbaar.

Door Jeroen van der Ham 

Begin dit jaar was er een storm rond de beveiliging van de OV-chipkaart. Al snel bleek dat er nogal wat mis was met de beveiliging van de kaart zelf. Het bleek redelijk simpel om saldo's op te hogen, blokkades op te heffen of andere aanpassingen aan de kaart te doen. Er waren programma's op internet verschenen waarmee de kaart aangepast kon worden en daar werd door journalisten en Kamerleden ook gebruik van gemaakt. Trans Link Systems (TLS), het centrale bedrijf achter de OV-chipkaart, heeft het misbruik naar eigen zeggen vrij snel gevonden in het back-office systeem. Om data te verzamelen zijn de kaarten ongemoeid gelaten, maar na ongeveer twee weken toch op de zwarte lijst gezet en is aangifte gedaan. Inmiddels zijn er wat meer fraudegevallen geweest, maar is het volgens TLS toch beperkt tot ongeveer 50 gevallen per dag. Fraude met anonieme OV-chipkaarten is te detecteren en te blokkeren, maar de dader opsporen is moeilijk. Echter, dankzij het fraude-detectiesysteem zou dit misbruik niet lonend zijn. Misbruik waar op dit moment nog weinig tegen te doen is, is het thuis inchecken. In de trein is op dit moment niet te detecteren of een OV-chipkaart legitiem is ingecheckt of niet. Ook in het back-office systeem is dit soort misbruik nog niet te detecteren.

Uiteindelijk is de fraude voor de vervoersbedrijven een simpele rekensom. Er was misbruik met het papieren vervoersbewijs en er is nu misbruik met de OV-chipkaart. Dat laatste is moeilijker, maar in de meeste gevallen ook sneller te detecteren en ongedaan te maken. Thuis saldo opladen is bijna niet lonend omdat de kaart al vrij snel geblokkeerd zal worden, waarna er weer een nieuwe kaart gebruikt moet worden. Dezelfde rekensom wordt gebruikt voor de overgang naar de volgende generatie kaart. Het weinige misbruik dat er nu is weegt niet op tegen de extra kosten die het met zich meebrengt om de nieuwe kaart snel uit te rollen. Wat helaas nog niet meegenomen wordt in deze som zijn de kosten voor het draaien en bijhouden van het fraude-detectiesysteem. Dit is een systeem dat eerder niet nodig was en nu een vitaal onderdeel wordt van het hele OV-chipkaartsysteem. Gelukkig is het op dit moment zo dat misbruik van kaarten rechtmatige klanten niet schaadt. Voor zover bekend is het niet mogelijk om tegoeden of gegevens van anderen te stelen, of om OV-chipkaarten onklaar te maken. Wel worden de kosten voor het misbruik uiteindelijk gedragen door alle klanten; dit was eerder ook al het geval. We moeten helaas wel concluderen dat de mensen die anoniem willen reizen hieronder lijden. Het misbruik zal worden gebruikt als een argument om de prijs van de anonieme kaart hoog te houden.

Bron: Rapportage fraude met de OV-chipkaart, Trans Link Systems, februari 2011.

Hedenmiddag verzond Privacy First de volgende brief aan minister Donner:

Geachte heer Donner, 

In uw brief van 26 april jl. aan de Tweede Kamer deed u de toezegging om de wettelijke status van de Nederlandse identiteitskaart (NIK) zodanig aan te passen dat de Europese Paspoortverordening niet langer op dit document van toepassing zou zijn. Hierdoor zouden niet langer vingerafdrukken in de NIK hoeven worden opgenomen. Tijdens het algemeen overleg met de vaste commissie voor Binnenlandse Zaken d.d. 27 april jl. werd door meerdere Kamerleden aan u gevraagd op welke termijn dit zou worden gerealiseerd. U antwoordde hierop als volgt:

“Als ik het praktisch en snel kan oplossen via een [Algemene Maatregel van Bestuur] of andere regeling, heeft dat prioriteit boven het regelen bij wet. De nationale ID-kaart wil ik snel aanpakken (...).”

