Ze hebben er vast hun gedachten over laten gaan. De wetenschappers van de universiteit Nijmegen die vorig jaar de beveiliging van de OV-chipkaart kraakten. Met die actie brachten ze de verantwoordelijk minister ernstig in verlegenheid en dwongen ze via de band van de politiek een onderzoek naar de beveiliging van het systeem af. Valt ook de chip op ons paspoort te kraken? Het paspoort en de identiteitskaart bevatten al langer een chip waarop gegevens over de houder van het document zijn opgeslagen. Maar vanaf afgelopen maandag is daar een aantrekkelijke set aan toegevoegd: de unieke kenmerken van onze beide wijsvingers. Gegevens over lichaamskenmerken dus.
Bij iedereen die een nieuw paspoort of een nieuwe identiteitskaart aanvraagt, neemt de gemeentelijke baliemedewerker vanaf nu afdrukken van vier vingers digitaal op. Deze afdrukken worden opgeslagen in een gemeentelijke databank (de reisdocumentenadministratie) en twee daarvan (die van de wijsvingers) worden via een elektronisch lijntje naar Sdu verzonden. Daar worden beide afdrukken in de chip met andere gegevens opgenomen. Deze chip vormt uiteindelijk een onlosmakelijk onderdeel van het paspoort of de identiteitskaart. De gegevens van de vier door de gemeente afgenomen vingerafdrukken worden voorlopig lokaal bewaard. Wettelijk is vastgelegd dat ze in een landelijke databank worden opgeslagen, maar de bouw daarvan moet nog worden aanbesteed. En behalve op de chip en in het lokale systeem, mogen we verwachten dat er bij Sdu Identification – vorig jaar overigens verkocht aan het Franse bedrijf Sagem Securité – ook het een en ander gedurende een bepaalde periode bewaard blijft.
In de media is de afgelopen week uitgebreid stilgestaan bij de introductie van biometrie op het paspoort. Niet verrassend vormden de privacyimplicaties daarbij het centrale punt van aandacht. Zeker nu ons land er (in tegenstelling tot andere Europese landen) voor kiest de biometrische gegevens in een centrale databank op te slaan en deze databank voor meer doeleinden beschikbaar te stellen dan uitsluitend het tegengaan van misbruik van identiteitsdocumenten. Namelijk onder voorwaarden ook voor opsporingsdoeleinden. De privacydiscussie wil ik hier niet herhalen. Het gaat mij om een ander punt: vrijwel zeker zullen de systemen met biometrische gegevens op enig moment doelwit van een kraakpoging zijn.1 Op vragen vanuit het parlement over het risico van een kraak gegeven de ‘race tussen hackers en overheid’ antwoordde de staatssecretaris van Binnenlandse Zaken in maart van dit jaar: “Dat geldt voor alle beveiliging van de reisdocumenten. Dat is de reden waarom er continue aandacht is voor de beveiliging van de documenten en de echtheidsdocumenten die gebruikt worden.” Geen woord van de staatssecretaris over de beveiliging van zowel de achterliggende systemen als de netwerken tussen gemeenten en Sdu. Als ik op de medewerker van de gemeentebalie in mijn woonplaats mag afgaan, verandert er bij de gemeente niets. Extra beveiliging van de lokale reisdocumentenadministratie met het oog op het bewaren van biometrische gegevens wordt niet noodzakelijk geacht. Zeker, de opslag in de lokale reisdocumentenadministratie is slechts een tijdelijke situatie nu de landelijke database nog (lang) niet gereed is. Maar wat zegt die noodoplossing over de aandacht voor het beveiligingsniveau?
Wordt het niet hoog tijd dat de veiligheid en beveiliging van het arsenaal aan technische systemen dat de overheid momenteel optuigt op een meer systematische en integrale wijze de aandacht van de wetgever krijgt? Dat we deze belangen inbedden in een beredeneerde en bredere visie op niet alleen continuïteit en kwetsbaarheid van systemen, maar ook de afhankelijkheid van overheid en burgers? De parlementaire en daarmee ook democratische controle op het beveiligingsbeleid van onze overheid is volstrekt onder de maat. Het blijft bij niet meer dan wat brandjes blussen naar aanleiding van een lek in ziekenhuissystemen of een kraak van de OV-chipkaart. Natuurlijk zal de reactie zijn: we hebben een Voorschrift Informatiebeveiliging Rijksdienst en organisaties die toezien op beveiliging zoals GOVCERT.NL. Maar betekent dat daarmee ook dat we enig idee hebben (laat staan adequate controle hebben) hoe een (kleine) gemeente met beperkte financiële middelen omgaat met de beveiliging van een systeem als de reisdocumentenadministratie? Afgelopen vrijdag oordeelde het EHRM dat de opslag van biometrische gegevens in ons land is geoorloofd omdat daardoor geen ‘onherstelbare schade’ ontstaat. Kijkend vanuit een beveiligingsperspectief is dit alleszins de vraag.
