Het kabinet wil een centrale database maken met alle paspoortgegevens die mensen aanleveren. dat zijn bijvoorbeeld vingerafdrukken, handtekeningen en pasfoto’s. Zo’n database met gegevens van heel veel Nederlanders brengt grote privacyrisico’s mee die het kabinet niet goed meeweegt.
Ook kan er onduidelijkheid ontstaan over wie verantwoordelijk is voor de veiligheid van de gegevens. De Autoriteit Persoonsgegevens (AP) adviseert dan ook de plannen grondig aan te passen of anders in te trekken.
Nu slaat de gemeente waar iemand een paspoort of identiteitskaart aanvraagt zelf de benodigde persoonsgegevens op. In een eigen decentrale database. Het kabinet wil nu met een wijziging van de Paspoortwet overgaan naar één centrale opslag. Vingerafdrukken zouden in die database worden opgeslagen totdat het identiteitsbewijs is uitgegeven, pasfoto’s en handtekeningen worden langdurig opgeslagen.
Goudmijn voor hackers
De overheid veroorzaakt volgens de Autoriteit met de plannen een groot risico voor burgers. Hoewel een centraal systeem misschien beter te beveiligen is, kunnen de gevolgen zeer ernstig zijn. ‘De pasfoto’s en handtekeningen van bijna alle Nederlanders bij elkaar, en dan ook nog eens de vingerafdrukken van de mensen die wachten op een paspoort: dat is een goudmijn voor cybercriminelen’, zegt AP-voorzitter Aleid Wolfsen. “In plaats van in te moeten breken in de databases van ruim 300 gemeenten, zijn criminelen straks met één hack klaar.”
Dit soort data is volgens Wolfsen het neusje van de zalm, en niet voor niets enorm in trek bij criminelen. “Deze biometrische paspoortgegevens zijn ontzettend gevoelig en kunnen bijvoorbeeld ook worden gebruikt om identiteitsfraude te plegen of mensen te discrimineren.”
Ook niet-criminele datalekken (die bijvoorbeeld ontstaan door een menselijke fout) zijn ernstiger bij zo’n centrale database. Er liggen dan in één keer veel meer gevoelige privégegevens van mensen op straat dan bij een decentrale opslag. Bovendien ontstaat met zo’n centrale database het risico dat de overheid die in de toekomst ook al gebruiken voor andere doeleinden dan de uitgifte van reisdocumenten.
Wolfsen: “Je begeeft je op een hellend vlak. We kunnen met hele kleine stapjes tegelijk in zeer onwenselijke situaties terecht komen. Eerst wil de politie die vingerafdrukken gebruiken voor het oplossen van zeer ernstige misdrijven, daarna ook voor iets minder ernstige misdrijven… Waar eindigt dat? Daar moet je goed over nadenken, voordat je kiest voor een centrale database.”
Geen noodzaak
Het kabinet legt volgens de AP niet goed genoeg uit waarom de centrale opslag van paspoortgegevens echt noodzakelijk is. Het noemt vooral de voordelen van een centraal systeem, maar de nadelen zijn intussen niet goed duidelijk. Ze worden dus ook niet afgewogen. Volgens AP-voorzitter Wolfsen moet je echt met hele goede argumenten komen als je zoiets ingrijpends wilt realiseren. “Als je die niet hebt, dan moet je het gewoon niet doen.”
Tot slot verdeelt het kabinet de verantwoordelijkheid voor de gegevens op een onduidelijke manier tussen het ministerie van BZK en de gemeenten. Daardoor is voor sommige onderdelen niet duidelijk wie er precies verantwoordelijk zal zijn. Dan kunnen overheden zich achter elkaar verschuilen als er iets misgaat. De AP adviseert de volledige verantwoordelijkheid bij de minister van BZK te leggen.
Lees ook:
- De 6 meest gemaakte fouten bij IT-adoptietrajecten
- Bewustwording noodzaak dataprotectie onvoldoende