Uw toezegging om de NIK ‘vingerafdrukvrij’ te maken verscheen vorige week breed in de nationale media. Sindsdien verkeren veel Nederlandse burgers in de veronderstelling dat men nu reeds een ‘NIK zonder vingerafdrukken’ kan aanvragen. Groot is dan ook hun teleurstelling als in het gemeentehuis blijkt dat dit nog niet het geval is, getuige ook de emails van burgers die Privacy First hierover dagelijks ontvangt. Deze actuele situatie van rechtsonzekerheid werkt nieuwe maatschappelijke onrust in de hand. In afwachting van de benodigde wetswijziging verzoekt Privacy First u dan ook met klem om de opname van vingerafdrukken in de NIK per direct stop te zetten. Dit kan hetzij via een AMvB of ministeriële regeling, hetzij langs (tijdelijke) technische weg. Een derde voorlopige oplossing kan bestaan uit het desgevraagd verstrekken van een NIK zonder vingerafdrukken met een geldigheidsduur van 12 maanden, zoals dit ook reeds mogelijk is bij personen van wie tijdelijk geen vingerafdrukken kunnen worden afgenomen.

Tevens geeft Privacy First u nadrukkelijk in overweging om, naast de beëindiging van de opslag van vingerafdrukken in gemeentelijke databanken, ook de opslag van vingerafdrukken in paspoorten geheel stop te zetten. Hierbij citeert Privacy First graag de brief die uw voorganger (staatssecretaris Bijleveld-Schouten) reeds in november 2009 ontving van de burgemeester van Roermond:

“Gedurende de periode 12 oktober t/m 7 november 2009 zijn in Roermond 448 reisdocumenten afgegeven. Bij het verifiëren van de vingerscans bij afgifte bleek van 55 personen maar één vinger verifieerbaar te zijn en van 42 personen bleken géén vingers verifieerbaar te zijn. Dit betekent dat van 21% van de personen die hun reisdocument kwamen afhalen, de bij het aanvragen van het document genomen vingerscan van zo slechte kwaliteit is geweest dat deze niet verifieerbaar is.

Ingevolge artikel 50A van de Paspoortuitvoeringsregeling Nederland (PUN) dient het verifiëren van vingerscans te gebeuren indien er twijfel is aan de identiteit van de afhaler. Mocht zich de situatie voordoen dat er daadwerkelijk aan de identiteit van een afhaler wordt getwijfeld zou het dus zo kunnen zijn dat een bonafide afhaler wiens uiterlijk zodanig is gewijzigd dat twijfels over de identiteit rijzen, 21% kans loopt om zonder reisdocument weer naar huis te moeten gaan of in het ergste geval als fraudeur te worden aangehouden.”

Naast de risico’s die burgers (ook in de toekomst, in binnen- en buitenland) lopen door de enorme foutenpercentages in de gebruikte biometrische techniek rijst tevens de vraag of Nederland de Europese Paspoortverordening in juridische zin nog kan blijven uitvoeren. Artikel 1 lid 2 van deze verordening vereist immers dat het opslagmedium in het document ‘voldoende geschikt is om de integriteit en authenticiteit van de gegevens te garanderen’. Nu bij 1 op de 5 Nederlanders niet aan dit vereiste wordt voldaan, vormt dat een grond om verdere uitvoering van de Paspoortverordening per direct in te trekken.

Graag verneemt Privacy First welke stappen u onderneemt om de opname van vingerafdrukken in de NIK alsnog per direct stop te zetten. Tevens ziet Privacy First graag uw reactie tegemoet op bovengenoemde bezwaren tegen verdere uitvoering van de Europese Paspoortverordening.

Hoogachtend,

 
Stichting Privacy First

Vandaag klonk eindelijk het verlossende woord: de opslag van vingerafdrukken onder de nieuwe Paspoortwet wordt opgeheven! Zowel de ontwikkeling van een nationale database als de huidige opslag bij gemeenten worden stopgezet. De reeds opgeslagen vingerafdrukken van 4½ miljoen onschuldige burgers zullen nu moeten worden vernietigd. Bovendien zal de wettelijke status van de nationale identiteitskaart zodanig worden aangepast dat in dat document geen vingerafdrukken meer hoeven te worden opgenomen. Hierdoor ontstaat een identiteitsdocument zonder biometrie voor binnenlands gebruik en gaat een langgekoesterde wens van principieel bezwaarden in vervulling. Privacy First had al deze eisen vorige week in een brief aan de Tweede Kamer gesteld en is verheugd dat deze eisen nu worden ingewilligd.