Het is slecht gesteld met de controle vanuit Den Haag op de nieuwe kwetsbaarheid van onze hoog technologische samenleving. Dit vacuüm heeft alles te maken met een gebrek aan aandacht, urgentie maar zeker ook instrumentarium. Zo her en der bevat een wet nog wel eens een bepaling die enige vorm van beveiliging voorschrijft. Voor het overige moeten we het doen met regels op het niveau van een Voorschrift. Een meldplicht voor overheidsinstanties dat hun systeem is gekraakt bestaat niet. Mechanismen voor transparantie over veiligheid en kwetsbaarheid van systemen kennen we niet. Effectieve rechtsbescherming voor burgers die het slachtoffer zijn geworden van identiteitsfraude ten gevolge van een beveiligingslek ontbreekt volkomen. Begin dit jaar bleek dat slechts 54% van de medewerkers bij de overheid vertrouwen heeft in de beveiliging van de ICT-systemen van de eigen organisatie. Maar ondertussen wordt een zeer belangrijk deel van onze contacten met de overheid wel bepaald en uitgevoerd met behulp van deze systemen. Hoog tijd om de verantwoordelijkheid voor en plichten van onze overheid wat betreft beveiliging en continuïteit van ICT-systemen op systematische wijze scherp te krijgen, de hiermee samenhangende rechtsbescherming voor burgers handen en voeten te geven en een en ander te verankeren op niets minder dan het niveau van wetgeving.
Dit Vooraf is verschenen in NJB 2009/32.
Bron afbeelding: Rachel Pasch
- Zie ook mijn essay, NJB 2006, afl. 1. ↩
{ 3 reacties }
{ 3 reacties… lees hieronder of reageer }
Uniek aan een vingerafdruk is (of liever was?) dat die uitsluitend in bezit is van de persoon in kwestie (door de politie dankbaar gebruikt als bewijsvoering).
Het is maar te hopen dat de vingerafdruk in de database meteen wordt versleuteld met niet-omkeerbare encryptie. Zo niet dan is het een kwestie van tijd alvorens met zekerheid de vingerafdrukken van miljoenen mensen in criminele handen zijn, wellicht inclusief de naam van de eigenaar.
Daarna kost het hooguit een uurtje knutselen om willekeurig welke vingerafdruk na te maken en ergens achter te laten (ook op het gemeentehuis).
Dan is het unieke kenmerk van de vingerafdruk, dat alleen de eigenaar die heeft, voorgoed voorbij en kan in Nederland de vingerafdruk als bewijs bij opsporing de prullenbak in.
Alhoewel ik sterk mijn twijfels heb bij de digitale beveiliging van persoonsgegevens, zit er mijns inziens ook een groot lek in de fysieke opslag. Gemeenten bewaren een papieren kopie van aanvragen gedurende de periode van 3 maanden. Naast het aanvraagformulier met naam, woonadres, BSN etc wordt hier tevens de pasfoto en het pinbewijs (met bankrekeningnummer en pasnummer) aan vast geniet. Erg veel gegevens die vervolgens ergens gebundeld in een ringband worden bewaard.
Vingerafdrukken liggen per definitie op straat. Het is een kleine moeite de vingerafdruk van een willekeurig persoon, bijvoorbeeld te verkrijgen. Je hoeft alleen maar te weten wat de persoon al dan niet geforceerd heeft aangeraakt of vastgehouden. Met de verkregen afdrukken maak je zelf een scan.
Als je de chip op het paspoort kan namaken is het een kwestie van tijd dat daar ook de gegevens van de verkregen vingerafdrukken kunnen worden bijgeplaatst of overschreven.
Daarmee zal het probleem van identiteitsfraude blijven bestaan.
Er wordt een schijnzekerheid gecreëerd door te vertrouwen op de lokaal op het paspoort en later centraal opgeslagen vingerafdruk.
Moet eerst worden aangetoond dat een paspoort inclusief data van de bijbehorende echte vingerafdrukken van ene Jan Peter Balkenende kan worden nagemaakt met het doel identiteitsfraude te plegen?
De politieke partijen die destijds in de Tweede en Eerste kamer vóór hebben gestemd zouden zich moeten schamen.