Vanaf het moment dat de nieuwe Paspoortwet in de zomer van 2009 in werking trad heeft Privacy First zich er met alle mogelijke middelen tegen verzet. Vandaag is een historische dag: deze dag bewijst dat maatschappelijk verzet loont. Mede onder druk van onze civiele rechtszaak met 21 mede-eisers is de nieuwe Paspoortwet vandaag effectief bezweken. Wij voorspelden het maanden geleden al: ‘linksom of rechtsom’ (politiek of juridisch) zouden wij dit proces gaan winnen. Privacy First is vastberaden deze ontwikkeling te continueren en van Nederland een maatschappij te maken die de Nederlandse burger verdient: een maatschappij waarin vertrouwen en vrijheid weer basiswaarden zijn en waarin ieders recht op privacy wordt gerespecteerd. De overwinning op de nieuwe Paspoortwet vormt daarbij een cruciale eerste stap.

Privacy First roept Tweede Kamer op tot stopzetting opslag paspoortbiometrie en intrekking nieuwe Paspoortwet. 

Vandaag heeft stichting Privacy First een brief aan de Tweede Kamer verzonden i.v.m. het algemeen overleg over de nieuwe Paspoortwet van 27 april as. met minister Donner. De inhoud van onze brief luidt als volgt:

Nog geen twee jaar na de inwerkingtreding van de nieuwe Paspoortwet staat deze wet opnieuw hoog op de agenda van de Tweede Kamer. Na een relatief geruisloos parlementair traject werd de nieuwe Paspoortwet op 9 juni 2009 zonder stemming door de Eerste Kamer aangenomen. Voor velen kwam dit destijds als een donderslag bij heldere hemel: van enig democratisch debat over deze ingrijpende wet was immers vrijwel geen sprake geweest. Geconfronteerd met dit fait accompli volgden anderhalf jaar van toenemende weerstand in de vorm van burgerprotesten, petities, wetenschappelijke en politieke kritiek, bezwaarprocedures, rechtszaken en zelfs afkeurende moties van gemeenteraden. In die zin keert de nieuwe Paspoortwet nu als een maatschappelijke boomerang bij de Tweede Kamer terug. Ten overvloede zet Stichting Privacy First de voornaamste bezwaren tegen de huidige wet nogmaals op een rij:

- onder de Europese Paspoortverordening is slechts de opname van twee vingerafdrukken en een gezichtsscan in reisdocumenten verplicht. Dit ter (veronderstelde) bestrijding van fraude met diezelfde reisdocumenten. In de nieuwe Paspoortwet gaat Nederland echter 3 stappen verder door deze gegevens (plus twee extra vingerafdrukken) tevens in databanken op te slaan voor een breed scala aan andere doeleinden, waaronder opsporing en vervolging, terrorismebestrijding, rampenbestrijding en inlichtingenwerk in Nederland en derde landen. Gezien het volstrekt ongerechtvaardigde en disproportionele karakter hiervan vormt dit een collectieve schending van het recht op privacy en lichamelijke integriteit van iedere Nederlander met een nieuw reisdocument;

- van bovenstaande doeleinden in de nieuwe Paspoortwet zijn de meeste burgers nooit op de hoogte gebracht; dit vormt een schending van hun recht op ‘informed consent’ bij de verwerking van hun biometrische persoonsgegevens;

- burgers die bezwaar hebben tegen de verplichte opslag worden gedwongen tot jarenlange procedures en moeten gedurende die periode zonder geldig reis- en identiteitsdocument door het leven zien te gaan, met alle nadelen en risico’s van dien;

- de opslag van biometrische gegevens (zowel in het reisdocument als in een databank) creëert een nieuwe vorm van fraude: biometrische identiteitsfraude. Deze vorm van fraude kan jarenlang ongedetecteerd blijven en iemand een leven lang blijven achtervolgen;

- hetzelfde geldt voor de op afstand uitleesbare RFID-chip in het document: ook dit creëert nieuwe risico’s van identiteitsfraude;

- de veiligheid van de opslag in databanken (hetzij ‘centraal’, hetzij ‘decentraal’) kan onmogelijk (volledig) worden gegarandeerd;

- opslag in databanken leent zich bij uitstek voor identificatie i.p.v. verificatie en werkt function creep in de hand;

- bij uitgifte van het reisdocument vindt in het algemeen geen biometrische verificatie plaats. Het is hierdoor onbekend in hoeverre de reisdocumenten die onder de nieuwe Paspoortwet in omloop zijn gebracht in biometrische zin functioneren. Tijdens het parlementaire rondetafelgesprek over de nieuwe Paspoortwet van 20 april jl. bleek in dit kader een foutenpercentage (bij verificatie van vingerafdrukken) van maar liefst 21%.

Naar aanleiding van deze bezwaren doet Privacy First hierbij een dringend beroep op de Tweede Kamer om de opslag van biometrische gegevens (in het bijzonder vingerafdrukken) per direct stop te zetten en de nieuwe Paspoortwet van 2009 in te trekken of deze langs de volgende lijnen te herzien:

- de afname van biometrische gegevens dient vrijwillig te worden;

- opslag van deze gegevens in gemeentelijke of nationale databanken dient te worden opgeheven;

- Nederland dient het huidige model van opslag bij gemeenten te verlaten en te kiezen voor het Duitse model van vrijwillige opslag in de chip van het document;

- voor binnenlands gebruik dient een alternatief identiteitsdocument zonder biometrie te worden ontwikkeld.

Onderste steen in biometrisch paspoortdossier dient boven te komen. 

Vandaag vond in de Tweede Kamer een belangrijke hoorzitting over de nieuwe Paspoortwet plaats. Tussen een dozijn betrokken instanties, topambtenaren en experts schitterde de belangrijkste partij echter door afwezigheid: het agentschap Basisadministratie Persoonsgegevens en Reisdocumenten (BPR). Agentschap BPR was voor de hoorzitting van vandaag uitdrukkelijk uitgenodigd en stond reeds op de lijst van deelnemers. Afgelopen maandag werd echter bekend dat minister Donner de deelname van BPR alsnog heeft tegengehouden.

Agentschap BPR ressorteert onder het Ministerie van Binnenlandse Zaken en is sinds jaar en dag de nationale ‘spin in het web’ van de nieuwe Paspoortwet. Onder leiding van agentschap BPR is dit web echter dusdanig gesloten geraakt dat vrijwel niemand weet wat zich er de laatste jaren heeft afgespeeld. Dit bracht de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) er in 2009 toe om het biometrische paspoort te betitelen als een ‘black box’ die opengebroken diende te worden. Vervolgens slaagde de WRR hier echter nauwelijks in. Bij kenners van agentschap BPR wekte dit geen verbazing: het ‘bastion’ BPR staat al jaren bekend als één van de meest gesloten overheidorganisaties van Nederland. Vanuit andere departementen klinken over BPR structurele klachten over gebrekkige samenwerking en slechte omgang met kritiek. Dit bleek ook weer vandaag tijdens de hoorzitting over de nieuwe Paspoortwet, waarin drie voormalige ambtenaren verklaarden hoe zij na kritiek op het biometrische paspoort door BPR tot persona non grata waren verklaard.

In opdracht van BPR zijn de laatste 12 jaar talloze onderzoeken, haalbaarheidsstudies en pilots over het biometrische paspoort uitgevoerd. Veel van deze studies zijn echter nooit gepubliceerd. Tegelijkertijd duiden de openbare conclusies van deze studies veelal op een tunnelvisie ter invoering van biometrie.

Door het blokkeren van de participatie van agentschap BPR aan deze hoorzitting laadt minister Donner de verdenking op zich dat hier iets niet klopt. Dat hier iets stinkt. Dat hier wellicht sprake is van een beerput die zijn weerga niet kent. Een beerput die ten koste gaat van het recht op privacy van 16 miljoen Nederlanders en die tevens de veiligheid en het imago van Nederland schaadt.

Het deksel van deze beerput moet eraf. Daartoe dient Privacy First vanaf vandaag een serie WOB-verzoeken in bij alle relevante instanties in binnen- en buitenland. De onderste steen in het biometrische paspoortdossier dient immers boven te komen.

Indien minister Donner niets te verbergen heeft, hoeft hij niets te vrezen. ;)

In februari 2011 nam de Eerste Kamer een herzien, 'privacyvriendelijker' wetsvoorstel aan ter invoering van slimme energiemeters. Maar wordt de privacy van de burger hierdoor nu echt beter gewaarborgd? Dr. Jaap-Henk Hoepman van de Radboud Universiteit Nijmegen plaatst hier de nodige vraagtekens bij en pleit voor opt-in i.p.v. opt-out:

"In de wet zijn de volgende zaken veranderd. De slimme meter is niet langer verplicht, en weigering van een slimme meter is niet langer een economisch delict. Meterstanden mogen niet langer continue worden uitgelezen. Dat mag alleen als dat nodig is voor het opmaken van een factuur, bij verhuizing, en waar noodzakelijk voor technisch beheer. Als je verhuist naar een woning waar al een slimme meter in geïnstalleerd is, dan kun je verzoeken om de meter “administratief” uit te zetten. De netbeheerder is verplicht dit verzoek te honoreren. Een administratief uitgezette meter gedraagt zich in principe als een traditionele, domme, meter. Dat klinkt hoopvol.

Echter, in hoeverre “administratief uit” in de praktijk ook echt “uit” is hangt nog af van nadere eisen die aan de slimme meters zullen worden gesteld. Er is natuurlijk een groot verschil tussen een meter die echt geen gegevens doorgeeft en een meter die wel om de zoveel tijd gegevens doorgeeft maar die vervolgens door de netbeheerder worden genegeerd. Administratief uit zou ook kunnen betekenen dat de netbeheerder belooft de meter niet om gegevens te vragen. Maar wat als iemand anders dat wel doet? Of als de netbeheerders door opsporingsdiensten alsnog worden gedwongen een meter te bevragen? Geeft de meter dan wel gewoon antwoord? Een “domme” meter zou zoiets nooit doen...

Groter bezwaar is in mijn ogen het opt-out karakter van de wet. Een consument mag verzoeken om de slimme meter uit te zetten. Het was beter geweest om daar een opt-in regel van te maken. Bij oplevering van een nieuwe slimme meter, en bij iedere verhuizing, wordt de slimme meter dan standaard uitgezet. Consumenten kunnen vervolgens verzoeken een slimme meter administratief aan te zetten.

Bij van overheidswege ingevoerde systemen (zoals slimme meters, rekeningrijden, of het elektronisch patiënten dossier) kan de burger er niet voor kiezen het systeem niet te gebruiken. Op de overheid rust daarom een grote verantwoordelijkheid om de burger te beschermen tegen misbruik. De default moet daarom een goede privacy bescherming zijn. En opt-in de norm. Opt-in, da’s pas slim!"

Bron: weblog Jaap-Henk Hoepman, Opt-in, da's pas slim, http://blog.xot.nl/2011/04/11/opt-in-das-pas-slim/, 11 april 2011.

Vanmiddag ging eindelijk de langverwachte kogel door de kerk: de invoering van een landelijk Elektronisch Patiënten Dossier (EPD) werd door de Eerste Kamer met algemene stemmen verworpen. Na 14 jaar en 300 miljoen euro aan investeringen is het landelijke EPD nu aangeland waar het jaren geleden al had moeten zijn: op de Schroothoop der Draconische Wetten. Twee jaar geleden nam de Tweede Kamer hetzelfde plan voor nationale uitwisseling van uiterst gevoelige patiëntengegevens nog in grote meerderheid aan: PvdA, GroenLinks, D66, VVD, ChristenUnie, SGP en CDA stemden toen vóór. Vanmiddag maakten al deze partijen een historische ‘180’. Zelfs het CDA lijkt genezen. Voortschrijdend inzicht? Wie zal het zeggen... In elk geval past deze ontwikkeling in een bredere trend die het laatste jaar gaande is en waarin de politiek steeds meer oog lijkt te krijgen voor de privacy van haar burgers. Privacy First juicht deze ontwikkeling toe en verwacht dat er nog vele andere privacyschendende wetten getorpedeerd zullen worden.

Naast het civiele Paspoortproces van stichting Privacy First zijn diverse Nederlandse burgers het afgelopen jaar zelf naar de bestuursrechter gestapt om de verplichte opslag van vingerafdrukken onder de nieuwe Paspoortwet aan te vechten. Van al deze individuele rechtszaken is die van de Haagse Louise van Luijk inmiddels het verst gevorderd. Gisteren deed de Haagse bestuursrechter echter een zeer teleurstellende uitspraak: haar zaak werd ongegrond verklaard, voornamelijk omdat de situatie waar Louise bezwaar tegen maakt volgens de rechter nog niet zou bestaan. Deze situatie is momenteel als volgt: bij het aanvragen van een nieuw paspoort of ID-kaart dient u vier vingerafdrukken af te staan. Twee van die vingerafdrukken plus uw digitale gezichtsscan komen vervolgens in een (op afstand uitleesbare) RFID-chip in uw paspoort of ID-kaart te staan. Dit is verplicht onder de Europese Paspoortverordening. Alle vier uw afgenomen vingerafdrukken en uw gezichtsscan worden daarnaast opgeslagen in een gemeentelijke databank. Dit is verplicht onder de nieuwe Nederlandse Paspoortwet van juni 2009. In de toekomst zullen al deze gegevens (vingerafdrukken + gezichtsscans) vanuit de database van uw gemeente worden 'overgeheveld' naar een nieuwe, nationale database. Dat was althans de voornaamste reden voor de invoering van de nieuwe Paspoortwet. De bepalingen in die wet over de nationale database zijn echter nog niet in werking getreden. De nationale database is er namelijk nog niet en zal er waarschijnlijk ook niet meer komen. Immers, de Tweede Kamer is inmiddels tegen ("voortschrijdend inzicht") en de ambtelijke ontwikkeling van de database schijnt enige tijd geleden al te zijn stilgelegd, o.a. wegens problemen bij de technische vormgeving ervan.

De 'decentrale' gemeentelijke opslag van vingerafdrukken en (2D, binnenkort 3D?)gezichtsscans fungeerde oorspronkelijk als 'tussenfase' richting 'centrale' nationale opslag voor een breed scala aan doeleinden, waaronder opsporing en vervolging, terrorismebestrijding, rampenbestrijding, inlichtingenwerk in binnen- en buitenland etc. Het "probleem" is nu dus echter dat die nationale database er waarschijnlijk niet meer komt. Intussen zitten alle Nederlandse gemeenten opgescheept met een enorme lading vingerafdrukken en gezichtsscans van twijfelachtige kwaliteit, in gemeentelijke databases waarvan de veiligheid niet 100% kan worden gegarandeerd. Volgens experts kunnen deze gegevens ook NU al worden opgevraagd door politie, justitie en inlichtingendiensten, namelijk onder reeds bestaande wet- en regelgeving buiten de nieuwe Paspoortwet. (Voor de juristen onder u: zie bijvoorbeeld art. 126nc Sv.) Dit geldt in elk geval voor de gezichtsscans en vermoedelijk ook voor de vingerafdrukken, zo begrepen wij onlangs vanuit nota bene het Ministerie van Veiligheid en Justitie zelf.

De Haagse rechtbank zegt nu: de bepalingen in de nieuwe Paspoortwet over de nationale database, opsporing en vervolging etc. zijn nog niet in werking getreden, dus waar maakt u zich druk om. Hierbij gaat de rechter echter voorbij aan 1) de dreigende schending die uitgaat van inwerkingtreding van de betreffende bepalingen in de nieuwe Paspoortwet en 2) het feit dat de risico's en bezwaren tegen opslag in een nationale database net zo goed gelden voor de huidige opslag bij gemeenten. Beide aspecten had de rechtbank in haar uitspraak kunnen en moeten betrekken: zowel het Nederlandse als het Europese, 'Straatsburgse' recht laten hier alle ruimte toe.

Al met al maakt het vonnis van de rechtbank dan ook een gekunstelde, ontwijkende indruk. Misschien heeft de rechtbank een echt oordeel over de nieuwe Paspoortwet aan de Tweede Kamer willen overlaten? De laatste alinea van het vonnis duidt daar wel op:

"Ten overvloede overweegt de rechtbank dat zij, met eiseres, heeft geconstateerd dat er maatschappelijke discussie bestaat over de wenselijkheid van opslag van en controle aan de hand van vingerafdrukken. Eiseres heeft in dit kader betoogd dat het politieke draagvlak voor de (...) wetgeving is gewijzigd. Deze omstandigheden tasten evenwel de rechtmatigheid van de wetgeving niet aan. Het is niet aan de rechter om over dergelijke omstandigheden te oordelen. Eventuele wijzigingen in het politieke draagvlak dienen tot uitdrukking te worden gebracht binnen het politieke besluitvormingsproces."

Privacy First ziet zowel de komende beraadslagingen van de Tweede Kamer als het hoger beroep van Louise van Luijk bij de Raad van State met vertrouwen tegemoet. Ook de Raad van State heeft op dit terrein immers nog iets goed te maken, getuige bijvoorbeeld het recente WRR-rapport iOverheid waarin leden van de Raad van State zelf blijken toe te geven dat zij dit dossier voorheen onvoldoende scherp hebben gevolgd. In het parlementaire voortraject van de nieuwe Paspoortwet deed de Raad van State er immers slechts het zwijgen toe. Binnenkort zal men alsnog een kritisch oordeel over de Paspoortwet kunnen vellen.


Naschrift: een treffend krantenartikel over het vonnis in de zaak van Louise leest u in de Spits van vandaag (p. 7).